wintems, virus • page 3

[r@in | b0w]

pour findix, j'ai fais comme tu as demandé

Et?

Cela fonctionne? Tu as fait l'option 2?

Réponds bien à toutes les questions.

Si cela ne fonctionne pas, tu arrives à démarrer en Mode sans échec?

[gillouvan]

non rien de plus il ne veut pas démarré en mode échec

[r@in | b0w]

Ok.

Tu télécharges ComboFix.

Avant de le lancer, il va falloir installer la console de récupération Windows, non installée par défaut.
L'installation de cette console permettra de démarrer un mode spécial en cas de problèmes divers suite à la désinfection.

_ Si tu es sous Xp et que tu as un CD de Windows original:

Tu insères le CD d'installation dans le lecteur.

Tu cliques ensuite sur Démarrer puis Exécuter et tu copies-colles la ligne suivante:

Code: Tout sélectionner

d:i386winnt32.exe /cmdcons

La lettre d: indique l'emplacement par défaut du lecteur de CD. Si ce n'est pas le cas, tu modifies cette lettre en conséquence.

L'installation de la console de récupération Windows va commencer.

Tu cliques sur Ok.

_ Pour les ordinateurs OEM fournis, il est possible que le fichier winnt32.exe soit présent sur le disque dur dans un dossier nommé i386 dans le dossier Windows ou tout simplement à la racine de la partition principale.

Il faudra alors taper comme commande c:i386winnt32.exe /cmdcons ou c:Windowsi386winnt32.exe /cmdcons en mettant dans cette commande le chemin d'accès au fichier winnt32.exe.

Une fenêtre Installation de Windows s'ouvrira, tu cliques sur Oui.
Tu confirmes ensuite l'installation de la console de récupération.

Si une erreur de mise à jour survient, tu coches la ligne Ignorer cette étape et continuer l'installation de Windows puis tu cliques sur Suivant.

L'installation se fera ensuite jusqu'à ce qu'une fenêtre de confirmation indique que la console de récupération Windows est installée de manière effective.

_ Si tu es sous Xp et que tu n'as pas le CD de Windows original:

Tu vas sur http://support.microsoft.com/kb/310994 et tu descends jusqu'à la ligne Téléchargement du fichier programme des disquettes d'installation.

Tu sélectionnes le lien correspondant à ta version de Windows puis, dans la fenêtre de téléchargement, tu cliques sur Télécharger et tu enregistres le fichier sur le Bureau.
Si le Service Pack 3 est installé sur ta machine, tu sélectionnes le lien correspondant à ta version de Windows sous environnement Service Pack 2 (SP2) Windows XP.
Si tu utilises Windows Xp Media Center, tu sélectionnes le téléchargement Service Pack 2 Windows XP Professionnel.

Pour savoir quelle version de Windows & quel Service Pack est installé, il suffit de cliquer sur Démarrer puis Panneau de configuration.

Tu cliques ensuite sur Système et tu pourras lire dans la fenêtre Propriétés du système, dans le cadre Système, la version de Windows & le Service Pack installés.

Le fichier téléchargé sur le Bureau, tu exécutes un glisser/déposer comme ceci:



Le glisser/déposer va lancer ComboFix qui va installer la console de récupération Windows.

A la fin de l'installation, ComboFix signalera que la console de récupération est installée et demandera si tu veux effectuer une analyse.
Cliques sur Non/No car le paramétrage n'est pas encore achevé.

Avant de lancer ComboFix, tu dois désactiver ta connexion Internet, ton antivirus, ton anti-spyware & ton pare-feu car ils peuvent bloquer l'exécution de l'utilitaire (faux-positifs).
Tu les réactiveras après l'utilisation de ComboFix.
Tu fermes toutes les fenêtres ouverte.

Tu ouvres le Bloc-notes en cliquant sur Démarrer puis Tous les programmes, Accessoires et finalement Bloc-notes.

Tu copies-colles le texte suivant dans le Bloc-notes:

Code: Tout sélectionner

file::
C:WINDOWSprefetch161328.EXE-1761EBD1.pf
C:WINDOWSprefetch166953.EXE-3AA5AA62.pf
CWINDOWSprefetch184265.EXE-34F6FB3C.pf
C:WINDOWSprefetch185343.EXE-3769D5E6.pf
C:WINDOWSprefetch187109.EXE-0C31F2A4.pf
C:WINDOWSprefetch2062531.EXE-262EAA73.pf
C:WINDOWSprefetch2078515.EXE-04B01712.pf
C:WINDOWSprefetch215265.EXE-2D8774F9.pf
C:WINDOWSprefetch222765.EXE-01D8C04F.pf
C:WINDOWSprefetch324375.EXE-07080CF6.pf
C:WINDOWSprefetch353859.EXE-32D88995.pf
C:WINDOWSprefetch361703.EXE-2F6B8B98.pf
C:WINDOWSprefetch364250.EXE-280B3AFA.pf
C:WINDOWSprefetch373093.EXE-03927066.pf
C:WINDOWSprefetchFLEC006.EXE-1450DF00.pf
C:WINDOWSprefetchMDELK.EXE-1D176F91.pf
C:WINDOWSprefetchWINFILSE.EXE-17C2CF68.pf
C:WINDOWSprefetchWINTEMS.EXE-2A563F9B.pf
C:WINDOWSsystem32mdelk.exe
C:WINDOWSsystem32wintems.exe
C:WINDOWSsystem32an_list.txt
C:WINDOWSsystem32driverssrosa.sys
C:WINDOWSsystem32driverssrosa2.sys
C:WINDOWSsystem32driverswinfilse.exe
C:WINDOWSsystem32driversdownld
C:Documents and SettingsGrisselin-Van StalleApplication Datamflec006.exe
C:Documents and SettingsGrisselin-Van StalleApplication Datamlist.oct
C:Documents and SettingsGrisselin-Van StalleApplication Datamdata.oct
C:Documents and SettingsGrisselin-Van StalleApplication Datamsrvlist.oct
C:Documents and SettingsGrisselin-Van StalleApplication Datamshared
C:Documents and SettingsGrisselin-Van StalleApplication Datam

registry::
HKEY_USERSS-1-5-21-1401251031-3997734398-1067636003-1005SoftwareLocal AppWizard-Generated Applicationsflec006
HKEY_USERSS-1-5-21-1401251031-3997734398-1067636003-1005SoftwareLocal AppWizard-Generated Applicationsinstall_patch
HKEY_USERSS-1-5-21-1401251031-3997734398-1067636003-1005SoftwareLocal AppWizard-Generated Applicationswinfilse
HKEY_USERSS-1-5-21-1401251031-3997734398-1067636003-1005Softwareisoft
HKEY_USERSS-1-5-21-1401251031-3997734398-1067636003-1005SoftwareDateTime4
HKEY_USERSS-1-5-21-1401251031-3997734398-1067636003-1005SoftwareFFC
HKEY_USERSS-1-5-21-1401251031-3997734398-1067636003-1005SoftwareFirtR
HKEY_USERSS-1-5-21-1401251031-3997734398-1067636003-1005SoftwareMuleAppData
HKEY_CURRENT_USERSoftwareLocal AppWizard-Generated Applicationsflec006
HKEY_CURRENT_USERSoftwareLocal AppWizard-Generated Applicationsinstall_patch
HKEY_CURRENT_USERSoftwareLocal AppWizard-Generated HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicessrosa
HKEY_LOCAL_MACHINESYSTEMControlSet001Servicessrosa
HKEY_LOCAL_MACHINESYSTEMControlSet002Servicessrosa
HKEY_LOCAL_MACHINESYSTEMControlSet003Servicessrosa
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_SROSA
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_SROSA
HKEY_CURRENT_USERSoftwareisoft
HKEY_CURRENT_USERSoftwareDateTime4
HKEY_CURRENT_USERSoftwareFirtR
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_SK9OU0S
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_SK9OU0S
HKEY_LOCAL_MACHINESYSTEMControlSet003EnumRootLEGACY_SK9OU0S
HKEY_LOCAL_MACHINESYSTEMControlSet004EnumRootLEGACY_SK9OU0S
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicessK9Ou0s
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicessK9Ou0s
HKEY_LOCAL_MACHINESYSTEMControlSet003ServicessK9Ou0s
HKEY_LOCAL_MACHINESYSTEMControlSet004ServicessK9Ou0s

Tu enregistres ce fichier sur le Bureau sous le nom CFScript.txt et tu mets comme type de fichier Tous les fichiers puis tu fermes le Bloc-notes.

Tu sélectionnes ensuite le fichier CFScript et tu exécutes un glisser/déposer comme ceci:



Le glisser/déposer va lancer à nouveau ComboFix.

Tu tapes ensuite sur la touche [1] pour continuer.

L'analyse se lancera par la suite avec création d'un point de restauration et sauvegarde des fichiers Windows.
Patientes, ComboFix nettoie en 41 étapes.

Tu ne t'inquiètes surtout pas, il se charge de tout.

Si le Bureau vient à disparaître une ou plusieurs fois, ne t'inquiète pas.

Laisse faire l'utilitaire et suis bien les instructions à l'écran, il est possible qu'il te demande de redémarrer.

Surtout, tant que tu n'as pas un message de ComboFix t'informant que le ménage est terminé, tu ne fais rien de plus que ce que l'utilitaire t'indique, c'est important car il peut être long mais travaille efficacement.

Quand tout sera fini, tu liras:

Code: Tout sélectionner

Almost done... This window will close in a short while
Please wait a few seconds for the report log to pop up

ComboFix's log shall be located at C:ComboFix.txt

Normalement, le rapport s'ouvrira dans le Bloc-notes, tu nous copies-colles l'intégralité du fichier.
Si le Bloc-notes ne s'ouvre pas, tu iras chercher le rapport ici: C:ComboFix.txt et tu nous le colles dans ton prochain message.

[gillouvan]

ComboFix 08-11-18.A2 - Grisselin-Van Stalle 2008-11-19 23:35:14.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1558 [GMT 1:00]
Lancé depuis: c:documents and settingsGrisselin-Van StalleBureaufix.exe
Commutateurs utilisés :: c:documents and settingsGrisselin-Van StalleBureauCFScript.txt
* Un nouveau point de restauration a été créé

AVERTISSEMENT - LA CONSOLE DE RECUPERATION N'EST PAS INSTALLEE SUR CETTE MACHINE !!

FILE ::
c:windowsprefetch161328.EXE-1761EBD1.pf
c:windowsprefetch166953.EXE-3AA5AA62.pf
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:windowsprefetch161328.EXE-1761EBD1.pf
c:windowsprefetch166953.EXE-3AA5AA62.pf

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-19 au 2008-11-19 ))))))))))))))))))))))))))))))))))))
.

2008-11-19 21:57 . 2008-11-19 21:57 200 --a------ C:sqmnoopt10.sqm
2008-11-19 21:57 . 2008-11-19 21:57 200 --a------ C:sqmdata10.sqm
2008-11-19 13:50 . 2008-11-19 13:50 200 --a------ C:sqmnoopt09.sqm
2008-11-19 13:50 . 2008-11-19 13:50 200 --a------ C:sqmdata09.sqm
2008-11-19 07:50 . 2008-11-19 07:50 236 --a------ C:sqmdata08.sqm
2008-11-19 07:50 . 2008-11-19 07:50 200 --a------ C:sqmnoopt08.sqm
2008-11-18 23:25 . 2008-11-18 23:25 <REP> d-------- c:documents and settingsGrisselin-Van StalleApplication DataWindows Live Writer
2008-11-18 23:20 . 2008-11-18 23:20 200 --a------ C:sqmnoopt07.sqm
2008-11-18 23:20 . 2008-11-18 23:20 200 --a------ C:sqmdata07.sqm
2008-11-18 23:13 . 2008-11-18 23:13 236 --a------ C:sqmdata06.sqm
2008-11-18 23:13 . 2008-11-18 23:13 200 --a------ C:sqmnoopt06.sqm
2008-11-18 22:12 . 2008-11-18 22:12 200 --a------ C:sqmnoopt05.sqm
2008-11-18 22:12 . 2008-11-18 22:12 200 --a------ C:sqmdata05.sqm
2008-11-18 21:52 . 2008-11-18 22:10 <REP> d-------- C:SDFix
2008-11-18 21:48 . 2008-11-19 22:43 <REP> d-------- C:ToolBar SD
2008-11-18 21:42 . 2008-11-19 14:09 <REP> d-------- c:program filesFindyKill
2008-11-18 21:31 . 2008-11-18 21:31 200 --a------ C:sqmnoopt04.sqm
2008-11-18 21:31 . 2008-11-18 21:31 200 --a------ C:sqmdata04.sqm
2008-11-18 20:05 . 2008-11-18 20:05 <REP> d-------- c:program filesMalwarebytes' Anti-Malware
2008-11-18 20:05 . 2008-11-18 20:05 <REP> d-------- c:documents and settingsGrisselin-Van StalleApplication DataMalwarebytes
2008-11-18 20:05 . 2008-11-18 20:05 <REP> d-------- c:documents and settingsAll UsersApplication DataMalwarebytes
2008-11-18 20:05 . 2008-10-22 16:10 38,496 --a------ c:windowssystem32driversmbamswissarmy.sys
2008-11-18 20:05 . 2008-10-22 16:10 15,504 --a------ c:windowssystem32driversmbam.sys
2008-11-18 19:03 . 2008-11-18 19:03 200 --a------ C:sqmnoopt03.sqm
2008-11-18 19:03 . 2008-11-18 19:03 200 --a------ C:sqmdata03.sqm
2008-11-18 05:26 . 2008-11-18 05:26 54,156 --ah----- c:windowsQTFont.qfn
2008-11-18 05:26 . 2008-11-18 05:26 1,409 --a------ c:windowsQTFont.for
2008-11-17 18:42 . 2008-11-17 18:42 200 --a------ C:sqmnoopt02.sqm
2008-11-17 18:42 . 2008-11-17 18:42 200 --a------ C:sqmdata02.sqm
2008-11-17 18:27 . 2008-11-17 18:27 200 --a------ C:sqmnoopt01.sqm
2008-11-17 18:27 . 2008-11-17 18:27 200 --a------ C:sqmdata01.sqm
2008-11-17 05:33 . 2008-11-17 05:33 200 --a------ C:sqmnoopt00.sqm
2008-11-17 05:33 . 2008-11-17 05:33 200 --a------ C:sqmdata00.sqm
2008-11-16 23:35 . 2008-11-16 23:35 <REP> d-------- c:program filesTrend Micro
2008-11-16 20:38 . 2008-11-16 20:38 81,465 --a------ c:windowssystem32driversklif.cab
2008-11-16 20:34 . 2008-11-16 20:34 <REP> d-------- c:documents and settingsAll UsersApplication DataKaspersky Lab Setup Files
2008-11-16 13:57 . 2008-11-16 14:29 <REP> d-------- c:program filesRegCleaner
2008-11-13 19:52 . 2008-11-13 19:52 <REP> d-------- c:program filesSelor
2008-11-13 19:52 . 2008-11-13 19:52 <REP> d-------- c:documents and settingsGrisselin-Van StalleWINDOWS
2008-11-06 11:40 . 2008-11-06 11:40 <REP> d-------- c:program filesWestern Digital
2008-11-06 11:40 . 2008-11-06 11:40 <REP> d-------- c:program filesFichiers communseSellerate
2008-11-06 11:39 . 2008-11-06 11:39 <REP> d-------- c:program filesWestern Digital Technologies
2008-11-06 11:39 . 2008-11-06 11:40 <REP> d---s---- c:documents and settingsAll UsersApplication DataMemeo
2008-11-03 17:53 . 2008-11-03 17:53 <REP> d-------- c:program filesCommon Files
2008-11-03 09:23 . 2008-11-03 09:23 <REP> d-------- c:program filesFichiers communsArcSoft
2008-11-03 09:22 . 2003-09-19 15:45 21,248 --a------ c:windowssystem32driverspfc.sys
2008-10-28 22:58 . 2008-11-19 23:31 <REP> d-------- c:documents and settingsGrisselin-Van StalleTracing
2008-10-28 22:57 . 2008-10-28 22:57 <REP> d-------- c:program filesMicrosoft Office Outlook Connector
2008-10-28 22:55 . 2008-09-04 22:03 56,344 --a------ c:windowssystem32driversfssfltr.sys
2008-10-28 22:47 . 2008-10-28 22:47 <REP> d-------- c:program filesMicrosoft
2008-10-28 22:37 . 2008-10-28 22:37 <REP> d-------- c:program filesFichiers communsWindows Live
2008-10-28 08:42 . 2008-10-28 08:42 371 --a------ c:windowsJMC_1000_V0601.INI
2008-10-28 08:41 . 2008-10-28 08:42 <REP> d-------- C:educampa
2008-10-26 14:21 . 2008-10-26 14:22 25,992 --a------ c:windowssystem32pgdfgsvc.exe
2008-10-23 19:19 . 2008-11-08 22:33 <REP> d-------- c:program filesvanBasco's Karaoke Player
2008-10-19 17:02 . 2008-10-19 17:02 <REP> d-------- c:program filesUBISOFT
2008-10-19 16:49 . 2008-10-19 16:49 <REP> d-------- c:documents and settingsGrisselin-Van StalleApplication DataEncyclopedie Hachette
2008-10-19 16:47 . 2008-10-19 16:47 <REP> d-------- c:documents and settingsGrisselin-Van StalleApplication Dataubi.com
2008-10-19 16:47 . 2001-07-30 17:03 185,344 --a------ c:windowspatchw32.dll
2008-10-19 16:46 . 2008-10-19 16:46 <REP> d-------- c:program filesubi.com
2008-10-19 16:46 . 2008-10-19 16:46 <REP> d-------- c:program filesFichiers communsPocketSoft
2008-10-19 16:35 . 2008-10-19 16:35 <REP> d-------- c:documents and settingsAll UsersApplication DataQuickTime
2008-10-19 16:30 . 2008-10-19 16:30 <REP> d-------- c:program filesHachette

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-19 21:58 7,168 -csha-w c:program filesThumbs.db
2008-11-19 20:38 --------- d-----w c:program filesSPAMfighter
2008-11-18 18:03 --------- d-----w c:program filesBearShare Applications
2008-11-17 17:31 --------- d-----w c:program filesAlwil Software
2008-11-16 23:33 --------- d-----w c:program fileseMule
2008-11-16 22:30 --------- d-----w c:documents and settingsAll UsersApplication Dataavg7
2008-11-16 13:47 --------- d-----w c:program filesGoogle
2008-11-08 22:26 --------- d-----w c:program filesAbbyy FineReader 6.0 Sprint
2008-11-06 10:40 --------- d--h--w c:program filesInstallShield Installation Information
2008-11-03 08:25 --------- d-----w c:documents and settingsGrisselin-Van StalleApplication DataArcSoft
2008-11-03 08:19 --------- d-----w c:program filesArcSoft
2008-10-28 21:55 --------- d-----w c:program filesWindows Live
2008-10-28 21:51 --------- d-----w c:program filesWindows Live Toolbar
2008-10-26 08:45 --------- d-----w c:documents and settingsGrisselin-Van StalleApplication DataBearShare
2008-10-25 17:58 --------- d-----w c:documents and settingsAll UsersApplication DataMicrosoft Help
2008-10-15 19:41 --------- d-----w c:documents and settingsGrisselin-Van StalleApplication DataU3
2008-10-11 11:45 --------- d-----w c:program filesPopCap Games
2008-10-05 13:58 --------- d-----w c:documents and settingsGrisselin-Van StalleApplication DataFaxCtr
2008-09-05 15:04 288,768 ----a-w c:windowsWLXPGSS.SCR
2006-12-03 21:39 3,382,784 -csha-w c:program filesehthumbs.db
2006-11-30 21:01 0 -c----w c:documents and settingsGrisselin-Van StalleApplication Datawklnhst.dat
2006-11-14 16:36 774,144 -c--a-w c:program filesRngInterstitial.dll
2006-11-11 16:52 49 -c--a-w c:documents and settingsgilles Van stalleApplication Datainternaldb7428.dat
2006-11-11 16:52 337 -c--a-w c:documents and settingsgilles Van stalleApplication Datainternaldb1942.dat
2006-11-11 15:26 76 -c--a-w c:program files
etopts
2006-11-11 15:26 32 -c--a-w c:program filesSpecSelection.bin
2006-11-10 20:12 6,144 -c--a-w c:documents and settingsgilles Van stalleApplication Datainternaldb1125.dat
2006-11-08 21:23 987,056 -c--a-w c:program filesOPTIONS
2006-11-08 21:23 6,336 -c--a-w c:program filesBESTTIMES_GHOSTS
2006-11-08 21:23 49,264 -c--a-w c:program filesCHAMPIONSHIP_SLOT_3
2006-11-08 07:36 9,216 -c--a-w c:documents and settingsgilles Van stalleApplication Datainternaldb7804.dat
2006-11-08 07:36 20,480 -c--a-w c:documents and settingsgilles Van stalleApplication Datainternaldb5257.dat
2006-11-08 07:36 0 -c--a-w c:documents and settingsgilles Van stalleApplication Datainternaldb9527.dat
2006-11-08 07:25 0 -c--a-w c:documents and settingsgilles Van stalleApplication Datainternaldb41.dat
2006-11-06 20:42 41,306 -c--a-w c:program filesGhostReplay40
2006-11-06 20:36 24,452 -c--a-w c:program filesGhostReplay66
2006-11-06 20:30 35,204 -c--a-w c:program filesGhostReplay61
2006-11-06 20:26 38,420 -c--a-w c:program filesGhostReplay75
2006-11-06 20:22 31,834 -c--a-w c:program filesGhostReplay74
2006-11-06 20:13 38,234 -c--a-w c:program filesGhostReplay00
2006-11-06 19:03 34,990 -c--a-w c:program filesGhostReplay32
2006-11-04 06:48 35,702 -c--a-w c:program filesGhostReplay20
2006-11-03 20:10 40,366 -c--a-w c:program filesGhostReplay60
2006-11-03 20:05 17,042 -c--a-w c:program filesGhostReplay36
2006-11-03 20:02 32,728 -c--a-w c:program filesGhostReplay70
2006-11-03 11:13 30,838 -c--a-w c:program filesGhostReplay50
2006-11-01 09:24 49,264 -c--a-w c:program filesCHAMPIONSHIP_SLOT_2
2006-11-01 05:27 49,264 -c--a-w c:program filesCHAMPIONSHIP_SLOT_1
2006-10-31 21:21 251 -c--a-w c:program fileswt3d.ini
2006-10-31 21:10 0 -c--a-w c:documents and settingsgilles Van stalleApplication Datawklnhst.dat
2004-03-22 13:01 1,892,352 -c--a-w c:program filescmr4.exe
2004-03-02 13:46 793 -c--a-w c:program files
etwork.cfg
2003-12-01 15:39 2,998 -c--a-w c:program filesCMR4.ico
2003-09-02 15:28 53,248 -c--a-r c:program filesMathPIII.dll
2003-09-02 15:28 53,248 -c--a-r c:program filesMathCPU.dll
2003-09-02 15:28 53,248 -c--a-r c:program filesMath3dNow.dll
2003-09-02 15:28 208,896 -c--a-r c:program filesMathPIIId.dll
2003-09-02 15:28 200,704 -c--a-r c:program filesMathCPUd.dll
2003-09-02 15:28 188,416 -c--a-r c:program filesMath3dNowd.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
"CTFMON.EXE"="c:windowssystem32ctfmon.exe" [2006-03-25 15360]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"ehTray"="c:windowsehomeehtray.exe" [2005-08-05 64512]
"hpWirelessAssistant"="c:program fileshpqHP Wireless AssistantHP Wireless Assistant.exe" [2006-05-03 458752]
"igfxtray"="c:windowssystem32igfxtray.exe" [2006-03-22 94208]
"igfxhkcmd"="c:windowssystem32hkcmd.exe" [2006-03-22 77824]
"igfxpers"="c:windowssystem32igfxpers.exe" [2006-03-22 118784]
"SynTPEnh"="c:program filesSynapticsSynTPSynTPEnh.exe" [2006-06-17 794713]
"RecGuard"="c:windowsSMINSTRecGuard.exe" [2005-10-11 1187840]
"Reminder"="c:windowsCREATORRemind_XP.exe" [2006-02-09 643072]
"QuickTime Task"="c:program filesQuickTimeqttask.exe" [2008-03-28 413696]
"Adobe Reader Speed Launcher"="c:program filesAdobeReader 8.0ReaderReader_sl.exe" [2008-10-15 39792]
"MsmqIntCert"="mqrt.dll" [2007-07-06 c:windowssystem32mqrt.dll]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-06-02 c:windowssystem32CHDAudPropShortcut.exe]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
"CTFMON.EXE"="c:windowssystem32CTFMON.EXE" [2006-03-25 15360]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
"VIDC.MJPG"= mtkjpeg.dll

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetcontrollsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringSymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringSymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\WINDOWS\system32\mqsvc.exe"=
"c:\Program Files\IncrediMail\bin\IMApp.exe"=
"c:\Program Files\IncrediMail\bin\ImpCnt.exe"=
"c:\Program Files\IncrediMail\bin\IncMail.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Lexmark 3500-4500 Series\lxdimon.exe"=
"c:\WINDOWS\system32\spool\drivers\w32x86\3\lxdipswx.exe"=
"c:\WINDOWS\system32\lxdicoms.exe"=
"c:\Program Files\Lexmark 3500-4500 Series\lxdiamon.exe"=
"c:\Program Files\Lexmark 3500-4500 Series\App4r.exe"=
"c:\Program Files\Abbyy FineReader 6.0 Sprint\scan\scanman6.exe"=
"c:\Program Files\Lexmark Fax Solutions\FaxCtr.exe"=
"c:\WINDOWS\system32\lxdicfg.exe"=
"c:\WINDOWS\system32\spool\drivers\w32x86\3\lxditime.exe"=
"c:\WINDOWS\system32\spool\drivers\w32x86\3\lxdiwbgw.exe"=
"c:\WINDOWS\system32\spool\drivers\w32x86\3\lxdijswx.exe"=
"c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"=
"c:\Program Files\Microsoft Office\Office12\GROOVE.EXE"=
"c:\Program Files\Microsoft Office\Office12\ONENOTE.EXE"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\WINDOWS\system32\lxdiih.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=

R2 fssfltr;FssFltr;c:windowssystem32DRIVERSfssfltr.sys [2008-10-28 56344]
R2 lxdi_device;lxdi_device;c:windowssystem32lxdicoms.exe -service []
R2 lxdiCATSCustConnectService;lxdiCATSCustConnectService;c:windowsSystem32spoolDRIVERSW32X863\lxdiserv.exe [2008-01-03 99248]
R2 SPAMfighter Update Service;SPAMfighter Update Service;"c:program filesSPAMfightersfus.exe" [2008-07-29 184968]
R3 5U870CAP_VID_1262&PID_25FD;HP Pavilion Webcam ;c:windowssystem32Drivers5U870CAP.sys [2006-06-06 61952]
S3 AF15BDA;AF9015 BDA Filter;c:windowssystem32DriversAF15BDA.sys [2008-02-21 264448]
S3 fsssvc;Windows Live Contrôle parental;"c:program filesWindows LiveFamily Safetyfsssvc.exe" [2008-09-04 512536]

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{1da20a5c-9af1-11dd-8939-0018de344e65}]
ShellAutoRuncommand - F:LaunchU3.exe
.
Contenu du dossier 'Tâches planifiées'

2008-11-15 c:windowsTasksAppleSoftwareUpdate.job
- c:program filesApple Software UpdateSoftwareUpdate.exe [2008-04-11 16:57]

2007-01-14 c:windowsTasksConnexion facile à Internet.job
- c:program filesHewlett-PackardSDPHPSdpApp.exe [2005-11-16 09:55]

2007-01-06 c:windowsTasksHP Service Delivery.job
- c:program filesHewlett-PackardSDPHPSdpApp.exe [2005-11-16 09:55]
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-19 23:38:24
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:windowssystem32msdtc.exe
c:program filesFichiers communsAppleMobile Device SupportinAppleMobileDeviceService.exe
c:windowsehomeehrecvr.exe
c:windowsehomeehSched.exe
c:program filesFichiers communsLightScribeLSSrvc.exe
c:windowssystem32spooldriversw32x863lxdiserv.exe
c:windowssystem32lxdicoms.exe
c:windowsehomemcrdsvc.exe
c:program filesHewlett-PackardSharedhpqwmiex.exe
c:program filesWindows Media Playerwmpnetwk.exe
c:windowssystem32mqsvc.exe
c:windowssystem32mqtgsvc.exe
c:windowssystem32dllhost.exe
c:windowsehomeehmsas.exe
c:progra~1HPQSharedHPQTOA~1.EXE
c:windowssystem32wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2008-11-19 23:42:21 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-11-19 22:42:17
ComboFix2.txt 2008-11-19 22:29:31

Avant-CF: 46.273.839.104 octets libres
Après-CF: 46,259,621,888 octets libres

258 --- E O F --- 2008-09-15 16:19:49

[r@in | b0w]

Bonjour.

Suis-tu toutes les directives?

AVERTISSEMENT - LA CONSOLE DE RECUPERATION N'EST PAS INSTALLEE SUR CETTE MACHINE !!

Or j'explique clairement comment l'installer.
Fais-le, cela sera utile pour la suite.

De plus,

[FILE ::
c:windowsprefetch161328.EXE-1761EBD1.pf
c:windowsprefetch166953.EXE-3AA5AA62.pf
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:windowsprefetch161328.EXE-1761EBD1.pf
c:windowsprefetch166953.EXE-3AA5AA62.pf

Tu es certain d'avoir fait le fichier CFScript comme je l'ai fait plus haut? Il fallait faire un copier-coller de la totalité du texte en vert en gardant la même forme.

Car là, il n'y a que deux fichiers d'éliminés, bizarre quand même que seulement deux soient trouvés.


1_ tu refais un scan Mbam et tu postes le rapport, il est possible qu'il ait fait du ménage mais j'en doute quand même.


2_ tu installes la console de récupération avec ComboFix.

Ensuite, tu redémarres.

Tu choisis au démarrage la Console de récupération puis la partition C.

Tu tapes ensuite une à une les lignes suivantes (oui, je sais, long et chiant mais pas d'autres solutions désolé l'ami) et tu valides par la touche [Entrée]:

Code: Tout sélectionner

delete C:WINDOWSprefetch161328.EXE-1761EBD1.pf
delete C:WINDOWSprefetch166953.EXE-3AA5AA62.pf
delete CWINDOWSprefetch184265.EXE-34F6FB3C.pf
delete C:WINDOWSprefetch185343.EXE-3769D5E6.pf
delete C:WINDOWSprefetch187109.EXE-0C31F2A4.pf
delete C:WINDOWSprefetch2062531.EXE-262EAA73.pf
delete C:WINDOWSprefetch2078515.EXE-04B01712.pf
delete C:WINDOWSprefetch215265.EXE-2D8774F9.pf
delete C:WINDOWSprefetch222765.EXE-01D8C04F.pf
delete C:WINDOWSprefetch324375.EXE-07080CF6.pf
delete C:WINDOWSprefetch353859.EXE-32D88995.pf
delete C:WINDOWSprefetch361703.EXE-2F6B8B98.pf
delete C:WINDOWSprefetch364250.EXE-280B3AFA.pf
delete C:WINDOWSprefetch373093.EXE-03927066.pf
delete C:WINDOWSprefetchFLEC006.EXE-1450DF00.pf
delete C:WINDOWSprefetchMDELK.EXE-1D176F91.pf
delete C:WINDOWSprefetchWINFILSE.EXE-17C2CF68.pf
delete C:WINDOWSprefetchWINTEMS.EXE-2A563F9B.pf
delete C:WINDOWSsystem32mdelk.exe
delete C:WINDOWSsystem32wintems.exe
delete C:WINDOWSsystem32an_list.txt
delete C:WINDOWSsystem32driverssrosa.sys
delete C:WINDOWSsystem32driverssrosa2.sys
delete C:WINDOWSsystem32driverswinfilse.exe
delete C:WINDOWSsystem32driversdownld
delete C:Documents and SettingsGrisselin-Van StalleApplication Datamflec006.exe
delete C:Documents and SettingsGrisselin-Van StalleApplication Datamlist.oct
delete C:Documents and SettingsGrisselin-Van StalleApplication Datamdata.oct
delete C:Documents and SettingsGrisselin-Van StalleApplication Datamsrvlist.oct
delete C:Documents and SettingsGrisselin-Van StalleApplication Datamshared
delete C:Documents and SettingsGrisselin-Van StalleApplication Datam

Tu redémarres ensuite.


3_ Tu lances FindyKill, Mbam & EliBagla et tu postes tous les rapports.

Normalement, tout ce qui est fichier vérolé devrait être supprimé.
Il ne reste plus que des entrées dans le registre et des modifications dans la BDR à faire, FindyKill s'en chargera.

[gillouvan]

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1410
Windows 5.1.2600 Service Pack 2

20/11/2008 19:36:40
mbam-log-2008-11-20 (19-36-40).txt

Type de recherche: Examen complet (C:|D:|)
Eléments examinés: 183492
Temps écoulé: 1 hour(s), 12 minute(s), 13 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

[r@in | b0w]

Ok.

La suite maintenant.

[gillouvan]

j'ai lancé combofix, installé la console de démarrage mais après je n'arrive pas à écrire ce que tu me demande.

que dois-je faire?

je ne suis pas dégourdi.

[gillouvan]

----------------- FindyKill V4.705 ------------------

* User : Grisselin-Van Stalle - GRISSELIN
* executed from : C:Program FilesFindyKill
* Update on 17/11/08 par Chiquitine29
* Start at 20:46:25 the jeu. 20/11/2008
* Windows XP - Internet Explorer 7.0.5730.13


((((((((((((((( *** deleting *** ))))))))))))))))))


--------------- [ Active Processes ] ----------------


C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32userinit.exe

--------------- [ Infected files / folders ] ----------------


»»»» Supression files in C:


»»»» Supression files in C:WINDOWS


»»»» Supression files in C:WINDOWSPrefetch

Deleted ! - C:WINDOWSprefetch184265.EXE-34F6FB3C.pf
Deleted ! - C:WINDOWSprefetch185343.EXE-3769D5E6.pf
Deleted ! - C:WINDOWSprefetch187109.EXE-0C31F2A4.pf
Deleted ! - C:WINDOWSprefetch2062531.EXE-262EAA73.pf
Deleted ! - C:WINDOWSprefetch2078515.EXE-04B01712.pf
Deleted ! - C:WINDOWSprefetch215265.EXE-2D8774F9.pf
Deleted ! - C:WINDOWSprefetch222765.EXE-01D8C04F.pf
Deleted ! - C:WINDOWSprefetch258187.EXE-03E2F6EE.pf
Deleted ! - C:WINDOWSprefetch324375.EXE-07080CF6.pf
Deleted ! - C:WINDOWSprefetch325828.EXE-1AB7C4A7.pf
Deleted ! - C:WINDOWSprefetch353859.EXE-32D88995.pf
Deleted ! - C:WINDOWSprefetch361703.EXE-2F6B8B98.pf
Deleted ! - C:WINDOWSprefetch364250.EXE-280B3AFA.pf
Deleted ! - C:WINDOWSprefetch373093.EXE-03927066.pf
Deleted ! - C:WINDOWSprefetchFLEC006.EXE-1450DF00.pf
Deleted ! - C:WINDOWSprefetchMDELK.EXE-1D176F91.pf
Deleted ! - C:WINDOWSprefetchWINFILSE.EXE-17C2CF68.pf
Deleted ! - C:WINDOWSprefetchWINTEMS.EXE-2A563F9B.pf

»»»» Supression files in C:WINDOWSsystem32


»»»» Supression files in C:WINDOWSsystem32drivers


»»»» Supression files in C:Documents and SettingsGrisselin-Van StalleApplication Data


»»»» Supression files in C:DOCUME~1GRISSE~1LOCALS~1Temp


»»»» Supression files in C:Documents and SettingsGrisselin-Van StalleLocal SettingsTemporary Internet FilesContent.IE5

Deleted ! - C:Documents and SettingsGrisselin-Van StalleLocal SettingsApplication DataMicrosoftMedia PlayerCache d'imagesLocalMLS{040ACFE8-B645-4B02-8C1A-D27A4AAB3A8A}.jpg
Deleted ! - C:Documents and SettingsGrisselin-Van StalleLocal SettingsApplication DataMicrosoftMedia PlayerCache d'imagesLocalMLS{672A65D7-1B64-4E49-A47B-7BEDF0CB8A13}.jpg

--------------- [ Registry / Infected keys ] ----------------

Deleted ! - HKEY_CURRENT_CONFIGSystemCurrentControlSetEnumROOTLEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINESYSTEMControlSet003EnumRootLEGACY_SK9OU0S
Deleted ! - HKEY_USERSS-1-5-21-1401251031-3997734398-1067636003-1005SoftwareLocal AppWizard-Generated Applicationsflec006
Deleted ! - HKEY_USERSS-1-5-21-1401251031-3997734398-1067636003-1005SoftwareLocal AppWizard-Generated Applicationsinstall_patch
Deleted ! - HKEY_USERSS-1-5-21-1401251031-3997734398-1067636003-1005SoftwareLocal AppWizard-Generated Applicationswinfilse

--------------- [ States / Restarting of services ] ----------------



+- Services : [ Auto=2 / Request=3 / Disable=4 ]

Ndisuio - Type of startup = 3

Ip6Fw - Type of startup = 2

SharedAccess - Type of startup = 2

wuauserv - Type of startup = 2

wscsvc - Type of startup = 2


--------------- [ Cleaning removable drives ] ----------------

+- Informations :

C: - Lecteur fixe

D: - Lecteur fixe


+- deleting files :

Deleted ! - D:info.exe

--------------- [ Registry / Mountpoint2 ] ----------------


-> Not found !


--------------- [ Searching Cracks / Keygen ] ----------------

C:Documents and SettingsGrisselin-Van StalleBureauFichiercrack
C:Documents and SettingsGrisselin-Van StalleBureauFichiercrackRead Me.txt
C:Documents and SettingsGrisselin-Van StalleBureausauvegardeFichiercrack
C:Documents and SettingsGrisselin-Van StalleBureausauvegardeFichiercrackRead Me.txt


---------------- ! End of report ! ------------------

[gillouvan]

Thu Nov 20 21:18:02 2008
EliBagle v11.97 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Accion Directa):

Thu Nov 20 21:18:04 2008
EliBagle v11.97 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploracion):
Explorando Unidad C:

Nº Total de Directorios: 10650
Nº Total de Ficheros: 114079
Nº de Ficheros Analizados: 13860
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Thu Nov 20 21:38:08 2008
EliBagle v11.97 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 17 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Accion Directa):

[r@in | b0w]

Pas dégourdi, pas dégourdi.

Tu as fait ce qu'il fallait faire!

FindyKill a enfin pu travailler et faire les suppressions, ce qui explique qu'EliBagla ne trouve rien derrière.

Par contre, c'est quoi ces dossiers:

C:Documents and SettingsGrisselin-Van StalleBureauFichiercrack
C:Documents and SettingsGrisselin-Van StalleBureausauvegardeFichiercrack

Si ce sont vraiments des cracks, tu les supprimes.

Bagle s'attrape avec des cracks vérolés!

Fais un nouveau scan FindyKill puis Mbam et poste les rapports.

Tu finis par un scan HiJackThis et tu postes aussi son rapport.

On approche de la fin gillouvan

[gillouvan]

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1414
Windows 5.1.2600 Service Pack 2

20/11/2008 22:27:08
mbam-log-2008-11-20 (22-27-08).txt

Type de recherche: Examen complet (C:|D:|)
Eléments examinés: 181481
Temps écoulé: 1 hour(s), 32 minute(s), 39 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

[gillouvan]

----------------- FindyKill V4.705 ------------------

* User : Grisselin-Van Stalle - GRISSELIN
* Emplacement : C:Program FilesFindyKill
* Outils Mis a jours le 17/11/08 par Chiquitine29
* Recherche effectuée à 22:32:19 le jeu. 20/11/2008
* Windows XP - Internet Explorer 7.0.5730.13

((((((((((((((((( *** Recherche *** ))))))))))))))))))


--------------- [ Processus actifs ] ----------------


C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32msdtc.exe
C:Program FilesFichiers communsAppleMobile Device SupportinAppleMobileDeviceService.exe
C:WINDOWSeHomeehRecvr.exe
C:WINDOWSeHomeehSched.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesFichiers communsLightScribeLSSrvc.exe
C:WINDOWSSystem32spoolDRIVERSW32X863lxdiserv.exe
C:WINDOWSsystem32lxdicoms.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSehomemcrdsvc.exe
C:Program FilesHewlett-PackardSharedhpqwmiex.exe
C:Program FilesWindows Media PlayerWMPNetwk.exe
C:WINDOWSsystem32mqsvc.exe
C:WINDOWSsystem32mqtgsvc.exe
C:WINDOWSsystem32dllhost.exe
C:WINDOWSSystem32alg.exe
C:WINDOWSsystem32wscntfy.exe
C:WINDOWSexplorer.exe
C:WINDOWSsystem32ctfmon.exe
C:Program Filesinternet exploreriexplore.exe
C:Program FilesWindows LiveToolbarwltuser.exe
C:Program FilesFichiers communsMicrosoft SharedWindows LiveWLLoginProxy.exe
C:Program FilesWindows LiveMessengermsnmsgr.exe
C:Program FilesWindows LiveContactswlcomm.exe

--------------- [ Fichiers/Dossiers infectieux ] ----------------


»»»» Presence des fichiers dans C:

Found ! [20/11/2008 21:38] - C:InfoSat.txt

»»»» Presence des fichiers dans C:WINDOWS


»»»» Presence des fichiers dans C:WINDOWSPrefetch


»»»» Presence des fichiers dans C:WINDOWSsystem32


»»»» Presence des fichiers dans C:WINDOWSsystem32drivers


»»»» Presence des fichiers dans C:Documents and SettingsGrisselin-Van StalleApplication Data


»»»» Presence des fichiers dans C:DOCUME~1GRISSE~1LOCALS~1Temp


»»»» Presence des fichiers dans C:Documents and SettingsGrisselin-Van StalleLocal SettingsTemporary Internet FilesContent.IE5


--------------- [ Registre / Startup ] ----------------

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersion un]

CTFMON.EXE=C:WINDOWSsystem32ctfmon.exe

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion un]

ehTray=C:WINDOWSehomeehtray.exe
hpWirelessAssistant=C:Program FileshpqHP Wireless AssistantHP Wireless Assistant.exe
igfxtray=C:WINDOWSsystem32igfxtray.exe
igfxhkcmd=C:WINDOWSsystem32hkcmd.exe
igfxpers=C:WINDOWSsystem32igfxpers.exe
MsmqIntCert=regsvr32 /s mqrt.dll
High Definition Audio Property Page Shortcut=CHDAudPropShortcut.exe
SynTPEnh=C:Program FilesSynapticsSynTPSynTPEnh.exe
RecGuard=C:WindowsSMINSTRecGuard.exe
Reminder=C:WindowsCREATORRemind_XP.exe
QuickTime Task="C:Program FilesQuickTimeqttask.exe" -atboottime
Adobe Reader Speed Launcher="C:Program FilesAdobeReader 8.0ReaderReader_sl.exe"
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversion unOptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversion unOptionalComponentsIMAIL=
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversion unOptionalComponentsMAPI=
NoChange=1
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversion unOptionalComponentsMSFS=
Installed=1
<NO NAME>=

--------------- [ Registre / Clés infectieuses ] ----------------



--------------- [ Etat / Services ] ----------------



+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

Ndisuio - Type de démarrage = 3

Ip6Fw - Type de démarrage = 2

SharedAccess - Type de démarrage = 2

wuauserv - Type de démarrage = 2

wscsvc - Type de démarrage = 2



--------------- [ Recherche dans supports amovibles] ----------------


+- Informations :

C: - Lecteur fixe

D: - Lecteur fixe


+- presence des fichiers :



--------------- [ Registre / Mountpoint2 ] ----------------


-> Not found !


------------------- ! Fin du rapport ! --------------------

[gillouvan]

Logfile of HijackThis v1.99.1
Scan saved at 22:44:02, on 20/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesFichiers communsAppleMobile Device SupportinAppleMobileDeviceService.exe
C:WINDOWSeHomeehRecvr.exe
C:WINDOWSeHomeehSched.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesFichiers communsLightScribeLSSrvc.exe
C:WINDOWSSystem32spoolDRIVERSW32X863lxdiserv.exe
C:WINDOWSsystem32lxdicoms.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesHewlett-PackardSharedhpqwmiex.exe
C:WINDOWSsystem32mqsvc.exe
C:WINDOWSsystem32mqtgsvc.exe
C:WINDOWSsystem32dllhost.exe
C:WINDOWSsystem32wscntfy.exe
C:WINDOWSexplorer.exe
C:WINDOWSsystem32ctfmon.exe
C:Program Filesinternet exploreriexplore.exe
C:Program FilesWindows LiveToolbarwltuser.exe
C:Program FilesFichiers communsMicrosoft SharedWindows LiveWLLoginProxy.exe
C:Program FilesWindows LiveMessengermsnmsgr.exe
C:Program FilesWindows LiveContactswlcomm.exe
C:Program FilesWinRARWinRAR.exe
C:DOCUME~1GRISSE~1LOCALS~1TempRar$EX00.250HijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.7sur7.be/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:Program FilesYahoo!CompanionInstallscpn0yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:Program FilesYahoo!CompanionInstallscpn0yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesFichiers communsAdobeAcrobatActiveXAcroIEHelper.dll
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:Program FilesWindows LiveMessengerwlchtc.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:Program FilesMicrosoftSearch Enhancement PackSearch HelperSearchHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:Program FilesMicrosoft OfficeOffice12GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.6.0_07inssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program FilesFichiers communsMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program filesgooglegoogletoolbar4.dll
O2 - BHO: Windows Live Toolbar Beta - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:Program FilesWindows LiveToolbarwltcore.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:Program FilesYahoo!CompanionInstallscpn0yt.dll
O3 - Toolbar: &Windows Live Toolbar Beta - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:Program FilesWindows LiveToolbarwltcore.dll
O4 - HKLM..Run: [ehTray] C:WINDOWSehomeehtray.exe
O4 - HKLM..Run: [hpWirelessAssistant] C:Program FileshpqHP Wireless AssistantHP Wireless Assistant.exe
O4 - HKLM..Run: [igfxtray] C:WINDOWSsystem32igfxtray.exe
O4 - HKLM..Run: [igfxhkcmd] C:WINDOWSsystem32hkcmd.exe
O4 - HKLM..Run: [igfxpers] C:WINDOWSsystem32igfxpers.exe
O4 - HKLM..Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM..Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM..Run: [SynTPEnh] C:Program FilesSynapticsSynTPSynTPEnh.exe
O4 - HKLM..Run: [RecGuard] C:WindowsSMINSTRecGuard.exe
O4 - HKLM..Run: [Reminder] C:WindowsCREATORRemind_XP.exe
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [Adobe Reader Speed Launcher] "C:Program FilesAdobeReader 8.0ReaderReader_sl.exe"
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O8 - Extra context menu item: &Windows Live Search - res://C:Program FilesWindows Live Toolbarmsntb.dll/search.htm
O8 - Extra context menu item: Download with &Shareaza - res://C:Program FilesShareazaPluginsRazaWebHook.dll/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:PROGRA~1MICROS~2Office12EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_07inssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_07inssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:Program FilesWindows LiveWriterWriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:Program FilesWindows LiveWriterWriterBrowserExtension.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:PROGRA~1MICROS~2Office12ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:PROGRA~1MICROS~2Office12ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2Office12REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%Network Diagnosticxpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%Network Diagnosticxpnetdiag.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_BE&c=64&bd=pavilion&pf=laptop
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://gillouvan.spaces.live.com/PhotoU ... nPUpld.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:Program FilesMicrosoft OfficeOffice12GrooveSystemServices.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:PROGRA~1WI1F86~1MESSEN~1MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:Program FilesFichiers communsMicrosoft SharedHelphxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:PROGRA~1WI1F86~1MESSEN~1MSGRAP~1.DLL
O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:Program FilesWindows LiveMailmailcomm.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:PROGRA~1FICHIE~1MICROS~1OFFICE12MSOXMLMF.DLL
O20 - Winlogon Notify: igfxcui - C:WINDOWSSYSTEM32igfxdev.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:WINDOWSsystem32WPDShServiceObj.dll
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:Program FilesHewlett-PackardHP Quick Launch ButtonsAddFiltr.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:Program FilesFichiers communsAppleMobile Device SupportinAppleMobileDeviceService.exe
O23 - Service: AVG Anti-Spyware Guard - Unknown owner - C:Program FilesGrisoftAVG Anti-Spyware 7.5guard.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:Program FilesHewlett-PackardSharedhpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:Program FilesFichiers communsInstallShieldDriver1050Intel 32IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:Program FilesiPodiniPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:Program FilesFichiers communsLightScribeLSSrvc.exe
O23 - Service: lxdiCATSCustConnectService - Lexmark International, Inc. - C:WINDOWSSystem32spoolDRIVERSW32X863\lxdiserv.exe
O23 - Service: lxdi_device - - C:WINDOWSsystem32lxdicoms.exe
O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:Program FilesSPAMfightersfus.exe

[r@in | b0w]

Ok et bravo pour ta patience


_ Via HiJackThis, tu supprimes les lignes:

O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [Adobe Reader Speed Launcher] "C:Program FilesAdobeReader 8.0ReaderReader_sl.exe"
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%Network Diagnosticxpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%Network Diagnosticxpnetdiag.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - Unknown owner - C:Program FilesGrisoftAVG Anti-Spyware 7.5guard.exe (file missing)


_ Est-ce que ton antivirus est fonctionnel? Si non, il faut le réinstaller. D'ailleurs, tu as quoi comme antivirus?


_ Les fichiers dont j'ai parlé tout à l'heure (cracks) sont supprimés?


_ Pour terminer la désinfection et optimiser Windows:


_ Désinstallation des utilitaires utilisés:

Les programmes utilisés pour la désinfection ne sont pas à utiliser quotidiennement.

Pour les désinstaller, il faut aller dans le Panneau de configuration puis, via Ajouter/Supprimer des programmes, sélectionner les utilitaires et cliquer sur Désinstaller.

Pour une suppression effective, penses à supprimer leurs dossiers respectifs, la plupart à la racine de ta partition principale.


_ Utilisation d'un navigateur internet alternatif:

Internet Explorer n'étant pas sûr, il est préférable d'installer un navigateur internet alternatif pour sécuriser ton surf.

Tu as le choix entre Mozilla Firefox, Apple Safari ou encore Opéra.

Il faudra ensuite définir ce navigateur internet alternatif comme navigateur par défaut.


_ Utilisation d'un pare-feu alternatif:

Il est recommandé de ne pas utiliser le pare-feu Windows et d'en prendre un plus efficace.

Le choix est large: Zone Alarm, Sunbelt, Ashampoo ou encore Sygate.

Après avoir sélectionné le pare-feu idéal, il faudra désactiver celui de Windows.


_ Nettoyage des points de restauration:

Dans un premier temps, il faut supprimer tous les points de restauration.

Pour cela, cliques sur Poste de travail puis Propriétés.
Onglet Restauration automatique du système, tu coches la ligne Désactiver la restauration du système puis tu valides par Ok.
Tu confirmes la suppression de tous les points de restauration, puis tu cliques sur Appliquer et/ou Ok.

Ensuite, il faut réactiver la restauration automatique du système.

Tu refais la manipulation précédente pour relancer les propriétés du Poste de travail.
Tu décoches la ligne puis cliques sur Appliquer & Ok.

Tu auras créer un point de restauration propre.


_ Nettoyage des fichiers temporaires & de la base de registre:

Pour cela, Ccleaner reste le moyen le plus sûr et pratique de tout nettoyer sans risques.

En suivant ce tutorial, cet utilitaire sera configuré correctement.

Il est aussi utile de purger régulièrement le dossier Prefetch en profitant de Ccleaner pour automatiser ce nettoyage.
Pour cela, il faut aller dans Options puis Personnaliser pour ajouter le dossier C:WindowsPREFETCH.


_ Un petit coup d'oeil à notre dossier Nettoyage peut être utile en supplément.

Et finalement, pour optimiser Windows XP, ce sujet sera intéressant.