Virus dans system32
Virus dans system32 - Virus/Spywares - Windows & Software
Marsh Posté le 20-11-2009 à 09:28:32
Bonjour,
Peux-tu utiliser ce logiciel de diagnostic s'il te plaît? Ca me permettra de t'aider :
• Télécharge Random's System Information Tool (RSIT) de random/random, et enregistre le sur ton Bureau.
• Double clique sur RSIT.exe pour lancer l'outil.
• Clique sur ' Continue ' à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître : ne les poste pas directement ici (une règle de ce forum l'interdit). A la place, suis ce tuto pour héberger le rapport ailleurs et poste le lien qui est donné stp.
Fais également ce scan généraliste particulièrement efficace avec Mawalrebytes :
• Télécharge et installe Malwarebytes' Anti-Malware
• Veille à ce que la case "Mettre à jour Malwarebytes" soit cochée
• Une fois installé, lance MBAM et va dans l'onglet "Recherche", coche "Exécuter un examen Rapide" puis fais "Rechercher"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection (sans risques)
• Enregistre le rapport, et pense à vider la quarantaine
• S'il t'est demandé de redémarrer l'odinateur, accepte
• Pour finir, poste dans ta prochaine réponse le rapport apparaissant après la suppression stp
Marsh Posté le 22-11-2009 à 20:14:43
Voici le lien vers le 1er rapport RSIT: http://www.toofiles.com/fr/oip/doc [...] 2_log.html
Merci
Marsh Posté le 22-11-2009 à 20:33:33
Et pour le 2eme test il me dit qu'il ne peut pas supprimer les fichiers:
C:\WINDOWS\system32\_c00BE0D7.dat
...c0019F56.dat
...c008E74E.dat
...c00925CB.dat
...c00B5D2D.dat
Je vais redémarrer maintenant.
Marsh Posté le 23-11-2009 à 16:07:15
Salut,
Tu as plein d'infections...
On va traiter ça dans l'ordre.
1) Peux-tu poster le dernier rapport de MBAM s'il te plaît? Quand tu lances MBAM, tu le trouveras dans l'onglet Rapports/Logs.
2) Tu as une barre néfaste sur ton ordi (AskBar), entre autres. Utilise ToolbarSD pour t'en débarasser :
- Télécharge ToolbarSD (de Team IDN) sur ton Bureau
- Lance l'installation du programme en exécutant le fichier téléchargé.
- Double-clique maintenant sur le raccourci de Toolbar-S&D.
- Sélectionne la langue souhaitée en tapant la lettre de ton choix (F pour français) puis en validant avec la touche Entrée.
- Choisi directement l'option 2 (Suppression) et patiente jusqu'à la fin de la recherche.
/!\ Ne ferme pas la fenêtre lors de la suppression /!\
- Un rapport apparaîtra à la fin (C:\TB.txt), poste-le dans ta prochaine réponse stp
3)
- Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : http://forum-aide-contre-virus.be/ [...] mover.html
- Clique sur TELECHARGER et enregistre l'outil sur le Bureau.
- Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
- Une fois lancé, au menu principal choisi l'option "L" et tape sur Entrée pour valider
- Laisse travailler l'outil jusqu'au bout.
- Le rapport (C:\Ad-report.log) s'affichera à la fin, poste-le dans ta prochaine réponse stp.
*Note :
Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Voilà, ça te fera 3 rapports à poster 
Message édité par Adaron le 23-11-2009 à 16:14:44
Marsh Posté le 24-11-2009 à 23:17:48
1)
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3215
Windows 5.1.2600 Service Pack 3
22/11/2009 20:29:39
mbam-log-2009-11-22 (20-29-39).txt
Type de recherche: Examen rapide
Eléments examinés: 126849
Temps écoulé: 12 minute(s), 21 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 39
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{014da6c9-189f-421a-88cd-07cfe51cff10} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{4d1c4e81-a32a-416b-bcdb-33b3ef3617d3} (Adware.Need2Find) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4d1c4e81-a32a-416b-bcdb-33b3ef3617d3} (Adware.Need2Find) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c0076ec1 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c00c0003 (Trojan.Vundo) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\application layer gateway (Trojan.Agent) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Documents and Settings\Soso\Application Data\silent.exe (Trojan.MultiDropper) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\__c00BE0D7.dat (Trojan.Downloader) -> Delete on reboot.
C:\Documents and Settings\Soso\Application Data\Install Lightroom 2.5.exe (Trojan.Swizzor) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\__c0019F56.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\__c008E74E.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\__c00925CB.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\__c00B5D2D.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\__c00BC104.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\__c0017563.exe (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\__c001D9C8.exe (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\__c0022301.exe (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\__c002C596.exe (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\__c002E43C.exe (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\__c0047A02.exe (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\__c00544DF.exe (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\__c00588A0.exe (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\__c005F047.exe (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\__c0061904.exe (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\__c0061BAD.exe (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\__c0065D64.exe (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\__c007AA56.exe (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\__c007B494.exe (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\__c007BC84.exe (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\__c009E4A4.exe (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\__c00A092A.exe (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\__c00A195A.exe (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\__c00A5840.exe (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\__c00BFD39.exe (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\__c00CDE68.exe (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\__c00D99C2.exe (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\__c00E3A92.exe (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\__c00E4524.exe (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\__c00EBF98.exe (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\__c00F7E60.exe (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\__c00FAA50.exe (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\ati3d1a.dll (Trojan.Boaxxe) -> Delete on reboot.
C:\WINDOWS\system32\browsew.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\system32\clbcat.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Program Files\Fichiers communs\alg.exe (Trojan.Agent) -> Quarantined and deleted successfully.
2)
-----------\\ ToolBar S&D 1.2.9 XP/Vista
Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU 6300 @ 1.86GHz )
BIOS : Default System BIOS
USER : Soso ( Administrator )
BOOT : Normal boot
Antivirus : avast! antivirus 4.8.1356 [VPS 091123-1] 4.8.1356 (Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:48 Go (Free:5 Go)
D:\ (CD or DVD)
E:\ (Local Disk) - NTFS - Total:104 Go (Free:38 Go)
F:\ (Local Disk) - NTFS - Total:232 Go (Free:20 Go)
G:\ (Local Disk) - FAT32 - Total:931 Go (Free:728 Go)
"C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
Option : [2] ( 23/11/2009|21:18 )
C:\Program Files\Mozilla Firefox\plugins\NPAskSBr.dll
-----------\\ SUPPRESSION
Supprime! - C:\Program Files\AltNet\Download Manager
Supprime! - C:\Program Files\AltNet\My Altnet Shares
Supprime! - C:\Program Files\AskSBar\bar
Echec ! - C:\Program Files\AskSBar\SrchAstt
Echec ! - C:\Program Files\AskSBar\SrchAstt\1.bin
Echec ! - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
Supprime! - C:\DOCUME~1\Soso\APPLIC~1\Dealio\res
Supprime! - C:\DOCUME~1\Soso\APPLIC~1\Dealio\temp
Supprime! - C:\Program Files\Need2Find\bar
Supprime! - C:\DOCUME~1\Soso\Cookies\soso@need2find[1].txt
Supprime! - C:\WINDOWS\Prefetch\SEARCHSETTINGS.EXE-253CB611.pf
Supprime! - C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com
Supprime! - C:\DOCUME~1\Soso\APPLIC~1\Search Settings\kb128
Supprime! - C:\Program Files\Search Settings\kb128
Supprime! - C:\Program Files\Search Settings\SearchSettings.exe
Supprime! - C:\Program Files\Mozilla Firefox\plugins\NPAskSBr.dll
Supprime! - C:\Program Files\AltNet
Echec ! - C:\Program Files\AskSBar
Supprime! - C:\DOCUME~1\Soso\APPLIC~1\Dealio
Supprime! - C:\Program Files\Need2Find
Supprime! - C:\DOCUME~1\Soso\APPLIC~1\Search Settings
Supprime! - C:\Program Files\Search Settings
-----------\\ DEUXIEME PASSAGE
Echec ! - C:\Program Files\AskSBar\SrchAstt
Echec ! - C:\Program Files\AskSBar\SrchAstt\1.bin
Echec ! - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
Echec ! - C:\Program Files\AskSBar
-----------\\ Recherche de Fichiers / Dossiers ...
C:\Program Files\AskSBar
C:\Program Files\AskSBar\SrchAstt
C:\Program Files\AskSBar\SrchAstt\1.bin
C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
-----------\\ Extensions
(Soso) - {20a82645-c095-46ed-80e3-08825760534b} => chrome_user
-----------\\ [..\Internet Explorer\Main]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="http://www.google.com/"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="http://www.msn.com/"
--------------------\\ Recherche d'autres infections
Aucune autre infection trouvée !
1 - "C:\ToolBar SD\TB_1.txt" - 23/11/2009|21:22 - Option : [2]
-----------\\ Fin du rapport a 21:22:02,03
3)
.
======= RAPPORT D'AD-REMOVER 1.1.4.6_D | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 22.11.2009 à 23:00
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 21:26:37, 23/11/2009 | Mode Normal | Option: CLEAN
Exécuté de: C:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 3 v5.1.2600
Nom du PC: SOSO-CFE702A1D1 | Utilisateur actuel: Soso
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
C:\DOCUME~1\Soso\APPLIC~1\Dealio
C:\Program Files\AskSBar
C:\Program Files\Dealio Toolbar
C:\Program Files\Mozilla Firefox\extensions\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
C:\Windows\Installer\9ac87.msi
C:\Windows\Installer\9ac90.msi
C:\DOCUME~1\Soso\Cookies\soso@ask[1].txt
C:\DOCUME~1\Soso\Cookies\soso@kiwee[2].txt
C:\DOCUME~1\Soso\Cookies\soso@www1.kiwee[1].txt
.
HKCU\software\Dealio
HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}
HKLM\Software\Classes\CLSID\{0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2}
HKLM\Software\Classes\CLSID\{B15FD82E-85BC-430d-90CB-65DB1B030510}
HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Classes\CLSID\{F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA}
HKLM\Software\Classes\CLSID\{F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA}
HKLM\Software\Classes\CLSID\{F0D4B23B-DA4B-4daf-81E4-DFEE4931A4AA}
HKLM\software\classes\SearchSettings.BHO
HKLM\software\classes\SearchSettings.BHO.1
HKLM\Software\Classes\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC}
HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
HKLM\software\microsoft\windows\currentversion\uninstall\{0B1AAC97-8563-41D9-AE47-58E6A222F0E1}
HKLM\software\microsoft\windows\currentversion\uninstall\{94C3BB3A-56A1-43DE-A242-8B41F46E97EF}
(!) -- Fichiers temporaires supprimés.
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.0.15 [fr] *
.
Nom du profil: m6v5vwu8.default (Soso)
.
(Soso, prefs.js) Browser.download.lastDir, C:\Documents and Settings\Soso\Bureau
(Soso, prefs.js) Browser.search.defaultenginename, Yahoo
(Soso, prefs.js) Browser.search.selectedEngine, Google
.
.
* Internet Explorer Version 6.0.2900.5512 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Documents and Settings\Soso\Application Data\uTorrent\Adobe Photoshop Lightroom 2.5 Build 605155 Final + Serials.rar.torrent
C:\Documents and Settings\Soso\Local Settings\Application Data\Adobe\Updater6\Install\pselements7-en_US\Patcher.exe
.
===================================
.
3459 Octet(s) - C:\Ad-Report-CLEAN[1].log
.
3833 Fichier(s) - C:\DOCUME~1\Soso\LOCALS~1\Temp
44 Fichier(s) - C:\WINDOWS\Temp
.
18 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
84 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE
.
Fin à: 0:18:56 | 24/11/2009 - CLEAN[1]
.
============== E.O.F ==============
.
Voili voilou....
Marsh Posté le 25-11-2009 à 10:17:26
Il y a un peu de tout, dans ce que tu as attrapé... il va falloir faire plus attention
Search setings, AskBar, DealioBar, Need2Find, KiweeBar (qui avait laissé des restes)... tous sont nuisibles. Ne les retélécharge pas et évite les barres d'outils à l'avenir.
Autre chose : Tu as un logiciel sur ton ordinateur qui permet d'en prendre le contrôle à distance (WinVNC). C'est voulu ?
Et encore une petite question :
O4 - HKLM\..\Run: [Application Layer Gateway] C:\Program Files\Fichiers communs\alg.exe
=> Sais-tu à quoi correspond cette ligne ?
On va passer un Fix supplémentaire par précaution.
- Télécharge SDfix (créé par AndyManchesta) et enregistre-le sur le Bureau
- Double cliquer sur SDFix.exe et choisir Install pour l'extraire dans un dossier dédié sur ton disque C:\
/!\ Démarre le PC en mode sans échec : au démarrage, après le bip et avant le logo Windows tapoter sur la touche F8 (ou F5)
- A l'ouverture de la session, choisi ton compte, pas celui de l'Administrateur ou autre.
- Suis alors les instructions ci-dessous (toujours en mode sans échec) :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuyer sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuyer sur une touche pour redémarrer le PC.
• Le système sera plus long pour redémarrer que d'habitude car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera "Finished".
• Appuyer sur une touche pour finir l'exécution du script et charger les icônes du Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt
• Enfin, copier/coller le contenu du fichier Report.txt dans la prochaine réponse stp
(n'hésite pas à imprimer ces instructions, étant donné que le mode sans échec est déporvu de connexion Internet)
Message édité par Adaron le 25-11-2009 à 10:20:24
Marsh Posté le 25-11-2009 à 21:15:33
Alors WinVNC c'est normal, c'est pour pouvoir accéder au pc de mon boulot depuis chez moi. Pourquoi c'est risqué?
alg.exe ... aucune idée
Quand tu dis "A l'ouverture de la session, choisi ton compte, pas celui de l'Administrateur ou autre. " je peux quand meme faire ca si je suis administrateur de ma machine?
MErci encore!
Marsh Posté le 26-11-2009 à 09:17:41
| Citation : Quand tu dis "A l'ouverture de la session, choisi ton compte, pas celui de l'Administrateur ou autre. " je peux quand meme faire ca si je suis administrateur de ma machine? |
Oui, tu peux !
En fait, il faut que tu choisisses le compte que tu utilises d'habitude, car c'est sur celui-ci que les infections peuvent se trouver, en plus d'être dans des dossiers comme system32 par exemple.
Ok pour WinVNC, mais dans ce cas l'idéal serait que tu utilises un mot de passe pour plus de sécurité. Il me semble qu'il le propose. Du moins, c'est le cas de Ultra VNC qui est un logiciel similaire.
J'attends donc ton rapport de SD Fix avant de passer à la suite
Marsh Posté le 26-11-2009 à 19:23:33
SDFix: Version 1.240
Run by Soso on 26/11/2009 at 18:53
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
Checking Services :
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
Checking Files :
No Trojan Files Found
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-26 19:05:25
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Azureus\\Azureus.exe"="C:\\Program Files\\Azureus\\Azureus.exe:*:Enabled:Azureus"
"C:\\Program Files\\Kazaa\\kazaa.exe"="C:\\Program Files\\Kazaa\\kazaa.exe:*:Enabled:Kazaa"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe:*:Enabled:hpqcopy.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe:*:Enabled:hpfccopy.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"="C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe:*:Enabled:hpqphunl.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
"C:\\Program Files\\EasyGuppY+\\Hermes\\Hermes.exe"="C:\\Program Files\\EasyGuppY+\\Hermes\\Hermes.exe:*:Enabled:Hermes EMail Server"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Program Files\\RealVNC\\VNC4\\vncviewer.exe"="C:\\Program Files\\RealVNC\\VNC4\\vncviewer.exe:*:Enabled:VNC Viewer Free Edition for Win32"
"C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
Remaining Files :
Files with Hidden Attributes :
Tue 26 Aug 2008 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Fri 5 Jun 2009 32,256 ...H. --- "C:\Documents and Settings\Soso\Bureau\~WRL0001.tmp"
Fri 5 Jun 2009 32,256 ...H. --- "C:\Documents and Settings\Soso\Bureau\~WRL0003.tmp"
Thu 11 Jun 2009 32,256 ...H. --- "C:\Documents and Settings\Soso\Bureau\~WRL0004.tmp"
Fri 5 Jun 2009 30,720 ...H. --- "C:\Documents and Settings\Soso\Bureau\~WRL0074.tmp"
Fri 5 Jun 2009 31,232 ...H. --- "C:\Documents and Settings\Soso\Bureau\~WRL0250.tmp"
Thu 11 Jun 2009 32,256 ...H. --- "C:\Documents and Settings\Soso\Bureau\~WRL0435.tmp"
Thu 11 Jun 2009 32,256 ...H. --- "C:\Documents and Settings\Soso\Bureau\~WRL0473.tmp"
Fri 5 Jun 2009 32,768 ...H. --- "C:\Documents and Settings\Soso\Bureau\~WRL0583.tmp"
Thu 11 Jun 2009 31,744 ...H. --- "C:\Documents and Settings\Soso\Bureau\~WRL1186.tmp"
Fri 5 Jun 2009 32,256 ...H. --- "C:\Documents and Settings\Soso\Bureau\~WRL1187.tmp"
Fri 5 Jun 2009 30,720 ...H. --- "C:\Documents and Settings\Soso\Bureau\~WRL1260.tmp"
Thu 11 Jun 2009 32,256 ...H. --- "C:\Documents and Settings\Soso\Bureau\~WRL1470.tmp"
Fri 5 Jun 2009 31,744 ...H. --- "C:\Documents and Settings\Soso\Bureau\~WRL1476.tmp"
Fri 5 Jun 2009 31,232 ...H. --- "C:\Documents and Settings\Soso\Bureau\~WRL2315.tmp"
Fri 5 Jun 2009 31,232 ...H. --- "C:\Documents and Settings\Soso\Bureau\~WRL2400.tmp"
Fri 5 Jun 2009 30,720 ...H. --- "C:\Documents and Settings\Soso\Bureau\~WRL2776.tmp"
Fri 5 Jun 2009 31,744 ...H. --- "C:\Documents and Settings\Soso\Bureau\~WRL2777.tmp"
Thu 11 Jun 2009 32,256 ...H. --- "C:\Documents and Settings\Soso\Bureau\~WRL2977.tmp"
Thu 11 Jun 2009 32,768 ...H. --- "C:\Documents and Settings\Soso\Bureau\~WRL3261.tmp"
Thu 11 Jun 2009 30,720 ...H. --- "C:\Documents and Settings\Soso\Bureau\~WRL3437.tmp"
Thu 11 Jun 2009 32,768 ...H. --- "C:\Documents and Settings\Soso\Bureau\~WRL3468.tmp"
Fri 5 Jun 2009 31,232 ...H. --- "C:\Documents and Settings\Soso\Bureau\~WRL3603.tmp"
Fri 5 Jun 2009 31,232 ...H. --- "C:\Documents and Settings\Soso\Bureau\~WRL3720.tmp"
Thu 19 Nov 2009 42,496 ...H. --- "C:\Documents and Settings\Soso\Application Data\Microsoft\ModŠles\~WRL0813.tmp"
Tue 23 Oct 2007 3,350,528 A..H. --- "C:\Documents and Settings\Soso\Application Data\U3\temp\Launchpad Removal.exe"
Finished!
Voili voilou..
Marsh Posté le 27-11-2009 à 09:24:51
Ok !
Peux-tu poster un nouveau rapport avec RSIT (normalement le dernier) pour vérification stp?
Si tout est ok, on va pouvoir finir ^^
Marsh Posté le 28-11-2009 à 00:18:54
Logfile of random's system information tool 1.06 (written by random/random)
Run by Soso at 2009-11-28 00:18:14
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 15 GB (30%) free of 50 GB
Total RAM: 1015 MB (29% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:18:19, on 28/11/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\CameraAssistant.exe
C:\WINDOWS\system32\ElkCtrl.exe
C:\Program Files\QuickTime\QTTask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Java\jre1.6.0_03\bin\jucheck.exe
C:\Documents and Settings\Soso\Bureau\RSIT.exe
C:\Program Files\trend micro\Soso.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\DealioToolbarIE.dll (file missing)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {0DBF7BB0-DB76-48BB-B4A1-D43A63101309} - C:\WINDOWS\system32\blackbo.dll (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll (file missing)
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll (file missing)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Logitech\Video\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll (file missing)
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - C:\Program Files\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe
--
End of file - 9407 bytes
======Scheduled tasks folder======
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
======Registry dump======
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}]
Dealio Toolbar - C:\Program Files\Dealio Toolbar\DealioToolbarIE.dll []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0DBF7BB0-DB76-48BB-B4A1-D43A63101309}]
C:\WINDOWS\system32\blackbo.dll []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B}]
Search Helper - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll [2009-05-19 137600]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll [2007-09-25 501136]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Programme d'aide de l'Assistant de connexion Windows Live - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-02-17 408440]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E15A8DC0-8516-42A1-81EA-DC94EC1ACF10}]
Windows Live Toolbar Helper - C:\Program Files\Windows Live\Toolbar\wltcore.dll []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{21FA44EF-376D-4D53-9B0F-8A89D3229068} - &Windows Live Toolbar - C:\Program Files\Windows Live\Toolbar\wltcore.dll []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"=C:\WINDOWS\system32\igfxtray.exe [2007-01-13 131072]
"HotKeysCmds"=C:\WINDOWS\system32\hkcmd.exe [2007-01-13 163840]
"Persistence"=C:\WINDOWS\system32\igfxpers.exe [2007-01-13 135168]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2007-10-25 16855552]
"SkyTel"=C:\WINDOWS\SkyTel.EXE [2007-10-11 1826816]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632]
"SunJavaUpdateSched"=C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe [2007-09-25 132496]
"HP Software Update"=C:\Program Files\HP\HP Software Update\HPWuSchd2.exe [2005-05-11 49152]
"LVCOMSX"=C:\WINDOWS\system32\LVCOMSX.EXE [2005-12-09 225280]
"LogitechCameraAssistant"=C:\Program Files\Logitech\Video\CameraAssistant.exe [2006-01-05 489472]
"LogitechVideo[inspector]"=C:\Program Files\Logitech\Video\InstallHelper.exe [2006-01-05 73728]
"LogitechCameraService(E)"=C:\WINDOWS\system32\ElkCtrl.exe [2004-11-01 262144]
"Kernel and Hardware Abstraction Layer"=C:\WINDOWS\KHALMNPR.EXE [2007-04-11 56080]
"QuickTime Task"=C:\Program Files\QuickTime\QTTask.exe [2009-05-26 413696]
"avast!"=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe [2009-09-15 81000]
"Malwarebytes Anti-Malware (reboot)"=C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe [2009-09-10 1312080]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"MsnMsgr"=C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe [2009-07-26 3883856]
"uTorrent"=C:\Program Files\uTorrent\uTorrent.exe [2009-10-05 288048]
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage
Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE
VPN Client.lnk - C:\WINDOWS\Installer\{4C271126-C295-4828-A901-5910AE0C258B}\Icon3E5562ED7.ico
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxdev.dll [2007-01-13 204800]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WdfLoadGroup]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Program Files\Azureus\Azureus.exe"="C:\Program Files\Azureus\Azureus.exe:*:Enabled:Azureus"
"C:\Program Files\Kazaa\kazaa.exe"="C:\Program Files\Kazaa\kazaa.exe:*:Enabled:Kazaa"
"C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"="C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"="C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\Program Files\HP\Digital Imaging\bin\hposid01.exe"="C:\Program Files\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe:*:Enabled:hpqcopy.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe"="C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe:*:Enabled:hpfccopy.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"="C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe"="C:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe:*:Enabled:hpqphunl.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"="C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
"C:\Program Files\EasyGuppY+\Hermes\Hermes.exe"="C:\Program Files\EasyGuppY+\Hermes\Hermes.exe:*:Enabled:Hermes EMail Server"
"C:\Program Files\eMule\emule.exe"="C:\Program Files\eMule\emule.exe:*:Enabled:eMule"
"C:\Program Files\uTorrent\uTorrent.exe"="C:\Program Files\uTorrent\uTorrent.exe:*:Enabled:µTorrent"
"C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype"
"C:\Program Files\RealVNC\VNC4\vncviewer.exe"="C:\Program Files\RealVNC\VNC4\vncviewer.exe:*:Enabled:VNC Viewer Free Edition for Win32"
"C:\Program Files\Windows Live\Messenger\wlcsdk.exe"="C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
"C:\Program Files\Windows Live\Messenger\wlcsdk.exe"="C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
shell\AutoRun\command - setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7950d6d6-0308-11de-b1a1-0019664b5e06}]
shell\AutoRun\command - setup.exe
======List of files/folders created in the last 1 months======
2009-11-26 18:47:43 ----D---- C:\WINDOWS\ERUNT
2009-11-26 18:46:14 ----A---- C:\WINDOWS\ntbtlog.txt
2009-11-26 18:41:36 ----D---- C:\SDFix
2009-11-25 03:00:55 ----HDC---- C:\WINDOWS\$NtUninstallKB976098-v2$
2009-11-25 03:00:47 ----HDC---- C:\WINDOWS\$NtUninstallKB973687$
2009-11-23 21:26:36 ----D---- C:\Program Files\Ad-Remover
2009-11-23 21:18:31 ----A---- C:\TB.txt
2009-11-23 21:17:21 ----D---- C:\ToolBar SD
2009-11-22 20:15:54 ----D---- C:\Documents and Settings\Soso\Application Data\Malwarebytes
2009-11-22 20:15:49 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2009-11-22 20:15:49 ----D---- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2009-11-22 20:09:28 ----D---- C:\rsit
2009-11-22 20:09:28 ----D---- C:\Program Files\trend micro
2009-11-12 03:00:33 ----HDC---- C:\WINDOWS\$NtUninstallKB969947$
2009-11-05 03:00:38 ----HDC---- C:\WINDOWS\$NtUninstallKB976749$
2009-11-05 01:19:42 ----D---- C:\Program Files\Windows Live
2009-11-04 17:41:46 ----A---- C:\WINDOWS\Instaler Setup Log.txt
2009-11-04 17:23:32 ----D---- C:\Documents and Settings\Soso\Application Data\MSNInstaller
2009-11-02 20:05:05 ----A---- C:\WINDOWS\setuplog.txt
======List of files/folders modified in the last 1 months======
2009-11-28 00:18:18 ----D---- C:\WINDOWS\Prefetch
2009-11-28 00:17:14 ----D---- C:\Documents and Settings\Soso\Application Data\uTorrent
2009-11-28 00:07:29 ----D---- C:\Program Files\Mozilla Firefox
2009-11-28 00:05:16 ----D---- C:\WINDOWS\Temp
2009-11-28 00:05:16 ----D---- C:\WINDOWS\system32\CatRoot2
2009-11-27 07:54:41 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-11-26 18:52:04 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-11-26 18:47:43 ----D---- C:\WINDOWS
2009-11-25 03:17:31 ----D---- C:\WINDOWS\system32
2009-11-25 03:00:57 ----HD---- C:\WINDOWS\inf
2009-11-25 03:00:54 ----A---- C:\WINDOWS\imsins.BAK
2009-11-25 03:00:35 ----HD---- C:\WINDOWS\$hf_mig$
2009-11-25 03:00:30 ----SHD---- C:\WINDOWS\Installer
2009-11-25 03:00:30 ----HD---- C:\Config.Msi
2009-11-25 03:00:29 ----D---- C:\WINDOWS\WinSxS
2009-11-23 23:33:45 ----RD---- C:\Program Files
2009-11-22 20:29:39 ----D---- C:\Program Files\Fichiers communs
2009-11-22 20:15:50 ----D---- C:\WINDOWS\system32\drivers
2009-11-19 09:44:23 ----D---- C:\Documents and Settings\Soso\Application Data\Shareaza
2009-11-19 09:39:43 ----D---- C:\Program Files\eMule
2009-11-13 16:02:14 ----RSD---- C:\WINDOWS\Fonts
2009-11-11 18:12:28 ----D---- C:\Documents and Settings\Soso\Application Data\Image Zone Express
2009-11-05 18:36:22 ----A---- C:\WINDOWS\system32\MRT.exe
2009-11-04 17:42:38 ----D---- C:\Program Files\MSECache
2009-11-04 17:23:35 ----D---- C:\Program Files\MSN
2009-11-04 17:18:09 ----D---- C:\WINDOWS\system
2009-11-01 01:11:53 ----D---- C:\Documents and Settings\Soso\Application Data\vlc
======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R1 Aavmker4;avast! Asynchronous Virus Monitor; C:\WINDOWS\system32\drivers\Aavmker4.sys [2009-09-15 27408]
R1 aswSP;avast! Self Protection; C:\WINDOWS\system32\drivers\aswSP.sys [2009-09-15 114768]
R1 aswTdi;avast! Network Shield Support; C:\WINDOWS\system32\drivers\aswTdi.sys [2009-09-15 52368]
R1 intelppm;Pilote de processeur Intel; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40576]
R1 kbdhid;Pilote HID de clavier; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R2 aswFsBlk;aswFsBlk; C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2009-09-15 20560]
R2 aswMon2;avast! Standard Shield Support; C:\WINDOWS\system32\drivers\aswMon2.sys [2009-09-15 94160]
R2 CVPNDRVA;Cisco Systems Inc. IPSec Driver; \??\C:\WINDOWS\system32\Drivers\CVPNDRVA.sys []
R2 irda;Protocole IrDA; C:\WINDOWS\system32\DRIVERS\irda.sys [2008-04-13 88192]
R2 PDIHWCTL;PDIHWCTL; \??\C:\WINDOWS\system32\drivers\pdihwctl.sys []
R3 aswRdr;aswRdr; C:\WINDOWS\system32\drivers\aswRdr.sys [2009-09-15 23152]
R3 DNE;Deterministic Network Enhancer Miniport; C:\WINDOWS\system32\DRIVERS\dne2000.sys [2008-03-29 125328]
R3 HDAudBus;Pilote de bus Microsoft UAA pour High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 HidUsb;Pilote de classe HID Microsoft; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\igxpmp32.sys [2007-01-13 5672032]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2007-11-01 4620288]
R3 irsir;Pilote série infrarouge Microsoft; C:\WINDOWS\system32\DRIVERS\irsir.sys [2001-08-17 18688]
R3 LHidFilt;Logitech SetPoint KMDF HID Filter Driver; C:\WINDOWS\system32\DRIVERS\LHidFilt.Sys [2007-04-11 34832]
R3 LMouFilt;Logitech SetPoint KMDF Mouse Filter Driver; C:\WINDOWS\system32\DRIVERS\LMouFilt.Sys [2007-04-11 36112]
R3 LVPrcMon;Logitech LVPrcMon Driver; \??\C:\WINDOWS\system32\drivers\LVPrcMon.sys []
R3 mouhid;Pilote HID de souris; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-23 12288]
R3 Rasirda;Miniport réseau étendu (IrDA); C:\WINDOWS\system32\DRIVERS\rasirda.sys [2001-08-17 19584]
R3 RTLE8023xp;Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys [2007-10-23 103296]
R3 usbccgp;Pilote parent générique USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Pilote miniport de contrôleur d'hôte amélioré Microsoft USB 2.0; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Concentrateur USB2; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
R3 usbuhci;Pilote miniport de contrôleur hôte universel USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
R3 Wdf01000;Wdf01000; C:\WINDOWS\system32\DRIVERS\Wdf01000.sys [2006-11-02 492000]
S3 catchme;catchme; \??\C:\DOCUME~1\Soso\LOCALS~1\Temp\catchme.sys []
S3 CCDECODE;Décodeur sous-titre fermé; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2008-04-13 17024]
S3 CVirtA;Cisco Systems VPN Adapter; C:\WINDOWS\system32\DRIVERS\CVirtA.sys [2007-01-18 5275]
S3 eyeonedp;eye-one display; C:\WINDOWS\system32\DRIVERS\eyeonedp.sys [2006-01-30 44344]
S3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2005-03-08 51120]
S3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2005-03-08 16496]
S3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2005-03-08 21744]
S3 L8042Kbd;Logitech SetPoint Keyboard Driver; C:\WINDOWS\system32\DRIVERS\L8042Kbd.sys [2007-04-11 20496]
S3 Lvckap;Logitech Kernel Audio Processing Filter Driver; \??\C:\WINDOWS\system32\drivers\Lvckap.sys []
S3 lvmvdrv;Logitech Machine Vision Engine Loader; \??\C:\WINDOWS\system32\drivers\lvmvdrv.sys []
S3 LVUSBSta;Logitech USB Monitor Filter; C:\WINDOWS\system32\drivers\lvusbsta.sys [2005-05-27 22016]
S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504]
S3 NABTSFEC;Codec NABTS/FEC VBI; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2008-04-13 85248]
S3 NdisIP;Connection TV/vidéo Microsoft; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2008-04-13 10880]
S3 pepifilter;Volume Adapter; C:\WINDOWS\system32\DRIVERS\lv302af.sys [2005-05-27 7136]
S3 PID_08A0;QuickCam IM(PID_08A0); C:\WINDOWS\system32\DRIVERS\LV302AV.SYS [2005-05-27 913280]
S3 PID_PEPI;Logitech QuickCam IM(PID_PEPI); C:\WINDOWS\system32\DRIVERS\LV302V32.SYS []
S3 SLIP;Détrameur décalage BDA; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2008-04-13 11136]
S3 streamip;BDA IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2008-04-13 15232]
S3 usbaudio;Pilote USB audio (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032]
S3 usbprint;Classe d'imprimantes USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;Pilote de scanneur USB; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 vsdatant;vsdatant; \??\C:\WINDOWS\system32\vsdatant.sys []
S3 WSTCODEC;Codec Teletext standard; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R2 AdobeActiveFileMonitor7.0;Adobe Active File Monitor V7; C:\Program Files\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe [2008-09-16 169312]
R2 aswUpdSv;avast! iAVS4 Control Service; C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe [2009-09-15 18752]
R2 avast! Antivirus;avast! Antivirus; C:\Program Files\Alwil Software\Avast4\ashServ.exe [2009-09-15 138680]
R2 CVPND;Cisco Systems, Inc. VPN Service; C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe [2008-04-17 1528608]
R2 Irmon;Moniteur infrarouge; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 LVPrcSrv;Logitech Process Monitor; c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe [2005-12-09 81920]
R2 NMSAccessU;NMSAccessU; C:\Program Files\CDBurnerXP\NMSAccessU.exe [2009-07-13 71096]
R2 SeaPort;SeaPort; C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-05-19 240512]
R2 WinVNC4;VNC Server Version 4; C:\Program Files\RealVNC\VNC4\WinVNC4.exe [2008-10-15 439632]
R3 avast! Mail Scanner;avast! Mail Scanner; C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe [2009-09-15 254040]
R3 avast! Web Scanner;avast! Web Scanner; C:\Program Files\Alwil Software\Avast4\ashWebSv.exe [2009-09-15 352920]
S2 Nero BackItUp Scheduler 4.0;Nero BackItUp Scheduler 4.0; C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe []
S2 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\system32\HPZipm12.exe [2004-09-29 69632]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FLEXnet Licensing Service;FLEXnet Licensing Service; C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [2009-03-16 655624]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]
-----------------EOF-----------------
Marsh Posté le 30-11-2009 à 09:50:41
Très bien, ton ordinateur n'est plus infecté ^^
Voilà quelques conseils qui t'aideront à optimiser et à mieux sécuriser ton ordinateur.
1) Les barres d'outils => Elles s'installent souvent en supplément avec un logiciel gratuit. En plus d'être inutiles, elles encombrent les navigateurs et les rendent instables. Certaines barres d'outils sont carrément néfastes et récoltent des informations personnelles pour les communiquer à d'autres personnes, ce qui pourrait conduire à une pub intempestive ciblée, par exemple. Le mieux est donc de les éviter.
2) Attention à ce que tu installes parmi les logiciels gratuits, pour ne pas attraper d'autres infections. Il faut notamment éviter tout ce qui est en rapport avec des cracks et des keygens, à eux seuls ils forment le principal vecteur d'infections.
3) Améliore ton rapport HijackThis pour alléger ton ordi et l'optimiser.
- Lance le logiciel de diagnostic HijackThis, que RSIT a installé ici :
C:\Program Files\trend micro\Soso.exe
- Clique alors sur "Do a system scan only"
- Coche toutes ces lignes en gras qui sont inutiles (la première est nuisible) :
R3 - Default URLSearchHook is missing
O2 - BHO: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\DealioToolbarIE.dll (file missing)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {0DBF7BB0-DB76-48BB-B4A1-D43A63101309} - C:\WINDOWS\system32\blackbo.dll (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VPN Client.lnk = ?
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
- Une fois cochées, clique alors sur FixChecked.
4) J'ai vu que tu avais FireFox. Pour le surf sur le net, FireFox est réputé comme étant un navigateur plus sûr qu'Internet Explorer.
Aussi, je te conseille fortement le module de sécurité WOT qui t'avertira des sites web dangereux.
- Tu peux l'avoir pour Fire Fox sur ce lien
- Ou sur celui-ci si tu veux le mettre sur Internet Explorer.
5) Logiciels de protection
- Antivirus : Avast est un bon antivirus, mais trop lent au niveau de la mise à jour de leur labos, ils ont plusieurs jours de retard par rapport à d'autres antivirus, ce qui fait que l'utilisateur d'avast n'est pas protégé contre les menaces les plus récentes pendant un laps de plusieurs jours. Je te conseille de le remplacer par un autre antivirus gratuit comme Antivir ou AVG9.
Pour plus d'infos, voici les liens vers deux articles intéressants qui datent mais dont le contenu est actuellement toujours vrai :
- Avast vs Antivir
- Avast vs Antivir vs AVG 8
- Antispyware : L'antispyware est moins vital que l'anti-virus mais ça peut être bien d'en avoir un, si ton ordi le supporte bien. Spybot et Windows Defender sont de bons antuspywares. Sinon, l'antivuris AVG 9 a un antispyware intégré.
En complément, garde Malwarebytes' Anti-Malware qui est un très bon anti-malware généraliste, et fais des scans régulièrement avec. Ce n'est pas un logiciel de protection, mais de détection et de suppression.
Télécharge aussi ce petit logiciel qui t'aidera à nettoyer ton ordi et le registre en virrant tous les éléments inutilisables ou obsolètes :
- Télécharge et installe Ccleaner (clique sur Download en haut à droite de la page). Une fois installé, lance le logiciel.
- Clique sur Options → avancé → décoche « effacer uniquement les fichiers plus vieux que 48h »
- Puis Nettoyeur → Analyse → Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
- Enfin, Registre → corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.
(Tu peux garder ce logiciel et l'utiliser régulièrement).
6) Mets à jour ton ordinateur => chaque mise à jour effectuée est une faille de sécurité à exploiter en moins. Ici, Internet Explorer n'est pas à jour, et ça peut être très risqué, même si tu ne l'utilises pas (il fait partie de Windows).
- Tu peux télécharger Internet Explorer 8 -ici-
Maintiens régulièrement Windows (avec Windows Update) et tous tes autres logiciels à jour.
7) Il faut maintenant Purger la restauration système pour supprimer d'éventuelles restes d'infections qui se réfugient parfois dedans pour revenir plus tard après nettoyage. Fais ça dans l'ordre :
- Clique sur Démarrer -> Accessoires -> Outils système -> Restauration du système
- Clique ensuite sur "Paramètres de la restauration système" (le lien bleu qui se trouve sur la gauche)
- Dans la nouvelle fenêtre, coche "Désactiver la restauration du système", et valide en cliquant sur Appliquer, puis sur Ok
Refais ensuite la manip en sens inverse pour réactiver la restauration système (décoche la case) -> Appliquer, puis Ok.
Pour finir, créé un point de restaution sain :
- Retourne dans Restauration du Système et coche "Créer un point de restauration" -> clique sur Suviant
- Donner-lui un nom (de ton choix mais assez parlant => "après désinfection" par exemple) et clique sur Créer.
8) On va maintenant nettoyer ton ordi de tous les outils qui ont servi à sa désinfection
- Télécharge Toolscleaner sur ton Bureau.
- Double-clique sur ToolsCleaner2.exe et clique sur "Recherche", puis laisse le scan se terminer.
- Clique sur Suppression pour finaliser.
- Tu peux aussi supprimer les fichiers temporaires.
- S'il ne supprime pas tout, supprime ce qu'il a laissé manuellement, puis supprime aussi Toolscleaner.
9) En dernier lieu, je t'invite à lire (ou à télécharger) ce dossier au format PDF sur la sécurité et la prévention qui t'en apprendra un peu plus sur les virus et t'aidera à les éviter. Environ 10min de lecture très instructive et utile.
(Si tu ne peux pas lire le document, télécharge la dernière version d'Adobe Reader -ici-. Pense à décocher la barre d'outils Google avant de cliquer sur "Télécharger". Souviens-toi de ce que je te disais dans mon 1) )
Si tu as des questions, n'hésite pas à me les adresser ici ou par MP
Bonne continuation ^^
Message édité par Adaron le 30-11-2009 à 09:57:18
Marsh Posté le 30-11-2009 à 18:09:29
Merci pour tout ces conseils mais mon ordinateur est toujours infecté! Il me demande toujours de supprimer la dll comre du system32 de windows!
Comment puis-je me débarrasser de ca?
Marsh Posté le 30-11-2009 à 18:24:14
Ton rapport était propre, excepté cette ligne :
R3 - Default URLSearchHook is missing
Que tu as dû, normalement, cocher et désactiver avec HijackThis en cliquand sur FixChecked, comme expliqué dans mon 3)
Si après ça tu as des messages d'alerte, c'est étrange.
Tu as gardé Avast, finalement? A ta place, je mettrais autre chose.
Mais pour l'instant, le seul moyen d'être certain qu'il ne reste rien, c'est un scan antivirus en ligne.
Suis ce tuto pour faire un scan en ligne de ton PC avec l'un des antivirus en ligne proposés (BitDefender, Panda, etc...)
Un seul suffira. Suis bien les instructions et poste le rapport de fin de scan quand tu l'auras fait (prévois au moins une heure pour le scan).
Autre chose, la plupart des antivirus en ligne ne fonctionnent qu'avec Internet Explorer. Donc ça ne marchera pas si tu passes par FireFox.
J'attends ton rapport 
Marsh Posté le 05-12-2009 à 18:39:25
Alors ca doit etre ca le rapport je suppose:
;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-12-05 18:37:56
PROTECTIONS: 1
MALWARE: 24
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
avast! antivirus 4.8.1368 [VPS 091204-0] 4.8.1368 No Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00029258 application/altnet HackTools No 0 Yes No c:\documents and settings\soso\local settings\temp\admcache
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\interface\{258a3625-183b-4477-aee2-ea54df6d878d}
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\typelib\{676f6d1d-c559-42a9-860b-27c1477b7179}
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\typelib\{bff4f684-677e-44f4-8c74-1d575c950e10}
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\clsid\{1d3bce37-7834-4579-8169-e67681420a98}
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\typelib\{5830698f-7fc0-40cd-a453-9a0cafdf3a64}
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\clsid\{b7156514-a76c-4545-9d5b-a4e1d02c7aec}
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\clsid\{def37997-d9c9-4a4b-bf3c-88f99eaceec2}
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\appid\adm.exe
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\appid\{99a8e2b2-3405-4c0d-9110-131c14caaf62}
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\appid\adm.exe
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\appid\{99a8e2b2-3405-4c0d-9110-131c14caaf62}
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\adm.adm
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\adm25.adm25
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\adm25.adm25.1
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\adm4.adm4
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\topsearch.tslink
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\topsearch.tslink.1
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\adm.adm
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\adm.adm.1
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\adm25.adm25
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\adm25.adm25.1
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\adm4.adm4
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\adm4.adm4.1
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\topsearch.tslink
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\topsearch.tslink.1
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\interface\{e79dadc6-18d0-4a2a-831f-d196d41f8438}
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\clsid\{def37997-d9c9-4a4b-bf3c-88f99eaceec2}
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\typelib\{676f6d1d-c559-42a9-860b-27c1477b7179}
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\clsid\{1d3bce37-7834-4579-8169-e67681420a98}
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\interface\{582ab125-1403-42fb-9efb-198690ba1496}
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\clsid\{b7156514-a76c-4545-9d5b-a4e1d02c7aec}
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\documents and settings\soso\cookies\soso@doubleclick[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\documents and settings\soso\cookies\soso@atdmt[2].txt
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No c:\documents and settings\soso\cookies\soso@tradedoubler[2].txt
00167014 adware/rxtoolbar Adware No 1 Yes No hkey_current_user\software\microsoft\windows\currentversion\ext\stats\{25d8bacf-3de2-4b48-ae22-d659b8d835b0}
00167704 Cookie/Xiti TrackingCookie No 0 Yes No c:\documents and settings\soso\cookies\soso@xiti[1].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\documents and settings\soso\cookies\soso@ad.yieldmanager[1].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\documents and settings\soso\cookies\soso@serving-sys[2].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\documents and settings\soso\cookies\soso@serving-sys[1].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\documents and settings\soso\cookies\soso@bs.serving-sys[1].txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No c:\documents and settings\soso\cookies\soso@weborama[2].txt
00169752 application/need2find HackTools No 0 Yes No hkey_classes_root\interface\{4d1c4e8a-a32a-416b-bcdb-33b3ef3617d3}
00169752 application/need2find HackTools No 0 Yes No hkey_current_user\software\need2find
00169752 application/need2find HackTools No 0 Yes No hkey_local_machine\software\classes\clsid\{630d6140-04c5-4db0-b27a-020d766ff09b}
00169752 application/need2find HackTools No 0 Yes No hkey_classes_root\clsid\{630d6140-04c5-4db0-b27a-020d766ff09b}
00170495 Cookie/PointRoll TrackingCookie No 0 Yes No c:\documents and settings\soso\cookies\soso@ads.pointroll[2].txt
00173520 Cookie/Bluestreak TrackingCookie No 0 Yes No c:\documents and settings\soso\cookies\soso@bluestreak[2].txt
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No c:\documents and settings\soso\cookies\soso@smartadserver[2].txt
00361460 Application/Altnet HackTools No 0 Yes No c:\system volume information\_restore{5da902c7-a205-432a-992a-dc6b7f5662da}\rp413\a0043722.dll
00361460 Application/Altnet HackTools No 0 Yes No c:\toolbar sd\backup-tb\program files\altnet\admdata.dll
00702049 Rootkit/WUpd.N HackTools No 0 Yes No c:\system volume information\_restore{5da902c7-a205-432a-992a-dc6b7f5662da}\rp412\a0043634.exe
00702049 Rootkit/WUpd.N HackTools No 0 Yes No c:\system volume information\_restore{5da902c7-a205-432a-992a-dc6b7f5662da}\rp412\a0043643.exe
01258047 Generic Trojan Virus/Trojan No 0 Yes No c:\system volume information\_restore{5da902c7-a205-432a-992a-dc6b7f5662da}\rp356\a0040103.dll
01258047 Generic Trojan Virus/Trojan No 0 Yes No c:\windows\system32\comre.dll
01362113 Generic Trojan Virus/Trojan No 0 Yes No c:\windows\system32\atmpvcn.dll
01362113 Generic Trojan Virus/Trojan No 0 Yes No c:\windows\system32\bthser.dll
01362113 Generic Trojan Virus/Trojan No 0 Yes No c:\system volume information\_restore{5da902c7-a205-432a-992a-dc6b7f5662da}\rp412\a0043653.dll
01362113 Generic Trojan Virus/Trojan No 0 Yes No c:\system volume information\_restore{5da902c7-a205-432a-992a-dc6b7f5662da}\rp412\a0043652.dll
01362113 Generic Trojan Virus/Trojan No 0 Yes No c:\system volume information\_restore{5da902c7-a205-432a-992a-dc6b7f5662da}\rp408\a0043216.dll
02136172 Trj/Delf.ZL Virus/Trojan No 0 Yes No c:\windows\system32\comsvc.dll
02136172 Trj/Delf.ZL Virus/Trojan No 0 Yes No c:\windows\system32\adsldpg.dll
02136172 Trj/Delf.ZL Virus/Trojan No 0 Yes No c:\windows\system32\ativtmx.dll
02457090 Generic Trojan Virus/Trojan No 0 Yes No c:\system volume information\_restore{5da902c7-a205-432a-992a-dc6b7f5662da}\rp412\a0043626.exe
02457090 Generic Trojan Virus/Trojan No 0 Yes No c:\system volume information\_restore{5da902c7-a205-432a-992a-dc6b7f5662da}\rp412\a0043636.exe
02457090 Generic Trojan Virus/Trojan No 0 Yes No c:\system volume information\_restore{5da902c7-a205-432a-992a-dc6b7f5662da}\rp412\a0043632.exe
02458971 Generic Trojan Virus/Trojan No 0 Yes No c:\system volume information\_restore{5da902c7-a205-432a-992a-dc6b7f5662da}\rp412\a0043633.exe
02458971 Generic Trojan Virus/Trojan No 0 Yes No c:\system volume information\_restore{5da902c7-a205-432a-992a-dc6b7f5662da}\rp412\a0043627.exe
02458971 Generic Trojan Virus/Trojan No 0 Yes No c:\system volume information\_restore{5da902c7-a205-432a-992a-dc6b7f5662da}\rp412\a0043641.exe
02550523 Generic Trojan Virus/Trojan No 0 Yes No c:\system volume information\_restore{5da902c7-a205-432a-992a-dc6b7f5662da}\rp412\a0043637.exe
02550523 Generic Trojan Virus/Trojan No 0 Yes No c:\system volume information\_restore{5da902c7-a205-432a-992a-dc6b7f5662da}\rp412\a0043629.exe
02673390 Generic Trojan Virus/Trojan No 0 Yes No c:\system volume information\_restore{5da902c7-a205-432a-992a-dc6b7f5662da}\rp412\a0043639.exe
03074964 Trj/CI.A Virus/Trojan No 0 Yes No c:\documents and settings\soso\bureau\toolbarsd.exe
03074964 Trj/CI.A Virus/Trojan No 0 No No c:\documents and settings\soso\bureau\ad.ph.lightroom.2.5.build.605155.rar[keygen.exe]
03074964 Trj/CI.A Virus/Trojan No 0 Yes No c:\system volume information\_restore{5da902c7-a205-432a-992a-dc6b7f5662da}\rp412\a0043631.exe
03074964 Trj/CI.A Virus/Trojan No 0 Yes No c:\system volume information\_restore{5da902c7-a205-432a-992a-dc6b7f5662da}\rp368\a0040848.exe
;===================================================================================================================================================================================
SUSPECTS
Sent Location
;===================================================================================================================================================================================
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================================================
;===================================================================================================================================================================================
Marsh Posté le 07-12-2009 à 14:46:08
Salut,
Oui c'est bien ça.
Par contre je vois que tu n'as pas fait tout ce que je t'ai demandé dans mon post du 30-11-2009 à 09:50:41. Si tu n'appliques pas mes conseils comme je te le demande, ton ordi ne sera jamais désinfecté correctement...
Fais ce qui suit, dans l'ordre.
1) Commence par désactiver la Restauration système :
- Clique sur Démarrer -> Accessoires -> Outils système -> Restauration du système
- Clique ensuite sur "Paramètres de la restauration système" (le lien bleu qui se trouve sur la gauche)
- Dans la nouvelle fenêtre, coche "Désactiver la restauration du système", et valide en cliquant sur Appliquer, puis sur Ok
Ne la réactive pas pour le moment.
2) Lance Malwarebytes Antimalware, mets-le à jour, puis exécute un examen complet. S'il trouve des éléments : coche tout ce qu'il a trouvé et clique sur Supprimer la sélection. Redémarre le PC, relance MBAM au démarrage, va dans l'onglet Rapports-logs et poste enfin le rapport le plus récent stp.
3) Lance Ccleaner (il y a un lien de téléchargement dans mon post du 30/11) :
- Clique sur Options → avancé → décoche « effacer uniquement les fichiers plus vieux que 48h »
- Puis Nettoyeur → Analyse → Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
- Enfin, Registre → corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.
4) Supprime les sources de tes infections :
c:\documents and settings\soso\bureau\ad.ph.lightroom.2.5.build.605155.rar
Ainsi que tous les autres cracks ou keygens téléchargés.
5) Pour terminer, refais le scan en ligne et poste le nouveau rapport stp.
S'il trouve des éléments néfastes, on utilisera un script de suppression.
Message édité par Adaron le 07-12-2009 à 14:46:26
Marsh Posté le 07-12-2009 à 22:04:54
J'ai refait tout ca et Malwarebyte trouve pas d'infection. Voici le rapport:
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3215
Windows 5.1.2600 Service Pack 3
07/12/2009 22:02:47
mbam-log-2009-12-07 (22-02-47).txt
Type de recherche: Examen complet (C:\|E:\|G:\|)
Eléments examinés: 356578
Temps écoulé: 57 minute(s), 59 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Je refais l'examen en ligne
Marsh Posté le 08-12-2009 à 07:44:52
Et voici l'examen en ligne:
;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-12-08 07:43:25
PROTECTIONS: 1
MALWARE: 12
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
avast! antivirus 4.8.1368 [VPS 091207-0] 4.8.1368 Yes Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\topsearch.tslink.1
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\typelib\{676f6d1d-c559-42a9-860b-27c1477b7179}
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\typelib\{bff4f684-677e-44f4-8c74-1d575c950e10}
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\appid\adm.exe
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\appid\{99a8e2b2-3405-4c0d-9110-131c14caaf62}
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\appid\adm.exe
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\appid\{99a8e2b2-3405-4c0d-9110-131c14caaf62}
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\adm.adm
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\adm25.adm25
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\adm25.adm25.1
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\adm4.adm4
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\topsearch.tslink
00029258 application/altnet HackTools No 0 Yes No hkey_local_machine\software\classes\topsearch.tslink.1
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\adm.adm
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\adm.adm.1
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\adm25.adm25
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\adm25.adm25.1
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\adm4.adm4
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\adm4.adm4.1
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\topsearch.tslink
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\interface\{258a3625-183b-4477-aee2-ea54df6d878d}
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\interface\{e79dadc6-18d0-4a2a-831f-d196d41f8438}
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\typelib\{676f6d1d-c559-42a9-860b-27c1477b7179}
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\interface\{582ab125-1403-42fb-9efb-198690ba1496}
00029258 application/altnet HackTools No 0 Yes No hkey_classes_root\typelib\{5830698f-7fc0-40cd-a453-9a0cafdf3a64}
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\documents and settings\soso\cookies\soso@doubleclick[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\documents and settings\soso\cookies\soso@atdmt[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\documents and settings\soso\cookies\soso@atdmt[2].txt
00167014 adware/rxtoolbar Adware No 1 Yes No hkey_current_user\software\microsoft\windows\currentversion\ext\stats\{25d8bacf-3de2-4b48-ae22-d659b8d835b0}
00167704 Cookie/Xiti TrackingCookie No 0 Yes No c:\documents and settings\soso\cookies\soso@xiti[1].txt
00168110 Cookie/Server.iad.Liveperson TrackingCookie No 0 Yes No c:\documents and settings\soso\cookies\soso@server.iad.liveperson[1].txt
00169752 application/need2find HackTools No 0 Yes No hkey_classes_root\interface\{4d1c4e8a-a32a-416b-bcdb-33b3ef3617d3}
00169752 application/need2find HackTools No 0 Yes No hkey_current_user\software\need2find
00361460 Application/Altnet HackTools No 0 Yes No c:\toolbar sd\backup-tb\program files\altnet\admdata.dll
01258047 Generic Trojan Virus/Trojan No 0 Yes No c:\windows\system32\comre.dll
01362113 Generic Trojan Virus/Trojan No 0 Yes No c:\windows\system32\atmpvcn.dll
01362113 Generic Trojan Virus/Trojan No 0 Yes No c:\windows\system32\bthser.dll
02136172 Trj/Delf.ZL Virus/Trojan No 0 Yes No c:\windows\system32\ativtmx.dll
02136172 Trj/Delf.ZL Virus/Trojan No 0 Yes No c:\windows\system32\adsldpg.dll
02136172 Trj/Delf.ZL Virus/Trojan No 0 Yes No c:\windows\system32\comsvc.dll
03074964 Trj/CI.A Virus/Trojan No 0 Yes No c:\documents and settings\soso\bureau\toolbarsd.exe
;===================================================================================================================================================================================
SUSPECTS
Sent Location
;===================================================================================================================================================================================
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================================================
;===================================================================================================================================================================================
Marsh Posté le 08-12-2009 à 09:51:42
Ok !
Bon, tu vois que cette fois il y a moins d'éléments qu'avant, comme quoi chaque manip a son importance
En plus, aucun des éléments dits nuisibles que le scan a trouvé n'est actif.
Il y a quelques fausses alertes aussi, par exemple sur les outils de désinfection qu'on a utilisé, et quelques cookies traceurs => rien de dangereux.
Petite question : combien de temps t'a pris le scan en ligne environ?
Sinon, il va falloir utiliser des outils plus puissant pour supprimer les infections qui persistent. Fais ce qui suit dans l'ordre. Si tout va bien, ça devrait suffire :
1) On va d'abord vérifier qu'il n'y a pas d'infection par disque amovible :
• Télécharge UsBFix et enregistre-le sur le Bureau
/!\ Branche toutes tes sources de données externes à ton PC, (clé USB, disque dur externe, lecteur MP3 etc...) susceptible d'avoir été infectés sans les ouvrir
• Double-clique sur le raccourci UsbFix présent sur ton Bureau
• Dès l'apparition du menu principal tape F (pour français) et valide en tapant sur Entrée.
• Au menu suivant, choisi directement l'option 2 ( Suppression )
• Ton bureau va disparaître et le pc va redémarrer (c'est normal).
• Au redémarrage, UsbFix va scanner automatiquement ton ordi et supprimer des éléments néfastes s'il en trouve, laisse travailler l'outil.
• Un rapport UsbFix.txt apparaîtra en même temps que le Bureau, sinon tu le trouveras dans C:\UsbFix.txt => poste le dans ta prochaine réponse s'il te plaît
• UsbFix te proposera également d'uploader un dossier compressé à cette adresse : http://forum-aide-contre-virus.be/ [...] ichier.php
Ce dossier a été créé par UsbFix et est enregistré sur ton bureau. L'envoyer à l'adresse indiquée aide l'auteur de UsbFix dans ses recherches afin de rendre l'outil meilleur.
2) Maintenant on va nettoyer le PC des outils utilisés jusque là pour mettre un peu d'ordre.
- Télécharge Toolscleaner sur ton Bureau.
- Double-clique sur ToolsCleaner2.exe et clique sur "Recherche", puis laisse le scan se terminer.
- Clique sur Suppression pour finaliser.
- Tu peux aussi supprimer les fichiers temporaires.
- S'il ne supprime pas tout, supprime ce qu'il a laissé manuellement, puis supprime aussi Toolscleaner.
3) Et on va terminer avec cet outil puissant :
/!\ A l'attention de ceux qui lisent ce sujet /!\
Le logiciel qui suit doit être utilisé avec précaution et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si une personne du forum qui connait bien cet outil vous l'a recommandé.
/!\ Désactive tous les logiciels de protection sur Pc (antivirus, pare-feu, antispyware etc) car ils risquent de gêner l'outil /!\
• Télécharge ComboFix (de sUBs) et enregistre-le sur le Bureau (pas ailleurs, sinon il ne foncitonnera pas)
• Veille à ce que toutes tes applications soient fermées, y compris tes pages Internet, puis double-clique sur le fichier exécutable présent sur le Bureau
• S'il te demande d'installer la console de récupération, accepte
• Lance le scan et laisse travailler l'outil jusqu'au bout sans rien faire d'autre et sans l'interrompre.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce dernier (C:\Combofix.txt) dans ta prochaine réponse stp.
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/co [...] r-combofix
Message édité par Adaron le 08-12-2009 à 10:42:13
Marsh Posté le 08-12-2009 à 18:47:29
Voici le 1er rapport:
############################## | UsbFix V6.059 |
User : Soso (Administrateurs) # SOSO-CFE702A1D1
Update on 01/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 18:22:58 | 08/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Intel(R) Core(TM)2 CPU 6300 @ 1.86GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 091208-0] 4.8.1368 [ Enabled | Updated ]
A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 48,83 Go (18,63 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local # 104,56 Go (45,64 Go free) [Docs] # NTFS
G:\ -> Disque fixe local # 931,28 Go (729,17 Go free) [My Book] # FAT32
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe 880
C:\WINDOWS\system32\csrss.exe 928
C:\WINDOWS\system32\winlogon.exe 952
C:\WINDOWS\system32\services.exe 996
C:\WINDOWS\system32\lsass.exe 1008
C:\WINDOWS\system32\svchost.exe 1176
C:\WINDOWS\system32\logonui.exe 1260
C:\WINDOWS\system32\svchost.exe 1300
C:\WINDOWS\System32\svchost.exe 1424
C:\WINDOWS\system32\svchost.exe 1580
C:\WINDOWS\system32\svchost.exe 1732
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1936
C:\Program Files\Alwil Software\Avast4\ashServ.exe 128
C:\WINDOWS\Explorer.EXE 144
C:\WINDOWS\system32\spoolsv.exe 672
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe 708
C:\Program Files\Alwil Software\Avast4\setup\avast.setup 720
C:\WINDOWS\system32\svchost.exe 1912
C:\Program Files\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe 1960
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe 2012
C:\Program Files\CDBurnerXP\NMSAccessU.exe 272
C:\WINDOWS\system32\HPZipm12.exe 288
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe 308
C:\WINDOWS\system32\svchost.exe 1212
C:\Program Files\RealVNC\VNC4\WinVNC4.exe 1336
C:\WINDOWS\system32\wuauclt.exe 1692
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 2160
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 2192
C:\WINDOWS\system32\wbem\wmiprvse.exe 2288
C:\WINDOWS\System32\alg.exe 2484
################## | Fichiers # Dossiers infectieux |
Supprimé ! C:\WINDOWS\autorun.ini
Supprimé ! G:\autorun.inf
################## | Spyware.OnlineGames |
################## | Registre # Clés infectieuses |
################## | Registre # Mountpoints2 |
Supprimé ! HKCU\...\Explorer\MountPoints2\G\Shell\AutoRun\Command
################## | Listing des fichiers présent |
[24/11/2009 00:18|--a------|3790] C:\Ad-Report-CLEAN[1].log
[15/01/2009 20:49|--a------|0] C:\AdobeDebug.txt
[03/08/2008 06:13|--a------|0] C:\AUTOEXEC.BAT
[03/08/2008 00:51|---hs----|216] C:\boot.ini
[05/08/2004 13:00|-rahs----|4952] C:\Bootfont.bin
[03/08/2008 06:13|--a------|0] C:\CONFIG.SYS
[05/10/2009 22:28|--a------|3872] C:\ErrLog.txt
[03/08/2008 06:13|-rahs----|0] C:\IO.SYS
[03/08/2008 06:13|-rahs----|0] C:\MSDOS.SYS
[05/08/2004 13:00|-rahs----|47564] C:\NTDETECT.COM
[03/08/2008 01:23|-rahs----|252240] C:\ntldr
[?|?|?] C:\pagefile.sys
[23/11/2009 21:22|--a------|3530] C:\TB.txt
[08/12/2009 18:27|--a------|3284] C:\UsbFix.txt
[13/07/2009 22:47|--a------|433] C:\xcrashdump.dat
[25/07/2008 11:21|--a------|18944] E:\CARNET_ADRESSES.xls
[25/07/2008 09:25|--a------|19456] E:\ContactsAdresses.xls
[07/12/2009 22:10|--ahs----|76] E:\desktop.ini
[30/09/2008 09:19|--a------|1050] E:\FilmsLivres_AVOIR.txt
[21/07/2008 10:30|--a------|1618] E:\Mails_AMIS_ICVSS.txt
[01/05/2009 20:23|--a------|786] E:\Mes dossiers de partage.lnk
[08/10/2009 06:13|--a------|536] E:\thermalphoto.m
[08/12/2008 19:42|--ahs----|39424] E:\Thumbs.db
[30/11/2008 12:43|--a------|9879] G:\sportSMALL.gif
[10/10/2009 22:30|--ahs----|7680] G:\Thumbs.db
[30/10/2009 09:00|--a------|658432] G:\THESE_SophieJarlier_v5.doc
################## | Vaccination |
# C:\autorun.inf -> Dossier créé par UsbFix.
# E:\autorun.inf -> Dossier créé par UsbFix.
# G:\autorun.inf -> Dossier créé par UsbFix.
################## | Cracks / Keygens / Serials |
"E:\CLE USB\AUPANO.PRO.1.4.2\KGN\keygen.exe"
13/07/2008 15:48 |Size 58368 |Crc32 184958e5 |Md5 aa1bd78256b4c2ee613564fb9b939cb8
################## | Upload |
Veuillez envoyer le fichier : C:\DOCUME~1\Soso\Bureau\UsbFix_Upload_Me_SOSO-CFE702A1D1.zip : http://chiquitine.changelog.fr/Sample/Upload.php
Merci pour votre contribution .
################## | ! Fin du rapport # UsbFix V6.059 ! |
Marsh Posté le 08-12-2009 à 23:22:46
Comment je fais pour arreter avast et les parefeux deja? Je suis allée dans panneau de config -> securité mais ils sont activées et je ne peux pas les desactiver par ce chemin apparemment?
Au fait le scan de la dernière fois je ne sais pas combien de temps ca a mis j'avais du le lancer avant d'aller dormir dsl...
Marsh Posté le 09-12-2009 à 10:14:08
Ok.
Attention à ça :
E:\CLE USB\AUPANO.PRO.1.4.2\KGN\keygen.exe
Sinon, pour désactiver Avast : fais un clique droit sur Avast dans la barre des tâches (à côté de l'horloge, en bas à droite), puis clique sur "Arrêter la protection résidante". Clique sur Oui pour confirmer. Tu peux alors lancer ComboFix.
Tu pourras faire la même chose en sens inverse pour relancer Avast, mais seulement quand ComboFix aura affiché son rapport.
Ne t'occupe pas du pare-feu Windows, il ne gênera pas.
Une fois ComboFix lancé, ne fais plus rien d'autre, et ne clique pas non plus sur la fenêtre de ComboFix. Il faut patienter le temps qu'il finisse proprement.
Message édité par Adaron le 09-12-2009 à 15:06:57
Marsh Posté le 09-12-2009 à 19:04:07
Voici le rapport:
ComboFix 09-12-08.07 - Soso 09/12/2009 18:37:38.1.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1015.513 [GMT 1:00]
Lancé depuis: c:\documents and settings\Soso\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 091209-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Soso\Application Data\onload.exe
C:\ErrLog.txt
c:\windows\system32\atmpvcn.dll
c:\windows\system32\bthser.dll
C:\xcrashdump.dat
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-11-09 au 2009-12-09 ))))))))))))))))))))))))))))))))))))
.
2009-12-08 17:18 . 2009-12-08 17:51 -------- d-----w- C:\UsbFix
2009-12-07 21:33 . 2009-12-07 21:33 -------- d-sh--w- c:\documents and settings\Soso\IECompatCache
2009-12-07 21:32 . 2009-12-07 21:32 -------- d-sh--w- c:\documents and settings\Soso\PrivacIE
2009-12-07 21:26 . 2009-12-07 21:26 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2009-12-07 21:10 . 2009-12-07 21:10 -------- d-sh--w- c:\documents and settings\Soso\IETldCache
2009-12-07 19:51 . 2009-12-07 19:51 -------- d-----w- c:\program files\CCleaner
2009-12-07 19:50 . 2009-12-07 19:50 -------- d-----w- c:\documents and settings\All Users\Application Data\AVS4YOU
2009-12-07 19:50 . 2009-12-07 19:50 -------- d-----w- c:\documents and settings\Soso\Application Data\AVS4YOU
2009-12-07 19:50 . 2009-12-07 19:51 -------- d-----w- c:\program files\Fichiers communs\AVSMedia
2009-12-07 19:50 . 2009-12-07 19:51 -------- d-----w- c:\program files\AVS4YOU
2009-12-07 19:49 . 2009-12-07 19:49 -------- d--h--w- c:\windows\msdownld.tmp
2009-12-07 19:49 . 2009-12-09 02:02 -------- d-----w- c:\windows\ie8updates
2009-12-07 19:47 . 2009-12-07 19:49 -------- dc-h--w- c:\windows\ie8
2009-12-07 19:46 . 2009-10-02 04:44 92160 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-12-07 19:46 . 2009-10-29 07:42 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-12-07 19:46 . 2009-10-29 07:42 1985536 -c----w- c:\windows\system32\dllcache\iertutil.dll
2009-12-07 19:46 . 2009-10-29 07:42 594432 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2009-12-07 19:46 . 2009-10-29 07:42 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2009-12-07 19:46 . 2009-10-29 07:42 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-12-07 19:46 . 2009-10-29 07:42 11069952 -c----w- c:\windows\system32\dllcache\ieframe.dll
2009-12-05 09:15 . 2009-06-30 08:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-12-05 09:15 . 2009-12-05 09:15 -------- d-----w- c:\program files\Panda Security
2009-11-26 17:52 . 2009-11-26 17:52 579584 -c--a-w- c:\windows\system32\dllcache\user32.dll
2009-11-26 17:47 . 2009-12-08 17:51 -------- d-----w- c:\windows\ERUNT
2009-11-26 17:47 . 2009-12-08 17:51 -------- d-----w- C:\Backups
2009-11-22 19:15 . 2009-11-22 19:15 -------- d-----w- c:\documents and settings\Soso\Application Data\Malwarebytes
2009-11-22 19:15 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-22 19:15 . 2009-11-22 19:15 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-11-22 19:15 . 2009-11-22 19:15 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-11-22 19:15 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-22 19:09 . 2009-12-08 17:51 -------- d-----w- c:\program files\trend micro
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-09 17:40 . 2009-10-05 20:58 -------- d-----w- c:\documents and settings\Soso\Application Data\uTorrent
2009-12-09 02:20 . 2004-08-05 12:00 80748 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-09 02:20 . 2004-08-05 12:00 500900 ----a-w- c:\windows\system32\perfh00C.dat
2009-12-08 17:55 . 2008-08-23 11:34 38264 -c--a-w- c:\documents and settings\Soso\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-11-24 23:54 . 2009-09-26 18:29 1280480 ----a-w- c:\windows\system32\aswBoot.exe
2009-11-24 23:51 . 2009-09-26 18:30 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-11-24 23:49 . 2009-09-26 18:30 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2009-09-26 18:30 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2009-09-26 18:30 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-11-24 23:47 . 2009-09-26 18:30 97480 ----a-w- c:\windows\system32\AvastSS.scr
2009-11-19 08:44 . 2008-08-23 12:10 -------- d-----w- c:\documents and settings\Soso\Application Data\Shareaza
2009-11-19 08:39 . 2009-10-04 19:36 -------- d-----w- c:\program files\eMule
2009-11-11 17:12 . 2008-09-10 15:13 -------- d-----w- c:\documents and settings\Soso\Application Data\Image Zone Express
2009-11-05 00:19 . 2009-11-05 00:19 -------- d-----w- c:\program files\Windows Live
2009-11-04 16:42 . 2009-09-18 16:15 -------- d-----w- c:\program files\MSECache
2009-11-04 16:23 . 2009-11-04 16:23 -------- d-----w- c:\documents and settings\Soso\Application Data\MSNInstaller
2009-11-01 00:11 . 2009-09-11 18:57 -------- d-----w- c:\documents and settings\Soso\Application Data\vlc
2009-10-29 07:42 . 2004-08-05 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2009-10-23 06:45 . 2009-10-20 20:58 -------- d-----w- c:\program files\Microsoft Silverlight
2009-10-21 05:39 . 2004-08-05 12:00 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:39 . 2004-08-05 12:00 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 20:58 . 2009-10-20 20:55 -------- d-----w- c:\program files\Microsoft
2009-10-20 20:57 . 2009-10-20 20:57 -------- d-----w- c:\program files\Microsoft Sync Framework
2009-10-20 20:57 . 2009-10-20 20:57 -------- d-----w- c:\program files\Microsoft SQL Server Compact Edition
2009-10-20 16:20 . 2004-08-05 12:00 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-17 10:00 . 2008-11-30 17:46 -------- d-----w- c:\documents and settings\Soso\Application Data\FileZilla
2009-10-16 06:53 . 2008-08-20 16:59 -------- d-----w- c:\documents and settings\Soso\Application Data\Skype
2009-10-16 06:52 . 2008-08-20 17:01 -------- d-----w- c:\documents and settings\Soso\Application Data\skypePM
2009-10-13 10:33 . 2004-08-05 12:00 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:39 . 2004-08-05 12:00 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:39 . 2004-08-05 12:00 150528 ----a-w- c:\windows\system32\rastls.dll
2009-10-11 19:05 . 2008-08-03 05:22 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-09-18 17:05 . 2009-01-14 18:18 -------- d-----w- c:\windows\Fonts\Fonts
2009-09-15 10:56 . 2009-09-26 18:30 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-09-15 10:55 . 2009-09-26 18:30 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-09-15 10:55 . 2009-09-26 18:30 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-09-11 14:18 . 2004-08-05 12:00 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-05-01 21:02 . 2009-07-14 00:16 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-07-14 00:16 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2009-10-05 288048]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-01-13 131072]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-01-13 163840]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-01-13 135168]
"RTHDCPL"="RTHDCPL.EXE" [2007-10-25 16855552]
"SkyTel"="SkyTel.EXE" [2007-10-11 1826816]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-24 132496]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
"LogitechCameraAssistant"="c:\program files\Logitech\Video\CameraAssistant.exe" [2006-01-05 489472]
"LogitechVideo[inspector]"="c:\program files\Logitech\Video\InstallHelper.exe" [2006-01-05 06:15 73728]
"LogitechCameraService(E)"="c:\windows\system32\ElkCtrl.exe" [2004-11-01 262144]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 56080]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-5-11 282624]
Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-10-18 67128]
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2008-10-18 692224]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"c:\\Program Files\\EasyGuppY+\\Hermes\\Hermes.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\RealVNC\\VNC4\\vncviewer.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [05/12/2009 10:15 28552]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [26/09/2009 19:30 114768]
R2 AdobeActiveFileMonitor7.0;Adobe Active File Monitor V7;c:\program files\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe [16/09/2008 12:03 169312]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [26/09/2009 19:30 20560]
R2 PDIHWCTL;PDIHWCTL;c:\windows\system32\drivers\pdihwctl.sys [30/04/2009 15:45 14416]
S3 eyeonedp;eye-one display;c:\windows\system32\drivers\EyeOneDp.sys [30/04/2009 15:45 44344]
.
------- Examen supplémentaire -------
.
mWindow Title =
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
FF - ProfilePath - c:\documents and settings\Soso\Application Data\Mozilla\Firefox\Profiles\m6v5vwu8.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=867034&p=
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npqtplugin8.dll
FF - plugin: c:\program files\QuickTime\Plugins\npqtplugin8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true.
- - - - ORPHELINS SUPPRIMES - - - -
AddRemove-Ad-Remover - c:\program files\Ad-Remover\Uninstall ADR.exe
AddRemove-Adobe Photoshop 7.0 - c:\windows\ISUNINST.EXE -fc:\program files\Adobe\Photoshop 7.0\Uninst.isu -cc:\program files\Adobe\Photoshop 7.0\Uninst.dll
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-09 18:40
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
Heure de fin: 2009-12-09 18:42:56
ComboFix-quarantined-files.txt 2009-12-09 17:42
Avant-CF: 19 727 392 768 octets libres
Après-CF: 19 723 427 840 octets libres
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
- - End Of File - - 56796CECB251C6F405DC12D6A1DF7C8D
Marsh Posté le 10-12-2009 à 11:10:29
Alors...
ComboFix a éradiqué une partie des fichiers néfastes trouvés par le scan en ligne, mais pas tous. On va utiliser un script de suppression.
Pour ton problème de son, on va voir aussi mais avant, juste pour savoir : est-ce uniquement avec FireFox ? Est-ce que ça marche sur un autre navigateur? Teste et dis-moi.
On va donc passer au script en attendant :
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour soeursourire, il n'est pas transposable sur un autre ordinateur !
• Télécharge ce dossier soeursourire.zip (il est possible qu'il ait été renommé) et enregistre-le sur le Bureau
• Fais un clic-droit dessus --> Extraire tout --> choisi le Bureau comme destination, tu verras apparaître un fichier qui s'appelle CFScript.txt
• Désactive Avast et ferme toutes tes applications en cours
• Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme sur ce lien)
• Cela va relancer ComboFix. Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu dans ta prochaine réponse stp.
• Si le fichier ne s'ouvre pas, il se trouve ici → C:\ComboFix.txt
Message édité par Adaron le 10-12-2009 à 11:18:46
Marsh Posté le 10-12-2009 à 22:11:59
Oki merci beaucoup je vais faire ca.
Et le son marche sous internet explorer mais plus sous mozilla.
Marsh Posté le 11-12-2009 à 07:41:46
ComboFix 09-12-09.04 - Soso 10/12/2009 22:15:08.2.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1015.509 [GMT 1:00]
Lancé depuis: c:\documents and settings\Soso\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Soso\Bureau\CFScript.txt
AV: avast! antivirus 4.8.1368 [VPS 091210-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
file zipped: c:\documents and settings\soso\cookies\soso@atdmt[1].txt
file zipped: c:\documents and settings\soso\cookies\soso@atdmt[2].txt
file zipped: c:\documents and settings\soso\cookies\soso@doubleclick[1].txt
file zipped: c:\documents and settings\soso\cookies\soso@xiti[1].txt
file zipped: c:\windows\system32\adsldpg.dll
file zipped: c:\windows\system32\ativtmx.dll
file zipped: c:\windows\system32\comre.dll
file zipped: c:\windows\system32\comsvc.dll
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\soso\cookies\soso@atdmt[1].txt
c:\documents and settings\soso\cookies\soso@atdmt[2].txt
c:\documents and settings\soso\cookies\soso@doubleclick[1].txt
c:\documents and settings\soso\cookies\soso@xiti[1].txt
c:\windows\system32\adsldpg.dll
c:\windows\system32\ativtmx.dll
c:\windows\system32\comre.dll
c:\windows\system32\comsvc.dll
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-11-10 au 2009-12-10 ))))))))))))))))))))))))))))))))))))
.
2009-12-08 17:18 . 2009-12-08 17:51 -------- d-----w- C:\UsbFix
2009-12-07 21:33 . 2009-12-07 21:33 -------- d-sh--w- c:\documents and settings\Soso\IECompatCache
2009-12-07 21:32 . 2009-12-07 21:32 -------- d-sh--w- c:\documents and settings\Soso\PrivacIE
2009-12-07 21:26 . 2009-12-07 21:26 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2009-12-07 21:10 . 2009-12-07 21:10 -------- d-sh--w- c:\documents and settings\Soso\IETldCache
2009-12-07 19:51 . 2009-12-07 19:51 -------- d-----w- c:\program files\CCleaner
2009-12-07 19:50 . 2009-12-07 19:50 -------- d-----w- c:\documents and settings\All Users\Application Data\AVS4YOU
2009-12-07 19:50 . 2009-12-07 19:50 -------- d-----w- c:\documents and settings\Soso\Application Data\AVS4YOU
2009-12-07 19:50 . 2009-12-07 19:51 -------- d-----w- c:\program files\Fichiers communs\AVSMedia
2009-12-07 19:50 . 2009-12-07 19:51 -------- d-----w- c:\program files\AVS4YOU
2009-12-07 19:49 . 2009-12-07 19:49 -------- d--h--w- c:\windows\msdownld.tmp
2009-12-07 19:49 . 2009-12-09 02:02 -------- d-----w- c:\windows\ie8updates
2009-12-07 19:47 . 2009-12-07 19:49 -------- dc-h--w- c:\windows\ie8
2009-12-07 19:46 . 2009-10-02 04:44 92160 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-12-07 19:46 . 2009-10-29 07:42 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-12-07 19:46 . 2009-10-29 07:42 1985536 -c----w- c:\windows\system32\dllcache\iertutil.dll
2009-12-07 19:46 . 2009-10-29 07:42 594432 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2009-12-07 19:46 . 2009-10-29 07:42 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2009-12-07 19:46 . 2009-10-29 07:42 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-12-07 19:46 . 2009-10-29 07:42 11069952 -c----w- c:\windows\system32\dllcache\ieframe.dll
2009-12-05 09:15 . 2009-06-30 08:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-12-05 09:15 . 2009-12-05 09:15 -------- d-----w- c:\program files\Panda Security
2009-11-26 17:52 . 2009-11-26 17:52 579584 -c--a-w- c:\windows\system32\dllcache\user32.dll
2009-11-26 17:47 . 2009-12-08 17:51 -------- d-----w- c:\windows\ERUNT
2009-11-26 17:47 . 2009-12-08 17:51 -------- d-----w- C:\Backups
2009-11-22 19:15 . 2009-11-22 19:15 -------- d-----w- c:\documents and settings\Soso\Application Data\Malwarebytes
2009-11-22 19:15 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-22 19:15 . 2009-11-22 19:15 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-11-22 19:15 . 2009-11-22 19:15 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-11-22 19:15 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-22 19:09 . 2009-12-08 17:51 -------- d-----w- c:\program files\trend micro
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-10 21:08 . 2009-10-05 20:58 -------- d-----w- c:\documents and settings\Soso\Application Data\uTorrent
2009-12-09 02:20 . 2004-08-05 12:00 80748 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-09 02:20 . 2004-08-05 12:00 500900 ----a-w- c:\windows\system32\perfh00C.dat
2009-12-08 17:55 . 2008-08-23 11:34 38264 -c--a-w- c:\documents and settings\Soso\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-11-24 23:54 . 2009-09-26 18:29 1280480 ----a-w- c:\windows\system32\aswBoot.exe
2009-11-24 23:51 . 2009-09-26 18:30 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-11-24 23:49 . 2009-09-26 18:30 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2009-09-26 18:30 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2009-09-26 18:30 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-11-24 23:47 . 2009-09-26 18:30 97480 ----a-w- c:\windows\system32\AvastSS.scr
2009-11-19 08:44 . 2008-08-23 12:10 -------- d-----w- c:\documents and settings\Soso\Application Data\Shareaza
2009-11-19 08:39 . 2009-10-04 19:36 -------- d-----w- c:\program files\eMule
2009-11-11 17:12 . 2008-09-10 15:13 -------- d-----w- c:\documents and settings\Soso\Application Data\Image Zone Express
2009-11-05 00:19 . 2009-11-05 00:19 -------- d-----w- c:\program files\Windows Live
2009-11-04 16:42 . 2009-09-18 16:15 -------- d-----w- c:\program files\MSECache
2009-11-04 16:23 . 2009-11-04 16:23 -------- d-----w- c:\documents and settings\Soso\Application Data\MSNInstaller
2009-11-01 00:11 . 2009-09-11 18:57 -------- d-----w- c:\documents and settings\Soso\Application Data\vlc
2009-10-29 07:42 . 2004-08-05 12:00 916480 ------w- c:\windows\system32\wininet.dll
2009-10-23 06:45 . 2009-10-20 20:58 -------- d-----w- c:\program files\Microsoft Silverlight
2009-10-21 05:39 . 2004-08-05 12:00 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:39 . 2004-08-05 12:00 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 20:58 . 2009-10-20 20:55 -------- d-----w- c:\program files\Microsoft
2009-10-20 20:57 . 2009-10-20 20:57 -------- d-----w- c:\program files\Microsoft Sync Framework
2009-10-20 20:57 . 2009-10-20 20:57 -------- d-----w- c:\program files\Microsoft SQL Server Compact Edition
2009-10-20 16:20 . 2004-08-05 12:00 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-17 10:00 . 2008-11-30 17:46 -------- d-----w- c:\documents and settings\Soso\Application Data\FileZilla
2009-10-16 06:53 . 2008-08-20 16:59 -------- d-----w- c:\documents and settings\Soso\Application Data\Skype
2009-10-16 06:52 . 2008-08-20 17:01 -------- d-----w- c:\documents and settings\Soso\Application Data\skypePM
2009-10-13 10:33 . 2004-08-05 12:00 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:39 . 2004-08-05 12:00 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:39 . 2004-08-05 12:00 150528 ----a-w- c:\windows\system32\rastls.dll
2009-09-18 17:05 . 2009-01-14 18:18 -------- d-----w- c:\windows\Fonts\Fonts
2009-09-15 10:56 . 2009-09-26 18:30 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-09-15 10:55 . 2009-09-26 18:30 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-09-15 10:55 . 2009-09-26 18:30 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-05-01 21:02 . 2009-07-14 00:16 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-07-14 00:16 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.
((((((((((((((((((((((((((((( SnapShot@2009-12-09_17.41.03 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-12-10 21:21 . 2009-12-10 21:21 16384 c:\windows\Temp\Perflib_Perfdata_720.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2009-10-05 288048]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-01-13 131072]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-01-13 163840]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-01-13 135168]
"RTHDCPL"="RTHDCPL.EXE" [2007-10-25 16855552]
"SkyTel"="SkyTel.EXE" [2007-10-11 1826816]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-24 132496]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
"LogitechCameraAssistant"="c:\program files\Logitech\Video\CameraAssistant.exe" [2006-01-05 489472]
"LogitechVideo[inspector]"="c:\program files\Logitech\Video\InstallHelper.exe" [2006-01-05 06:15 73728]
"LogitechCameraService(E)"="c:\windows\system32\ElkCtrl.exe" [2004-11-01 262144]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 56080]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-5-11 282624]
Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-10-18 67128]
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2008-10-18 692224]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"c:\\Program Files\\EasyGuppY+\\Hermes\\Hermes.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\RealVNC\\VNC4\\vncviewer.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [05/12/2009 10:15 28552]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [26/09/2009 19:30 114768]
R2 AdobeActiveFileMonitor7.0;Adobe Active File Monitor V7;c:\program files\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe [16/09/2008 12:03 169312]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [26/09/2009 19:30 20560]
R2 PDIHWCTL;PDIHWCTL;c:\windows\system32\drivers\pdihwctl.sys [30/04/2009 15:45 14416]
S3 eyeonedp;eye-one display;c:\windows\system32\drivers\EyeOneDp.sys [30/04/2009 15:45 44344]
.
------- Examen supplémentaire -------
.
mWindow Title =
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
FF - ProfilePath - c:\documents and settings\Soso\Application Data\Mozilla\Firefox\Profiles\m6v5vwu8.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=867034&p=
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npqtplugin8.dll
FF - plugin: c:\program files\QuickTime\Plugins\npqtplugin8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-10 22:22
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'explorer.exe'(8016)
c:\program files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll
c:\program files\Logitech\SetPoint\lgscroll.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
c:\program files\Cisco Systems\VPN Client\cvpnd.exe
c:\program files\CDBurnerXP\NMSAccessU.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\RealVNC\VNC4\WinVNC4.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\lvcomsx.exe
c:\program files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe
c:\program files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
c:\program files\Java\jre1.6.0_03\bin\jucheck.exe
.
**************************************************************************
.
Heure de fin: 2009-12-10 22:28:51 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-12-10 21:28
ComboFix2.txt 2009-12-09 17:42
Avant-CF: 19 720 970 240 octets libres
Après-CF: 19 708 551 168 octets libres
- - End Of File - - 0F2CE3D02243C6C11EE17592C60A0D8B
Marsh Posté le 11-12-2009 à 10:57:13
Ok, parfait.
Cette fois c'est bon on dirait.
On va finaliser la désinfection, puis on va regarder pour le son avec FireFox.
Donc :
1) Si la restauration système est toujours désactivée, c'est bon, sinon désactive-la à nouveau.
2) ToolsCleaner qui était censé nettoyer les outils de désinfection n'a pas tout supprimé. Il y a quelques éléments que tu vas devoir supprimer manuellement.
- Supprime le fichier ToolbarSD.exe présent sur ton Bureau
- Ensuite supprime aussi le dossier de Toolbar que tu trouveras ici :
C:\toolbar sd
Supprime le dossier entier.
3) Relance Ccleaner et refais le nettoyage (dans Nettoyeur -> clique sur Analyser, puis sur Nettoyer), puis va dans Registre et recherche puis fais réparer toutes les erreurs qu'il trouve jusqu'à ce qu'il y n'en ait plus.
4) En dernier lieu, si tu le souhaites tu peux faire un dernier scan en ligne pour être sûr du résultat. Normalement il ne devrait rien rester de néfaste cette fois. Mais si tu fais le scan, poste le nouveau rapport stp.
Pour le son de FireFox maintenant :
- As-tu installé/désinstallé des logiciels ou des mises à jour récemment? Mise à part ce que je t'ai demandé de faire?
- Rends-toi à cette page :
http://www.adobe.com/software/flash/about/
Normalement, tu verras une bande d'annonce.
- Sur la vidéo à droite, il y a une petite icone blanche qui représente un haut-parleur => clique dessus pour activer le son et vois si ça marche.
- Si ça ne marche toujours pas, clique sur ce lien pour télécharger et installer la dernière version d'Adobe Flash Player (avant de cliquer sur le bouton jaune "Télécharger dès maintenant", pense à décocher la case associée à la barre de recherche Google) :
http://get.adobe.com/fr/flashplayer/
Dis-moi ensuite si ça a résolu ton problème.
Marsh Posté le 11-12-2009 à 18:51:15
Tout a l'air de marcher y compris le son maintenant!!! Merci infiniment!!!
Marsh Posté le 14-12-2009 à 09:13:11
Ok
Peux-tu poster les derniers rapports s'il te plaît? Notamment celui du scan en ligne, à condition que tu l'aies refait.
Si tout est ok, alors il ne restera plus qu'à réactiver la restauration système, puis créer un point de restauration sain.
Sujets relatifs:
- Virus : Win32: Trojan-gen
- Virus par clé USB
- Problème MSN Virus
- Un conseil pour un anti-virus gratuit, selon un certain critère..
- [Résolu] Plusieurs processus rundll32.exe - W32.downadup.B
- Virus ou pas ?
- Kaspersky Anti Virus 2010 et ZAP
- Kasperky internet security 2010, Bug ou virus ?
- [RESOLU] 1er config Pseudo virus appelé "System32.exe"
- System32 infecté par un virus
Marsh Posté le 19-11-2009 à 10:08:24
Bonjour,
J'ai des petits soucis, AVAST m'a dit de redémarrer mon ordi pour faire un scan des virus qui infectent mon pc mais ils me trouvaient plein de virus dans mon C:\WINDOWS\SYSTEM32 (des dll) du coup je ne peux pas les réparer et si je les supprime je suppose que je vais avoir des problèmes en voulant redémarrer. En revenant sous windows j'ai ce fichier infecté par exemple:
C:\WINDOWS\SYSTEM32\comre.dll
Mais je peux uniquement le supprimer ou ignorer.
Que dois-je faire pour nettoyer correctement mon pc de tous ces virus?
Merci d'avance