[Réglé]Un problème avec Security tools..

[Murielle la puce]

Kikou...

voilà j'ai un virus sur mon ordi (toujours le même ah ah).

Le virus "sécurity tools" s'est installé, apparemment avant hier.
Donc prenant en main mon manuel de désinfection, hier j'ai passé mbam, puis combofix puis cccleaner et re mbam mais alors que l'ordi a fait le redémarrer suite au 2ème scan mbam le "security tools" réapparrait alors que pendant mes scans je ne suis pas aller sur le net et que je n'ai reçu aucun email.

Donc là je viens de relancer mbam comme lors de ma première manip !! mais je crains que cela ne suffise pas !!

Des idées pour faire disparaître la vilaine bébête !!

merci d'avance..

[Murielle la puce]

Voici le rapport hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:37:37, on 19/11/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\stsystra.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Program Files\Goto Software\Vade Retro\Vaderetro_Mgr.exe
C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe
C:\Program Files\PowerArchiver\PASTARTER.EXE
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Temp\wpv891257453440.exe
C:\DOCUME~1\ALLUSE~1\APPLIC~1\77796541\77796541.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\isabelle\Local Settings\Temporary Internet Files\Content.IE5\CWPPL02S\HiJackThis[1].exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.fr/ig/dell?hl=fr&client=dell ... bd=1070421
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2009\IEToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [MoneyStartUp10.0] "C:\Program Files\Microsoft Money\System\Activation.exe"
O4 - HKLM\..\Run: [VadeRetro Desktop] C:\Program Files\Goto Software\Vade Retro\Vaderetro_Mgr.exe
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2009\IEShow.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [77796541] C:\DOCUME~1\ALLUSE~1\APPLIC~1\77796541\77796541.exe
O4 - HKLM\..\Run: [PromoReg] C:\WINDOWS\Temp\_ex-08.exe
O4 - HKCU\..\Run: [PowerArchiver Tray] C:\Program Files\PowerArchiver\PASTARTER.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: mgjwin32.exe
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E396DADF-478E-43B8-94F6-5228AE293B91}: NameServer = 80.10.246.2,80.10.246.129
O23 - Service: BitDefender Arrakis Server (Arrakis3) - Unknown owner - C:\Program Files\Fichiers communs\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
O23 - Service: Broadcom ASF IP Monitor (ASFIPmon) - Broadcom Corporation - C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Détection matériel noyau ShellHWDetectionFastUserSwitchingCompatibility (ShellHWDetectionFastUserSwitchingCompatibility) - TamoSoft, Inc. - C:\WINDOWS\system32\339929948e.exe
O23 - Service: Service de restauration système srserviceRpcLocator (srserviceRpcLocator) - Unknown owner - C:\WINDOWS\system32\AF201datc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe

--
End of file - 6590 bytes
Je n'ai pas posté les rapports mbam et combo fait hier mais si besoin je peux ...

[Murielle la puce]

une autre question : comment arrête t on bitdefender ?? je n'arrive pas à l'arrêter et du coup quand je lance combofix ça bippe et je ne suis pas sure que cela soit très recommandé.. mais je n'ai trouvé aucun truc pour qu'il ne se lance pas et surtout pour le fermer complètement une fois lancé..

[Murielle la puce]

Rapport Mbam
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3192
Windows 5.1.2600 Service Pack 3

19/11/2009 14:40:47
mbam-log-2009-11-19 (14-40-47).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 149515
Temps écoulé: 25 minute(s), 59 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
C:\Documents and Settings\All Users\Application Data\77796541\77796541.exe (Rogue.SecurityTool) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\77796541 (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\promoreg (Trojan.Dropper) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Documents and Settings\All Users\Application Data\77796541 (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Documents and Settings\All Users\Application Data\77796541\77796541.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\_ex-08.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\wpv891257453440.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\isabelle\Bureau\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\Documents and Settings\isabelle\Menu Démarrer\Programmes\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\Documents and Settings\isabelle\Application Data\wiaservg.log (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\wpv461253129279.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\wpv851253131464.exe (Trojan.Agent) -> Quarantined and deleted successfully.

je redémarre l'ordi, je vide la quarantaine de mbam et je le relance .. je vous mettrais le nouveau rapport s'il trouve quelque chose (par security tools est toujours là !!)...

[Jypalou]

Bonjour,fait ceci
Démarrer>>Exécuter,tapes msconfig dand l'onglet démarrage regarde si tu as un log avec des chiffres 77796541 ou autres,tu les decochent.
Puis fait ceci:
Télécharge OTM3 de Old_Timer sur ton Bureau .

Double-clique sur OTM3.exe pour le lancer.


Copie la liste qui se trouve en citation ci-dessous:

:Files
C:\WINDOWS\Temp\wpv891257453440.exe
C:\DOCUME~1\ALLUSE~1\APPLIC~1\77796541\77796541.exe
Reg:
HKLM\..\Run: [77796541] C:\DOCUME~1\ALLUSE~1\APPLIC~1\77796541\77796541.exe
HKLM\..\Run: [PromoReg] C:\WINDOWS\Temp\_ex-08.exe
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

Colle-la dans le cadre de gauche de OTMoveIt3

Clique sur pour lancer la Suppression

Le résultat apparaitra dans le cadre Results.



Clique sur Exit pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles\*******_******.log

Il te sera peut-être demander de redémarrer le pc pour achever la suppression.

Si c'est le cas accepte par Yes.
A+

[Murielle la puce]

voici le nouveau rapport mbam ..
je fais les manips à suivre et je te tiens au courant.. merci pour l'aide


Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3192
Windows 5.1.2600 Service Pack 3

19/11/2009 15:53:58
mbam-log-2009-11-19 (15-53-58).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 149687
Temps écoulé: 59 minute(s), 34 second(s)

Processus mémoire infecté(s): 3
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
C:\WINDOWS\Temp\wpv931257453440.exe (Trojan.Dropper) -> Unloaded process successfully.
C:\Documents and Settings\All Users\Application Data\27980329\27980329.exe (Rogue.SecurityTool) -> Unloaded process successfully.
C:\WINDOWS\Temp\_ex-08.exe (Trojan.Dropper) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\27980329 (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\promoreg (Trojan.Dropper) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RList (Malware.Trace) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Documents and Settings\All Users\Application Data\27980329 (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Documents and Settings\All Users\Application Data\27980329\27980329.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\wpv931257453440.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\_ex-08.exe (Trojan.Dropper) -> Delete on reboot.
C:\Documents and Settings\isabelle\Application Data\wiaservg.log (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\wpv881253131464.exe (Trojan.Agent) -> Quarantined and deleted successfully.

[Murielle la puce]

voici le rapport OTM...
All processes killed
========== FILES ==========
File/Folder C:\WINDOWS\Temp\wpv891257453440.exe not found.
File/Folder C:\DOCUME~1\ALLUSE~1\APPLIC~1\77796541\77796541.exe not found.
File/Folder Reg: not found.
File/Folder HKLM\..\Run: [77796541] C:\DOCUME~1\ALLUSE~1\APPLIC~1\77796541\77796541.exe not found.
File/Folder HKLM\..\Run: [PromoReg] C:\WINDOWS\Temp\_ex-08.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 78991 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: isabelle
->Temp folder emptied: 592466 bytes
->Temporary Internet Files folder emptied: 10893046 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 6053089 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 3191748 bytes
%systemroot%\System32 .tmp files removed: 187072768 bytes
Windows Temp folder emptied: 1129456 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 32902 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 199,42 mb


OTM by OldTimer - Version 3.1.2.0 log created on 11192009_161447

Files moved on Reboot...
File C:\Documents and Settings\isabelle\Local Settings\Temp\~DF6925.tmp not found!
File C:\Documents and Settings\isabelle\Local Settings\Temp\~DF693B.tmp not found!
File C:\Documents and Settings\isabelle\Local Settings\Temp\~DF6A41.tmp not found!
File C:\Documents and Settings\isabelle\Local Settings\Temp\~DF6A57.tmp not found!

Registry entries deleted on Reboot...


Depuis que j'ai décoché le log à chiffre à chaque redémarrage windows me lance l'utilitaire de configuration système avec un message disant que je suis passée en mode "sélectif" et me demande de faire une manip pour repasser en mode normal mais je ne comprends pas ce que je dois faire (et d'ailleur le log à chiffre est toujours là)..

bon je ne sais pas si je dois faire autre chose... comme mbam avait trouvé encore des trucs lors du 2ème passage je le relance pour être sure que tout est clean..

merci encore

[Jypalou]

Pour le message je suis passée en mode sélectif cliques sur ne plus afficher ce message.Tu as redémarré le PC?
Puis reposte un rapport HijackThis,et place le au bon endroit,ici
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
A+

[Murielle la puce]

oui au moment ou j'ai décoché le log windows m'a demandé de redémarrer !!

voici mbam et je refais hijack
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3192
Windows 5.1.2600 Service Pack 3

19/11/2009 16:58:48
mbam-log-2009-11-19 (16-58-48).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 148765
Temps écoulé: 31 minute(s), 33 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PromoReg (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RList (Malware.Trace) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Documents and Settings\All Users\Application Data\20027617 (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Documents and Settings\All Users\Application Data\20027617\20027617.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\Documents and Settings\isabelle\Application Data\wiaservg.log (Malware.Trace) -> Quarantined and deleted successfully.

[Murielle la puce]

et voilà redémarrage PC après mbam et boum security tools est de retour là !!

je ne sais vraiment plus quoi faire ...

[Murielle la puce]

Rapport hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:08:21, on 19/11/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Program Files\Goto Software\Vade Retro\Vaderetro_Mgr.exe
C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe
C:\Program Files\PowerArchiver\PASTARTER.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Temp\wpv281257453440.exe
C:\WINDOWS\system32\svchost.exe
C:\DOCUME~1\ALLUSE~1\APPLIC~1\67176936\67176936.exe
C:\Program Files\internet explorer\iexplore.exe
C:\WINDOWS\Temp\_ex-08.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Documents and Settings\isabelle\Bureau\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.fr/ig/dell?hl=fr&client=dell ... bd=1070421
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2009\IEToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [MoneyStartUp10.0] "C:\Program Files\Microsoft Money\System\Activation.exe"
O4 - HKLM\..\Run: [VadeRetro Desktop] C:\Program Files\Goto Software\Vade Retro\Vaderetro_Mgr.exe
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2009\IEShow.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [67176936] C:\DOCUME~1\ALLUSE~1\APPLIC~1\67176936\67176936.exe
O4 - HKLM\..\Run: [PromoReg] C:\WINDOWS\Temp\_ex-08.exe
O4 - HKCU\..\Run: [PowerArchiver Tray] C:\Program Files\PowerArchiver\PASTARTER.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: mgjwin32.exe
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E396DADF-478E-43B8-94F6-5228AE293B91}: NameServer = 80.10.246.2,80.10.246.129
O23 - Service: BitDefender Arrakis Server (Arrakis3) - Unknown owner - C:\Program Files\Fichiers communs\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
O23 - Service: Broadcom ASF IP Monitor (ASFIPmon) - Broadcom Corporation - C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe
O23 - Service: HTTP SSL HTTPFilterPlugPlay (HTTPFilterPlugPlay) - Unknown owner - C:\WINDOWS\system32\339929948eg.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor IAANTMonDhcp (IAANTMonDhcp) - Unknown owner - C:\WINDOWS\system32\aaaamong.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Détection matériel noyau ShellHWDetectionFastUserSwitchingCompatibility (ShellHWDetectionFastUserSwitchingCompatibility) - TamoSoft, Inc. - C:\WINDOWS\system32\339929948e.exe
O23 - Service: Détection matériel noyau ShellHWDetectionSSDPSRV (ShellHWDetectionSSDPSRV) - TamoSoft, Inc. - C:\WINDOWS\system32\339929948ex.exe
O23 - Service: Service de restauration système srserviceRpcLocator (srserviceRpcLocator) - TamoSoft, Inc. - C:\WINDOWS\system32\AF201datc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe

--
End of file - 6939 bytes

je commence sérieusement à désespérer !! ça doit faire le 6ème passage mbam, 1 passage combo, 1 OTM et rien à faire au redémarrage il est toujours là ...

[Murielle la puce]

alors un 2ème log est apparu dans msconfig, je l'ai décoché et j'ai recommencé OTM

All processes killed
========== FILES ==========
File/Folder C:\WINDOWS\Temp\wpv891257453440.exe not found.
File/Folder C:\DOCUME~1\ALLUSE~1\APPLIC~1\77796541\77796541.exe not found.
File/Folder Reg: not found.
File/Folder HKLM\..\Run: [77796541] C:\DOCUME~1\ALLUSE~1\APPLIC~1\77796541\77796541.exe not found.
File/Folder HKLM\..\Run: [PromoReg] C:\WINDOWS\Temp\_ex-08.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: isabelle
->Temp folder emptied: 70144 bytes
->Temporary Internet Files folder emptied: 9436018 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 496112 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 63036 bytes

Total Files Cleaned = 9,66 mb


OTM by OldTimer - Version 3.1.2.0 log created on 11192009_171219

Files moved on Reboot...
File C:\Documents and Settings\isabelle\Local Settings\Temp\~DFF68.tmp not found!

Registry entries deleted on Reboot...

et voici le nouveau hijack (après OTM)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:16:32, on 19/11/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Program Files\Goto Software\Vade Retro\Vaderetro_Mgr.exe
C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe
C:\Program Files\PowerArchiver\PASTARTER.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Documents and Settings\isabelle\Bureau\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.fr/ig/dell?hl=fr&client=dell ... bd=1070421
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2009\IEToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [MoneyStartUp10.0] "C:\Program Files\Microsoft Money\System\Activation.exe"
O4 - HKLM\..\Run: [VadeRetro Desktop] C:\Program Files\Goto Software\Vade Retro\Vaderetro_Mgr.exe
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2009\IEShow.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [PromoReg] C:\WINDOWS\Temp\_ex-08.exe
O4 - HKCU\..\Run: [PowerArchiver Tray] C:\Program Files\PowerArchiver\PASTARTER.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: mgjwin32.exe
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E396DADF-478E-43B8-94F6-5228AE293B91}: NameServer = 80.10.246.2,80.10.246.129
O23 - Service: BitDefender Arrakis Server (Arrakis3) - Unknown owner - C:\Program Files\Fichiers communs\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe
O23 - Service: Broadcom ASF IP Monitor (ASFIPmon) - Broadcom Corporation - C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe
O23 - Service: HTTP SSL HTTPFilterPlugPlay (HTTPFilterPlugPlay) - Unknown owner - C:\WINDOWS\system32\339929948eg.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor IAANTMonDhcp (IAANTMonDhcp) - TamoSoft, Inc. - C:\WINDOWS\system32\aaaamong.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Détection matériel noyau ShellHWDetectionFastUserSwitchingCompatibility (ShellHWDetectionFastUserSwitchingCompatibility) - TamoSoft, Inc. - C:\WINDOWS\system32\339929948e.exe
O23 - Service: Détection matériel noyau ShellHWDetectionSSDPSRV (ShellHWDetectionSSDPSRV) - TamoSoft, Inc. - C:\WINDOWS\system32\339929948ex.exe
O23 - Service: Service de restauration système srserviceRpcLocator (srserviceRpcLocator) - TamoSoft, Inc. - C:\WINDOWS\system32\AF201datc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe

--
End of file - 6642 bytes

je n'ose plus éteindre l'ordi car à chaque redémarrage ce satané merd....recommence..
au secours LOL....

[Jypalou]

Bon là on patine,lance un combo
Télécharge Combofix.exe sur ton Bureau (et pas ailleur).

Sur un des liens suivant:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

http://subs.geekstogo.com/ComboFix.exe

http://www.forospyware.com/sUBs/ComboFix.exe

Déconnectes toi d'internet , désactives ton antivirus et tes protections résidantes pour que ComboFix puisse s'exécuter normalement.

Double clique Combofix.exe.

Tape sur la touche 1 pour démarrer le scan.

Installe la console de récupération si celle-ci est proposée et continue.

Lorsque le scan sera complet, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ; ceci provoquerait le gel du programme.

NOTE IMPORTANTE
Si, par malchance, vous n'avez plus accès à votre connexion Internet après avoir fait tourner
ComboFix la première chose à essayer est de faire redémarrer votre ordinateur.
Cette seule manip devrait corriger la grande majorité des problèmes de non-connexion à Internet après l'utilisation de ComboFix .Si vous n'avez toujours pas de connexion Internet après avoir redémarré, exécutez les étapes suivantes:

Cliquez sur le bouton Démarrer.

Cliquez sur l'option de menu Paramètres.

Cliquez sur l'option Panneau de configuration.

Après l'ouverture du Panneau de configuration, faites un double clic sur l'icône Connexions réseau

Si votre Panneau de configuration est paramétré pour un affichage en catégories, faites un double clic sur Connexions réseau et Internet puis cliquez sur Connexions réseau tout en bas.

Vous verrez alors une liste de toutes les connexions réseau disponibles. Repérez la connexion vers votre adaptateur Sans Fil ou Réseau local et faites un clic droit dessus.

Vous verrez alors un menu similaire à celui de l'image ci-dessous. Cliquez simplement sur l'option de menu Réparer



Laissez le processus de réparation se dérouler, et lorsqu'il a terminé, votre connexion Internet devrait être de nouveau opérationnelle.
Sinon, si une icône de votre réseau apparaît aussi dans la barre des tâches Windows, vous pouvez la réparer en faisant un clic droit sur l'icône et en choisissant Réparer comme le montre l'image ci-dessous:


A+

[Jypalou]

Oui,bon il ne reste plus grand chose apparament ton security tools est parti,mais bon si tu ne fait pas les manips comme il faut on ne va pas s'en sortir,il ne faut pas faire un MAB toutes les minutes ça ne sert a rien,tu as encore une autre infection,si tu n'as pas lancer combo,fait ceci
Télécharge SDFix de AndyManchesta et sauvegarde le sur ton Bureau.


Redémarre en mode sans échec,de preference par f8 au demarrage:

Double clique sur SDFix.exe et choisis Install pour l'extraire sur le Bureau.

Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.cmd pour lancer le script.

Appuie sur Y pour commencer le processus de nettoyage.

Il va supprimer les services et les entrées du Registre des trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

Appuie sur une touche pour redémarrer le PC.

Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

Après le chargement du Bureau,l'outil terminera son travail et affichera Finished.

Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

Les icônes du Bureau affichées,le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

Copie/colle le contenu du fichier Report.txt dans ta prochaine réponse avec un nouveau rapport Hijackthis .
A+

[Murielle la puce]

voici le rapport combo (je fais le sdfix à la suite).

ComboFix 09-11-22.04 - isabelle 23/11/2009 8:12.5.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2046.1554 [GMT 1:00]
Lancé depuis: c:\documents and settings\isabelle\Bureau\ComboFix.exe
AV: Antivirus BitDefender *On-access scanning disabled* (Updated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}
FW: Pare-feu BitDefender *disabled* {4055920F-2E99-48A8-A270-4243D2B8F242}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\WinPCap
c:\program files\WinPCap\rpcapd.exe
c:\windows\system32\339929948.dat
c:\windows\system32\339929948e.exe
c:\windows\system32\aaaamong.exe
c:\windows\system32\drivers\npf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_IAANTMONDHCP
-------\Legacy_NPF
-------\Legacy_SHELLHWDETECTIONFASTUSERSWITCHINGCOMPATIBILITY
-------\Service_IAANTMonDhcp
-------\Service_npf
-------\Service_ShellHWDetectionFastUserSwitchingCompatibility


((((((((((((((((((((((((((((( Fichiers créés du 2009-10-23 au 2009-11-23 ))))))))))))))))))))))))))))))))))))
.

2009-11-23 07:24 . 2009-11-23 07:24 32 ------w- c:\windows\system32\339929948.dat
2009-11-19 16:02 . 2009-11-19 16:02 79360 --sh--r- c:\windows\system32\339929948eg.exe
2009-11-19 15:14 . 2009-11-19 15:14 -------- d-----w- C:\_OTM
2009-11-19 15:00 . 2009-11-19 15:00 79360 --sh--r- c:\windows\system32\339929948ex.exe
2009-11-18 20:48 . 2009-11-18 20:48 -------- d-----w- c:\program files\CCleaner
2009-11-18 18:41 . 2009-11-18 18:41 79360 --sh--r- c:\windows\system32\activedsp.exe
2009-11-18 12:56 . 2009-11-18 12:56 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2009-11-17 12:56 . 2009-11-17 12:56 79360 --sh--r- c:\windows\system32\AF201datc.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-23 07:22 . 2007-06-18 07:50 81984 ----a-w- c:\windows\system32\bdod.bin
2009-11-22 10:44 . 2007-04-21 11:11 246784 ----a-w- c:\windows\system32\drivers\iaStor.sys
2009-11-04 08:51 . 2007-04-26 11:00 -------- d-----w- c:\program files\PowerArchiver
2009-10-25 14:55 . 2004-08-19 12:03 85396 ----a-w- c:\windows\system32\perfc00C.dat
2009-10-25 14:55 . 2004-08-19 12:03 511874 ----a-w- c:\windows\system32\perfh00C.dat
2009-10-23 15:46 . 2009-07-09 07:20 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-10-23 14:42 . 2009-10-23 14:42 4045528 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-09-11 14:18 . 2009-02-27 15:32 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-09-10 12:54 . 2009-07-09 07:20 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-10 12:53 . 2009-07-09 07:20 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-04 21:04 . 2004-08-19 12:03 58880 ----a-w- c:\windows\system32\msasn1.dll
2009-08-29 07:56 . 2004-08-19 12:03 916480 ------w- c:\windows\system32\wininet.dll
2009-08-26 08:01 . 2004-08-19 12:04 247326 ----a-w- c:\windows\system32\strmdll.dll
.

------- Sigcheck -------

[7] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys
[7] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3GDR\tcpip.sys
[-] 2008-06-20 . 9425B72F40257B45D45D24773273DAD0 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\dllcache\tcpip.sys
[-] 2008-06-20 . 9425B72F40257B45D45D24773273DAD0 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys
[-] 2008-06-20 . 1CC09561E21A48A7F649A40F18235860 . 360320 . . [5.1.2600.3394] . . c:\windows\$NtServicePackUninstall$\tcpip.sys
[7] 2008-06-20 . 744E57C99232201AE98C49168B918F48 . 360960 . . [5.1.2600.3394] . . c:\windows\$hf_mig$\KB951748\SP2QFE\tcpip.sys
[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\$NtUninstallKB951748$\tcpip.sys
[-] 2008-04-13 . ACCF5A9A1FFAA490F33DBA1C632B95E1 . 361344 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\tcpip.sys
[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\23ec66f2314a80d718b5483ab6e865af\tcpip.sys
[-] 2007-10-30 . 90CAFF4B094573449A0872A0F919B178 . 360064 . . [5.1.2600.3244] . . c:\windows\$NtUninstallKB951748_0$\tcpip.sys
[-] 2007-10-30 . 64798ECFA43D78C7178375FCDD16D8C8 . 360832 . . [5.1.2600.3244] . . c:\windows\$hf_mig$\KB941644\SP2QFE\tcpip.sys
[-] 2006-04-20 . B2220C618B42A2212A59D91EBD6FC4B4 . 360576 . . [5.1.2600.2892] . . c:\windows\$hf_mig$\KB917953\SP2QFE\tcpip.sys
[-] 2006-04-20 . 1DBF125862891817F374F407626967F4 . 359808 . . [5.1.2600.2892] . . c:\windows\$NtUninstallKB941644$\tcpip.sys
[7] 2004-08-05 . 9F4B36614A0FC234525BA224957DE55C . 359040 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB917953$\tcpip.sys
.
((((((((((((((((((((((((((((( SnapShot@2009-10-23_16.11.34 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-11-23 07:24 . 2009-11-23 07:24 16384 c:\windows\Temp\Perflib_Perfdata_584.dat
- 2004-08-19 12:03 . 2009-10-14 06:51 71732 c:\windows\system32\perfc009.dat
+ 2004-08-19 12:03 . 2009-10-25 14:55 71732 c:\windows\system32\perfc009.dat
+ 2009-11-19 16:18 . 2009-11-23 07:24 32768 c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
- 2007-04-26 07:51 . 2009-10-23 14:33 32768 c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
- 2007-04-26 07:51 . 2009-10-23 14:33 32768 c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2007-04-26 07:51 . 2009-11-23 07:24 32768 c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2009-11-18 18:51 . 2009-11-23 07:24 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2007-04-26 07:51 . 2009-10-23 14:33 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2004-08-19 12:03 . 2009-10-14 06:51 442466 c:\windows\system32\perfh009.dat
+ 2004-08-19 12:03 . 2009-10-25 14:55 442466 c:\windows\system32\perfh009.dat
- 2004-08-19 12:09 . 2009-08-16 15:09 119744 c:\windows\system32\FNTCACHE.DAT
+ 2004-08-19 12:09 . 2009-11-12 16:13 119744 c:\windows\system32\FNTCACHE.DAT
+ 2004-08-19 12:03 . 2008-04-14 02:33 701440 c:\windows\system32\dllcache\msxml2.dll
+ 2009-10-23 12:38 . 2009-11-23 07:24 245760 c:\windows\system32\config\systemprofile\IETldCache\index.dat
- 2009-10-23 12:38 . 2009-10-23 14:33 245760 c:\windows\system32\config\systemprofile\IETldCache\index.dat
+ 2009-11-04 16:00 . 2008-07-08 13:04 406392 c:\windows\ie8updates\KB976749-IE8\spuninst\updspapi.dll
+ 2009-11-04 16:00 . 2008-07-08 13:03 234872 c:\windows\ie8updates\KB976749-IE8\spuninst\spuninst.exe
+ 2009-02-27 15:32 . 2009-08-14 15:13 1850752 c:\windows\system32\win32k.sys
+ 2004-08-19 12:03 . 2009-10-22 09:17 5939712 c:\windows\system32\mshtml.dll
+ 2008-10-15 07:29 . 2009-08-14 15:13 1850752 c:\windows\system32\dllcache\win32k.sys
+ 2006-07-28 03:28 . 2009-10-22 09:17 5939712 c:\windows\system32\dllcache\mshtml.dll
+ 2009-11-04 16:00 . 2009-08-29 07:56 5940224 c:\windows\ie8updates\KB976749-IE8\mshtml.dll
+ 2007-04-26 09:50 . 2009-11-05 17:36 26768832 c:\windows\system32\MRT.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PowerArchiver Tray"="c:\program files\PowerArchiver\PASTARTER.EXE" [2008-11-30 148800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-21 7204864]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2006-04-26 143360]
"DVDLauncher"="c:\program files\CyberLink\PowerDVD\DVDLauncher.exe" [2005-12-09 49152]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-09-08 122940]
"MoneyStartUp10.0"="c:\program files\Microsoft Money\System\Activation.exe" [2001-07-25 245810]
"VadeRetro Desktop"="c:\program files\Goto Software\Vade Retro\Vaderetro_Mgr.exe" [2008-05-26 1078272]
"BDAgent"="c:\program files\BitDefender\BitDefender 2009\bdagent.exe" [2009-11-16 782336]
"BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2009\IEShow.exe" [2009-02-23 69632]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"SigmatelSysTrayApp"="stsystra.exe" - c:\windows\stsystra.exe [2006-03-20 282624]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\isabelle\Menu D‚marrer\Programmes\D‚marrage\
mgjwin32.exe [2008-4-14 30208]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
D‚marrage d'Office.lnk - c:\program files\Microsoft Office\Office\OSA.EXE [1997-8-28 51984]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
Microsoft Recherche acc‚l‚r‚e.lnk - c:\program files\Microsoft Office\Office\FINDFAST.EXE [1997-8-28 111376]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R2 ASFIPmon;Broadcom ASF IP Monitor;c:\program files\Broadcom\ASFIPMon\AsfIpMon.exe [17/03/2006 17:25 65536]
R2 BDVEDISK;BDVEDISK;c:\program files\BitDefender\BitDefender 2009\BDVEDISK.sys [06/10/2008 17:16 82696]
R3 bdfm;BDFM;c:\windows\system32\drivers\bdfm.sys [18/09/2008 11:09 111112]
R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;c:\windows\system32\drivers\bdfndisf.sys [12/02/2009 15:52 104456]
S2 HTTPFilterPlugPlay;HTTP SSL HTTPFilterPlugPlay;c:\windows\system32\339929948eg.exe srv --> c:\windows\system32\339929948eg.exe srv [?]
S2 ShellHWDetectionSSDPSRV;Détection matériel noyau ShellHWDetectionSSDPSRV;c:\windows\system32\339929948ex.exe srv --> c:\windows\system32\339929948ex.exe srv [?]
S2 srserviceRpcLocator;Service de restauration système srserviceRpcLocator;c:\windows\system32\AF201datc.exe srv --> c:\windows\system32\AF201datc.exe srv [?]
S3 Arrakis3;BitDefender Arrakis Server;c:\program files\Fichiers communs\BitDefender\BitDefender Arrakis Server\bin\Arrakis3.exe [20/01/2009 18:16 172032]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - CLASSPNP_2

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan
.
Contenu du dossier 'Tâches planifiées'

2009-11-23 c:\windows\Tasks\User_Feed_Synchronization-{C921B3AE-39A4-4E2E-ACF9-A0E581D2557A}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 02:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
TCP: {E396DADF-478E-43B8-94F6-5228AE293B91} = 80.10.246.2,80.10.246.129
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-HijackThis - c:\documents and settings\isabelle\Local Settings\Temporary Internet Files\Content.IE5\CWPPL02S\HijackThis.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-23 08:26
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x89DE12F6]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba0ecf28
\Driver\ACPI -> ACPI.sys @ 0xb9f7ecb8
\Driver\atapi -> atapi.sys @ 0xb9f10852
\Driver\iaStor -> iaStor.sys @ 0xb9e5bf80
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Broadcom NetXtreme 57xx Gigabit Controller -> SendCompleteHandler -> NDIS.sys @ 0xb9d4fbb0
PacketIndicateHandler -> NDIS.sys @ 0xb9d5ca21
SendHandler -> NDIS.sys @ 0xb9d3a87b
user & kernel MBR OK

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3032)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Intel\Intel Matrix Storage Manager\iaantmon.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-11-23 08:34 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-11-23 07:34
ComboFix2.txt 2009-11-18 19:21
ComboFix3.txt 2009-10-23 16:14

Avant-CF: 63 888 048 128 octets libres
Après-CF: 63 852 707 840 octets libres

- - End Of File - - 08AB582951EC9B0DDA8DFAB21049301F

Désolée pour mbam mais à ma dernière visite on avait largement insisté sur le fait que mbam devait tourner jusqu'à ce qu'il ne trouve plus rien et qu'un seul passage n'était pas suffisant donc j'ai "bêtement appliqué le conseil".

Pour les instructions je les suis scrupuleusement et je suis sure que le 2ème log n'était pas là lors de la première manip.

Je te remercie encore de m'aider car je sais que cela prends du temps et c'est justement pour cela que j'essaye toujours d'être précise et de bien respecter les manips.