Il y a actuellement 350 visiteurs
Lundi 25 Novembre 2024
accueilactualitésdossierscomparer les prixtélécharger gratuitement vos logicielsoffres d'emploiforum informatique
Connexion
Créer un compte

Virus(Contextual) • page 2

Un ordinateur qui ralentit, des écrans publicitaires qui apparaissent, des applications qui refusent de démarrer ou encore votre navigateur qui s'obstine à ouvrir une page douteuse sont autant d'éléments qui indiquent que l'intégrité de votre ordinateur est menacée par un virus. Vous trouverez dans ce forum quelques conseils et logiciels pour surfer tranquillement.
Règles du forum
Pour afficher un rapport d'analyse ou un rapport d'infection (HijackThis, OTL, AdwCleaner etc...)‎, veuillez utiliser le système de fichiers joints interne au forum. Seuls les formats les .txt et .log de moins de 1Mo sont acceptés. Pour obtenir de l'aide pour insérer vos fichiers joints, veuillez consulter ce tutoriel

Message le 27 Mai 2009 19:43

aie j'ai toujours une fenêtre intenpestive :cry: ; pourtant je voie pus rien avec Hijackthis :-?

MbAM me dit que c'est clean
Seb88
Apprenti(e) Expert(e)
Apprenti(e) Expert(e)
 
Messages: 108
Inscription: 18 Mai 2009 21:59
 


Message le 27 Mai 2009 19:52

Ok.


_ Supprime les lignes:

R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyServer = home:80
R3 - URLSearchHook: xplorer2 Toolbar - {db35fda8-77e3-4784-92c2-ee7345e91af4} - C:Program Filesxplorer2 bxplo.dll
O2 - BHO: xplorer2 Toolbar - {db35fda8-77e3-4784-92c2-ee7345e91af4} - C:Program Filesxplorer2 bxplo.dll
O3 - Toolbar: xplorer2 Toolbar - {db35fda8-77e3-4784-92c2-ee7345e91af4} - C:Program Filesxplorer2 bxplo.dll



_ Fais la purge des points de restauration.


_ Lance à nouveau Mbam & ton antivirus.


_ Tu as toujours ce fichier, C:WINDOWSsystem32gzmrt.dll.

Tu vas sur http://www.virustotal.com/fr/ puis tu cliques sur Parcourir.
Tu sélectionnes le fichier C:WINDOWSsystem32gzmrt.dll et tu cliques sur Ouvrir.

Tu cliques ensuite sur Envoyer le fichier.

A la fin de l'analyse, tu cliques sur Formaté en haut à gauche puis, dans la nouvelle fenêtre, tu cliques sur le bouton Image pour faire apparaître le rapport dans la fenêtre en question.

Tu sélectionnes ce rapport puis fais un copier-coller et tu le colles dans ton prochain message.


_ Regarde dans Ajout/suppression de programmes ce que tu ne connais pas & qui contient Adssite ou Optimize ou encore qui ressemble à:

* Adssite Advanced Toolbar
* Browser Optimizer Adssite
* Browser Optimizer Adzgalore
* Enhancement Browser Tools Gooochi
* Enhancement Browser Tools Rightonadz
* Enhancement Browser Tools Superiorads
* Enhancement Browser Tools Targetedbanner
* FBrowserAdvisor
* FBrowsingAdvisor
* MySidesearch Search Assistant Adzgalore
* Secure Browsing


_ C'est quoi O4 - Startup: ENJOY Plus!.lnk = C:Program FilesENJOY Plus!ENJOY Plus!.exe? Si doute, tu fais l'analyse VirusTotal aussi.


Je suis assez stupéfait, Mbam lors de la première analyse a supprimé une grande partie des vermines, notamment plusieurs infections Adssite.

Tiens-nous au jus.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Message le 28 Mai 2009 14:46

C:WINDOWSsystem32gzmrt.dll.


Ce fichier je ne l'ai plus.

O4 - Startup: ENJOY Plus!.lnk = C:Program FilesENJOY Plus!ENJOY Plus!.exe


Je le trouve pas dans "Program files" et je le vois pas avec Hijackthis.


Lance à nouveau Mbam


Il ma retrouvé 3 fichiers infesté
Seb88
Apprenti(e) Expert(e)
Apprenti(e) Expert(e)
 
Messages: 108
Inscription: 18 Mai 2009 21:59
 

Message le 28 Mai 2009 16:54

_ Fais tourner le dernier rapport Mbam, merci.


_ Ton antivirus a trouvé quelque chose? Si oui, rapport.


_ Tu cliques sur Démarrer puis Tous les programmes, Accessoires et enfin Bloc-notes.

Tu copies-colles les lignes suivantes:

Code: Tout sélectionner
del -f C:Program FilesENJOY Plus!ENJOY Plus!.exe
del -f C:WINDOWSsystem32gzmrt.dll


Tu enregistres le fichier sous le nom nettoyage.bat et tu l'enregistres sur le Bureau.

Tu double-cliques ensuite sur le fichier fraichement créé.

Le fichier batch finira le ménage en supprimant deux fichiers de l'infection (si encore présents) et se fermera, ce nettoyage durera moins quelques secondes seulement.


_ Encore une fois Mbam pour voir s'il trouve encore quelque chose.


_ Mbam avait bien travaillé donc deux possibilités pour que l'infection revienne:

    * Soit les points de restauration sont vérolés: tu as fait la purge?

    * Soit ta navigation laisse à désirer et tu réinstalles l'infection ou tu lances un programme/fichier malsain non détecté...


Qu'en penses-tu?
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Message le 28 Mai 2009 16:56

Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2181
Windows 5.1.2600 Service Pack 3

28/05/2009 15:29:23
mbam-log-2009-05-28 (15-29-18).txt

Type de recherche: Examen complet (C:|)
Eléments examinés: 270019
Temps écoulé: 1 hour(s), 28 minute(s), 31 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallee226537-3c69-a5d4-ac93-8daaa6e4fde0 (Adware.Adrotator) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:WINDOWSsystem32ee226537-3c69-a5d4-ac93-8daaa6e4fde0.exe (Adware.Adrotator) -> No action taken.
C:Program FilesMozilla Firefoxcomponents26afef8f-b1c6-aa09-57a1-4fa7bd608126.dll (Adware.Yoog) -> No action taken.
Seb88
Apprenti(e) Expert(e)
Apprenti(e) Expert(e)
 
Messages: 108
Inscription: 18 Mai 2009 21:59
 

Message le 28 Mai 2009 17:10

Ok, toujours une vermine qui revient.


En plus des questions précédentes, tu as trouvé un truc bizarre dans Ajout/suppression de programmes?


Au passage aussi, je suppose que ton navigateur internet est Internet Explorer...
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Message le 28 Mai 2009 18:53

tu as trouvé un truc bizarre dans Ajout/suppression de programmes?


Non, j'ai bien regardé et non

Au passage aussi, je suppose que ton navigateur internet est Internet Explorer...


Oh non depuis bien longtemps j'ai changé pour Mozilla



Alors le scan de antivir:

Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 28 mai 2009 18:31

La recherche porte sur 1433136 souches de virus.

Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme : Windows XP
Version de Windows :(Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur :ORDI-QUENTIN

Informations de version :
BUILD.DAT : 8.2.0.53 17752 Bytes 23/03/2009 13:45:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 16:00:44
ANTIVIR2.VDF : 7.1.4.0 2336768 Bytes 20/05/2009 08:22:18
ANTIVIR3.VDF : 7.1.4.33 293376 Bytes 28/05/2009 16:25:28
Version du moteur: 8.2.0.180
AEVDF.DLL : 8.1.1.1 106868 Bytes 01/05/2009 15:43:17
AESCRIPT.DLL : 8.1.2.0 389497 Bytes 15/05/2009 18:16:14
AESCN.DLL : 8.1.2.3 127347 Bytes 15/05/2009 18:16:13
AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38
AEPACK.DLL : 8.1.3.18 401783 Bytes 28/05/2009 16:25:35
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 19/03/2009 16:00:49
AEHEUR.DLL : 8.1.0.129 1761655 Bytes 15/05/2009 18:16:12
AEHELP.DLL : 8.1.2.2 119158 Bytes 19/03/2009 16:00:47
AEGEN.DLL : 8.1.1.44 348532 Bytes 15/05/2009 18:16:06
AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56
AECORE.DLL : 8.1.6.12 180599 Bytes 28/05/2009 16:25:32
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58
AVREP.DLL : 8.0.0.3 155688 Bytes 20/04/2009 15:43:39
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43

Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: c:program filesaviraantivir personaledition classicsysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen

Début de la recherche : jeudi 28 mai 2009 18:31

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés
Processus de recherche 'emule.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lxcgcoms.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SbPFCl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nSvcAppFlt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CLSched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SbPFSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SbPFLnch.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PSIService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PnkBstrA.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Apache.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nSvcLog.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nSvcIp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'libusbd-nt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CCC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Apache.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CLMLService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CLMLServer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CLCapSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MOM.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HOMERunner.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SEPCSuite.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GTGMouse.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'issch.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PCMService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ezprint.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lxcgmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CloneCDTray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'VCDDaemon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvraidservice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleUpdate.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'scardsvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'65' processus ont été contrôlés avec '65' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
[AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.
Secteur d'amorçage maître HD2
[INFO] Aucun virus trouvé !
[AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.
Secteur d'amorçage maître HD3
[INFO] Aucun virus trouvé !
[AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.
Secteur d'amorçage maître HD4
[INFO] Aucun virus trouvé !
[AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '57' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:'
C:pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:System Volume Information\_restore{131601EA-E7C1-4BB1-8306-4F377F82415D}RP3A0000286.exe
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a4ecb3a.qua' !
C:System Volume Information\_restore{131601EA-E7C1-4BB1-8306-4F377F82415D}RP3A0000287.dll
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a4ecb3e.qua' !
C:System Volume Information\_restore{131601EA-E7C1-4BB1-8306-4F377F82415D}RP5A0000452.exe
[RESULTAT] Contient le cheval de Troie TR/Banker.Banker.ykb
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a4ecb4b.qua' !
C:WINDOWSsystem32driverssptd.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !


Fin de la recherche : jeudi 28 mai 2009 19:44
Temps nécessaire: 1:12:54 Heure(s)

La recherche a été effectuée intégralement

15183 Les répertoires ont été contrôlés
605892 Des fichiers ont été contrôlés
3 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
3 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
605887 Fichiers non infectés
3070 Les archives ont été contrôlées
6 Avertissements
3 Consignes
Seb88
Apprenti(e) Expert(e)
Apprenti(e) Expert(e)
 
Messages: 108
Inscription: 18 Mai 2009 21:59
 

Message le 28 Mai 2009 19:01

r@in | b0w a écrit: Tu cliques sur Démarrer puis Tous les programmes, Accessoires et enfin Bloc-notes.

Tu copies-colles les lignes suivantes:

Code: Tout sélectionner
del -f C:Program FilesENJOY Plus!ENJOY Plus!.exe
del -f C:WINDOWSsystem32gzmrt.dll


Tu enregistres le fichier sous le nom nettoyage.bat et tu l'enregistres sur le Bureau.


Sa je viens de le faire



r@in | b0w a écrit:
    * Soit les points de restauration sont vérolés: tu as fait la purge?


Sa aussi comme tu avait expliqué

r@in | b0w a écrit:* Soit ta navigation laisse à désirer et tu réinstalles l'infection ou tu lances un programme/fichier malsain non détecté...


Qu'est ce qui pourrais t'aider à m'aider pour ce point?

Mes habitudes: Naviguation avec Mozilla; je télécharge que très peu.
j'utilise emule.
Après jeux mais pas tellement en ligne(j'attend mon nouveau PC)
Euh comme Firewall j'utilise celui de windows, mais je pense prendre celui mis dans le dossier de Herbus(si j'ai bonne mémoire pour le prénom).

Ah oui antivir ma trouvé 3 trojan, j'ai mis le rapport en haut :cry:
Seb88
Apprenti(e) Expert(e)
Apprenti(e) Expert(e)
 
Messages: 108
Inscription: 18 Mai 2009 21:59
 

Message le 28 Mai 2009 19:51

Alors, en bref:

Seb88 a écrit: [AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:System Volume Information\_restore{131601EA-E7C1-4BB1-8306-4F377F82415D}RP3A0000286.exe
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a4ecb3a.qua' !
C:System Volume Information\_restore{131601EA-E7C1-4BB1-8306-4F377F82415D}RP3A0000287.dll
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a4ecb3e.qua' !
C:System Volume Information\_restore{131601EA-E7C1-4BB1-8306-4F377F82415D}RP5A0000452.exe
[RESULTAT] Contient le cheval de Troie TR/Banker.Banker.ykb


Tu avais encore des fichiers vérolés dans les points de restauration aujourd'hui à 18h31. Tu avais fait la purge quand?

Je propose que tu désactives la Restauration automatique histoire d'arrêter les dégâts.


Seb88 a écrit:Qu'est ce qui pourrais t'aider à m'aider pour ce point?


Alors, en gros, tu vas sur des sites craignos (warez, piratage, porno)?

eMule, c'est à bannir d'office si tu ne veux pas devenir un habitué des services de désinfection (et par la même occasion un Pebkac assez relou).


Seb88 a écrit:Euh comme Firewall j'utilise celui de windows, mais je pense prendre celui mis dans le dossier de Herbus(si j'ai bonne mémoire pour le prénom).


C'était H3bus ;)

Va pour le firewall en plus mais cela n'a rien à voir avec notre souci actuel.


Tu refais un nouveau Mbam (encore une fois), tu désactives la restauration et on va faire appel à un autre utilitaire.

Tu télécharges SDFix.

Tu double cliques ensuite sur l'icône SdFix pour le lancer.
Tu ne touches pas aux configurations et cliques uniquement sur Install.

Tu verras ce message:

Code: Tout sélectionner
SDFix has been extracted to %systemdrive%SDFix
(Drive that contains the Windows directory - typically C:SDFix)

Open the SDFix folder in Safe Mode and double click the RunThis.bat file to start the fixtool
If RunThis.bat is started in Normal Mode, options to download and run Anti-Virus command line scanners are displayed

Catchme.exe Stealth Malware Detector by GMER is also included in the SDFix folder

Additional SDFix Instructions & screen shots can be found here - http://www.bleepingcomputer.com/forums/topic131299.html


Cela confirme l'installation de SDFix.

Tu pars alors en Mode sans échec ([F8] au démarrage).

Après être sur ta session, tu cliques sur Démarrer puis Exécuter;
Tu tapes (ou copies-colles) C:SDFixRunThis.bat puis tu valides en appuyant sur [Entrée] ou en cliquant sur Ok.

Une fenêtre s'ouvrira, tu appuies sur la touche [Entrée] ou [Y].

Le fix va faire le ménage, tu prends ton mal en patience et attends ;)

Quand tu vois écrit:

Code: Tout sélectionner
The PC will now restart, SDFix will run again after reboot.

Press any key to continue...


Tu appuies sur n'importe quelle touche du clavier, ce qui fera redémarrer ta machine.

SDFix se lancera après l'ouverture de ta session pour finir le ménage.

Le Bloc-notes s'ouvrira ensuite avec le rapport, copies-colles celui-ci dans ton prochain message.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Message le 28 Mai 2009 20:04

Tu avais fait la purge quand?


je l'avait fait hier; je l'ait refait après l'analyse de mon antivirus

Alors, en gros, tu vas sur des sites craignos (warez, piratage, porno)?


warez ?
Piratage je suis pas assez callé pour pirater
Porno j'ai assez de ma copine :D

eMule, c'est à bannir d'office


Zut, je vais pas vous demander une alternative à sa, sachant que vous êtes un forum publique

Tu refais un nouveau Mbam (encore une fois), tu désactives la restauration et on va faire appel à un autre utilitaire.

Tu télécharges SDFix.


Je fait tout sa demain en rentrant du taf comme d'hab.

En tout cas merci à toi, te prendre tout ce temps pour moi :wink:
Seb88
Apprenti(e) Expert(e)
Apprenti(e) Expert(e)
 
Messages: 108
Inscription: 18 Mai 2009 21:59
 

Message le 29 Mai 2009 14:19

déjà sa la suite bientot

EDIT: la page est toujours là malgrès tout sa, peut être que Mozilla est source du problème non ?

Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2181
Windows 5.1.2600 Service Pack 3

29/05/2009 15:17:56
mbam-log-2009-05-29 (15-17-56).txt

Type de recherche: Examen complet (C:|)
Eléments examinés: 267898
Temps écoulé: 1 hour(s), 12 minute(s), 9 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallee226537-3c69-a5d4-ac93-8daaa6e4fde0 (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{7f74fe94-b337-f6e2-3d07-ea0f0a9746d5} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOTCLSID{7f74fe94-b337-f6e2-3d07-ea0f0a9746d5} (Adware.BHO) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:WINDOWSsystem32ee226537-3c69-a5d4-ac93-8daaa6e4fde0.exe (Adware.Adrotator) -> Quarantined and deleted successfully.
C:Program FilesMozilla Firefoxcomponents26afef8f-b1c6-aa09-57a1-4fa7bd608126.dll (Adware.Yoog) -> Quarantined and deleted successfully.
C:WINDOWSsystem32
scD.dll (Adware.BHO) -> Quarantined and deleted successfully.

EDIT


SDFix: Version 1.240
Run by Quentin on 29/05/2009 at 15:35

Microsoft Windows XP [version 5.1.2600]
Running From: C:SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-29 16:06:06
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

IPC error: 2 Le fichier spécifié est introuvable.
scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesBTHPORTParametersKeys011e2ffaa6b]
"0017e4b929aa"=hex:9b,39,c8,d3,fd,6e,73,8f,a4,d5,f6,27,e5,50,b3,36
"0021d24a1e78"=hex:3d,5c,1a,c8,e8,e1,ac,b6,cc,a2,bb,e7,4c,42,10,88
"0022981fae1a"=hex:17,53,0e,e3,23,b4,ee,f8,c1,02,8e,6c,49,98,9e,3a
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicessptdCfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesBTHPORTParametersKeys011e2ffaa6b]
"0017e4b929aa"=hex:9b,39,c8,d3,fd,6e,73,8f,a4,d5,f6,27,e5,50,b3,36
"0021d24a1e78"=hex:3d,5c,1a,c8,e8,e1,ac,b6,cc,a2,bb,e7,4c,42,10,88
"0022981fae1a"=hex:17,53,0e,e3,23,b4,ee,f8,c1,02,8e,6c,49,98,9e,3a

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe"="C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe:*:Enabled:Apache HTTP Server"
"C:\Program Files\EA GAMES\MOHDA\MOHAA.exe"="C:\Program Files\EA GAMES\MOHDA\MOHAA.exe:*:Disabled:Medal of Honor Allied Assault(tm)"
"C:\Program Files\EA GAMES\La Bataille pour la Terre du Milieu(tm)\game.dat"="C:\Program Files\EA GAMES\La Bataille pour la Terre du Milieu(tm)\game.dat:*:Enabled:La Bataille pour la Terre du Milieu(tm)"
"C:\Program Files\Ubisoft\Gearbox Software\BrothersInArmsEiB\System\EiB.exe"="C:\Program Files\Ubisoft\Gearbox Software\BrothersInArmsEiB\System\EiB.exe:*:Enabled:Brothers In Arms Earned In Blood"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Ahead\SIPPS\SIPPS.exe"="C:\Program Files\Ahead\SIPPS\SIPPS.exe:*:Disabled:SIPPS"
"C:\Program Files\eMule\emule.exe"="C:\Program Files\eMule\emule.exe:*:Enabled:eMule"
"C:\WINDOWS\system32\lxcgcoms.exe"="C:\WINDOWS\system32\lxcgcoms.exe:*:Enabled:2300 Series"
"C:\Program Files\CyberLink\PowerCinema\PowerCinema.exe"="C:\Program Files\CyberLink\PowerCinema\PowerCinema.exe:*:Enabled:PowerCinema"
"C:\Program Files\Activision\Call of Duty 2\CoD2MP_s.exe"="C:\Program Files\Activision\Call of Duty 2\CoD2MP_s.exe:*:Enabled:CoD2MP_s"
"C:\Program Files\Ubisoft\Gearbox Software\BrothersInArms\System\bia.exe"="C:\Program Files\Ubisoft\Gearbox Software\BrothersInArms\System\bia.exe:*:Enabled:Brothers In Arms: Road to Hill 30"
"C:\Program Files\Ubisoft\Tom Clancy's Rainbow Six Vegas\Binaries\R6Vegas_Game.exe"="C:\Program Files\Ubisoft\Tom Clancy's Rainbow Six Vegas\Binaries\R6Vegas_Game.exe:*:Enabled:Rainbow Six Vegas"
"C:\Program Files\Ubisoft\Tom Clancy's Rainbow Six Vegas\Binaries\R6Vegas_Launcher.exe"="C:\Program Files\Ubisoft\Tom Clancy's Rainbow Six Vegas\Binaries\R6Vegas_Launcher.exe:*:Enabled:Rainbow Six Vegas Updater"
"C:\Program Files\Codemasters\Race Driver 3\RD3.exe"="C:\Program Files\Codemasters\Race Driver 3\RD3.exe:*:Enabled:RaceDriver 3 Application"
"C:\WINDOWS\system32\rundll32.exe"="C:\WINDOWS\system32\rundll32.exe:*:Enabled:Ex,cuter une DLL en tant qu'application"
"C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\Program Files\Cyanide\Cycling Manager 4\Cym2004.exe"="C:\Program Files\Cyanide\Cycling Manager 4\Cym2004.exe:*:Enabled:CyclingManager"
"C:\Program Files\uTorrent\utorrent.exe"="C:\Program Files\uTorrent\utorrent.exe:*:Enabled:æTorrent"
"C:\Program Files\LimeWire\LimeWire.exe"="C:\Program Files\LimeWire\LimeWire.exe:*:Enabled:LimeWire"
"C:\Program Files\iTunes\iTunes.exe"="C:\Program Files\iTunes\iTunes.exe:*:Enabled:iTunes"
"C:\WINDOWS\system32\PnkBstrA.exe"="C:\WINDOWS\system32\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\WINDOWS\system32\PnkBstrB.exe"="C:\WINDOWS\system32\PnkBstrB.exe:*:Enabled:PnkBstrB"
"C:\Program Files\Codemasters\OperationFlashpoint\OperationFlashpoint.exe"="C:\Program Files\Codemasters\OperationFlashpoint\OperationFlashpoint.exe:*:Enabled:Operation Flashpoint"
"C:\WINDOWS\system32\dpnsvr.exe"="C:\WINDOWS\system32\dpnsvr.exe:*:Enabled:Microsoft DirectPlay8 Server"
"C:\Program Files\Codemasters\DiRT\DiRT.exe"="C:\Program Files\Codemasters\DiRT\DiRT.exe:*:Enabled:DiRT Executable"
"C:\Program Files\sixteen tons entertainment\Emergency 4\Em4.exe"="C:\Program Files\sixteen tons entertainment\Emergency 4\Em4.exe:*:Enabled:Em4"
"C:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe"="C:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM)"
"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\emule\emule.exe"="C:\emule\emule.exe:*:Enabled:eMule"
"C:\Program Files\Vsk3Demo\Vsk3Demo.exe"="C:\Program Files\Vsk3Demo\Vsk3Demo.exe:*:Disabled:Vsk3Demo"
"C:\Program Files\Sierra Entertainment\World in Conflict\wic.exe"="C:\Program Files\Sierra Entertainment\World in Conflict\wic.exe:*:Enabled:World in Conflict"
"C:\Program Files\Sierra Entertainment\World in Conflict\wic_online.exe"="C:\Program Files\Sierra Entertainment\World in Conflict\wic_online.exe:*:Enabled:World in Conflict - En ligne uniquement"
"C:\Program Files\Sierra Entertainment\World in Conflict\wic_ds.exe"="C:\Program Files\Sierra Entertainment\World in Conflict\wic_ds.exe:*:Enabled:World in Conflict - Serveur d,di,"
"C:\Program Files\Cyanide\GameCenter\GameCenter.exe"="C:\Program Files\Cyanide\GameCenter\GameCenter.exe:*:Enabled:GameCenter"
"C:\Program Files\Cyanide\Pro Cycling Manager - Season 2008\PCM.exe"="C:\Program Files\Cyanide\Pro Cycling Manager - Season 2008\PCM.exe:*:Enabled:Pro Cycling Manager - Season 2008"
"C:\Program Files\Cyanide\Pro Cycling Manager - Season 2008\Autorun\Exe\Autorun.exe"="C:\Program Files\Cyanide\Pro Cycling Manager - Season 2008\Autorun\Exe\Autorun.exe:*:Enabled:Pro Cycling Manager - Season 2008 - AutoRun"
"C:\Program Files\Autodesk\backburner\monitor.exe"="C:\Program Files\Autodesk\backburner\monitor.exe:*:Enabled:backburner 2.3 monitor"
"C:\Program Files\Autodesk\backburner\manager.exe"="C:\Program Files\Autodesk\backburner\manager.exe:*:Enabled:backburner 2.3 manager"
"C:\Program Files\Autodesk\backburner\server.exe"="C:\Program Files\Autodesk\backburner\server.exe:*:Enabled:backburner 2.3 server"
"C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"="C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live Sync"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\Program Files\Mado Production\IziSpot 4\IziSpot.exe"="C:\Program Files\Mado Production\IziSpot 4\IziSpot.exe:*:Enabled:IziSpot"
"C:\Program Files\FileZilla FTP Client\filezilla.exe"="C:\Program Files\FileZilla FTP Client\filezilla.exe:*:Enabled:FileZilla"
"C:\Program Files\GlobalSCAPE\CuteFTP 8 Home\cuteftp.exe"="C:\Program Files\GlobalSCAPE\CuteFTP 8 Home\cuteftp.exe:*:Enabled:CuteFTP 8 Home"
"C:\Program Files\rFactor\rFactor Dedicated.exe"="C:\Program Files\rFactor\rFactor Dedicated.exe:*:Enabled:rFactor"

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"="C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live Sync"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :



Files with Hidden Attributes :

Fri 27 Feb 2009 88 ..SHR --- "C:WINDOWSsystem32DD6794A0C9.sys"
Fri 27 Feb 2009 2,516 A.SH. --- "C:WINDOWSsystem32KGyGaAvL.sys"
Fri 28 Sep 2007 4,348 ..SH. --- "C:Documents and SettingsAll UsersDRMDRMv1.bak"
Fri 13 Aug 2004 1,953,792 ...HR --- "C:Program FilesMicrosoft Works Suite 2005Setuplauncher.exe"
Fri 13 Aug 2004 53,760 ...HR --- "C:Program FilesMicrosoft Works Suite 2005Setupmnyinsta.dll"
Fri 13 Aug 2004 94,208 ...HR --- "C:Program FilesMicrosoft Works Suite 2005SetupRmvSuite.exe"
Mon 16 Aug 2004 35,328 ...HR --- "C:Program FilesMicrosoft Works Suite 2005Setupsetuplng.dll"
Fri 13 Aug 2004 20,480 ...HR --- "C:Program FilesMicrosoft Works Suite 2005Setupunregwtr.exe"
Sun 19 Oct 2003 6,656 A..H. --- "C:WINDOWSDriversIntelcygcrypt-0.dll"
Tue 19 Dec 2006 1,872,821 A..H. --- "C:WINDOWSDriversIntelcygwin1.dll"
Fri 6 Mar 2009 0 A.SH. --- "C:Documents and SettingsAll UsersDRMCacheIndiv02.tmp"
Mon 25 May 2009 2,158 ...HR --- "C:Documents and SettingsQuentinApplication DataSecuROMUserDatasecurom_v7_01.bak"

Finished!

:evil:
Seb88
Apprenti(e) Expert(e)
Apprenti(e) Expert(e)
 
Messages: 108
Inscription: 18 Mai 2009 21:59
 

Message le 29 Mai 2009 16:46

Bonjour.

Je suis out pendant tout le week-end.

Par contre, faudra quand même m'expliquer comment tu récupères encore des adwares sans rien faire de malsain :roll:

A voir si ce n'est pas tes logiciels de peer-to-peer la source du problème...

En tout cas, c'est une "simple vermine", pas normal qu'elle reste comme cela.

La restauration du système est désactivée, Antivir ne trouve rien (mais il est possible qu'il ne soit pas en mesure de le trouver), Mbam choppe à chaque fois plusieurs adwares...


Tu télécharges ComboFix.

Avant de le lancer, il va falloir installer la console de récupération Windows, non installée par défaut.
L'installation de cette console permettra de démarrer un mode spécial en cas de problèmes divers suite à la désinfection.

_ Si tu es sous Xp et que tu as un CD de Windows original:

Tu insères le CD d'installation dans le lecteur.

Tu cliques ensuite sur Démarrer puis Exécuter et tu copies-colles la ligne suivante:

Code: Tout sélectionner
d:i386winnt32.exe /cmdcons


La lettre d: indique l'emplacement par défaut du lecteur de CD. Si ce n'est pas le cas, tu modifies cette lettre en conséquence.

L'installation de la console de récupération Windows va commencer.

Tu cliques sur Ok.

_ Pour les ordinateurs OEM fournis, il est possible que le fichier winnt32.exe soit présent sur le disque dur dans un dossier nommé i386 dans le dossier Windows ou tout simplement à la racine de la partition principale.

Il faudra alors taper comme commande c:i386winnt32.exe /cmdcons ou c:Windowsi386winnt32.exe /cmdcons en mettant dans cette commande le chemin d'accès au fichier winnt32.exe.

Une fenêtre Installation de Windows s'ouvrira, tu cliques sur Oui.
Tu confirmes ensuite l'installation de la console de récupération.

Si une erreur de mise à jour survient, tu coches la ligne Ignorer cette étape et continuer l'installation de Windows puis tu cliques sur Suivant.

L'installation se fera ensuite jusqu'à ce qu'une fenêtre de confirmation indique que la console de récupération Windows est installée de manière effective.

_ Si tu es sous Xp et que tu n'as pas le CD de Windows original:

Tu vas sur http://support.microsoft.com/kb/310994 et tu descends jusqu'à la ligne Téléchargement du fichier programme des disquettes d'installation.

Tu sélectionnes le lien correspondant à ta version de Windows puis, dans la fenêtre de téléchargement, tu cliques sur Télécharger et tu enregistres le fichier sur le Bureau.
Si le Service Pack 3 est installé sur ta machine, tu sélectionnes le lien correspondant à ta version de Windows sous environnement Service Pack 2 (SP2) Windows XP.
Si tu utilises Windows Xp Media Center, tu sélectionnes le téléchargement Service Pack 2 Windows XP Professionnel.

Pour savoir quelle version de Windows & quel Service Pack est installé, il suffit de cliquer sur Démarrer puis Panneau de configuration.

Tu cliques ensuite sur Système et tu pourras lire dans la fenêtre Propriétés du système, dans le cadre Système, la version de Windows & le Service Pack installés.

Le fichier téléchargé sur le Bureau, tu exécutes un glisser/déposer comme ceci:

Image

Le glisser/déposer va lancer ComboFix qui va installer la console de récupération Windows.

A la fin de l'installation, ComboFix signalera que la console de récupération est installée et demandera si tu veux effectuer une analyse.
Cliques sur Non/No car le paramétrage n'est pas encore achevé.

Avant de lancer ComboFix, tu dois désactiver ta connexion Internet, ton antivirus, ton anti-spyware & ton pare-feu car ils peuvent bloquer l'exécution de l'utilitaire (faux-positifs).
Tu les réactiveras après l'utilisation de ComboFix.
Tu fermes toutes les fenêtres ouvertes.

Tu ouvres le Bloc-notes en cliquant sur Démarrer puis Tous les programmes, Accessoires et finalement Bloc-notes.

Tu copies-colles le texte suivant dans le Bloc-notes:

Code: Tout sélectionner
file::
C:WINDOWSsystem32gzmrt.dll
C:WINDOWSsystem32
scD.dll
C:Program FilesENJOY Plus!ENJOY Plus!.exe
C:Program FilesMozilla Firefoxcomponents26afef8f-b1c6-aa09-57a1-4fa7bd608126.dll
C:WINDOWSsystem32ee226537-3c69-a5d4-ac93-8daaa6e4fde0.exe


registry::
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallee226537-3c69-a5d4-ac93-8daaa6e4fde0
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{7f74fe94-b337-f6e2-3d07-ea0f0a9746d5}
HKEY_CLASSES_ROOTCLSID{7f74fe94-b337-f6e2-3d07-ea0f0a9746d5}


Tu enregistres ce fichier sur le Bureau sous le nom CFScript.txt et tu mets comme type de fichier Tous les fichiers puis tu fermes le Bloc-notes.

Tu sélectionnes ensuite le fichier CFScript et tu exécutes un glisser/déposer comme ceci:

Image

Le glisser/déposer va lancer à nouveau ComboFix.

Tu tapes ensuite sur la touche [1] pour continuer.

L'analyse se lancera par la suite avec création d'un point de restauration et sauvegarde des fichiers Windows.
Patientes, ComboFix nettoie en 41 étapes.

Tu ne t'inquiètes surtout pas, il se charge de tout.

Si le Bureau vient à disparaître une ou plusieurs fois, ne t'inquiète pas.

Laisse faire l'utilitaire et suis bien les instructions à l'écran, il est possible qu'il te demande de redémarrer.

Surtout, tant que tu n'as pas un message de ComboFix t'informant que le ménage est terminé, tu ne fais rien de plus que ce que l'utilitaire t'indique, c'est important car il peut être long mais travaille efficacement.

Quand tout sera fini, tu liras:

Code: Tout sélectionner
Almost done... This window will close in a short while
Please wait a few seconds for the report log to pop up

ComboFix's log shall be located at C:ComboFix.txt


Normalement, le rapport s'ouvrira dans le Bloc-notes, tu nous copies-colles l'intégralité du fichier.
Si le Bloc-notes ne s'ouvre pas, tu iras chercher le rapport ici: C:ComboFix.txt et tu nous le colles dans ton prochain message.

Tu lances ensuite un scan Mbam dont tu postes le rapport ensuite.


Pas de peer-to-peer, pas de navigation dangereuse, pas de téléchargement inconnu...

Ps: je le redis, la restauration du système est désactivée depuis deux jours hein. J'espère en tout cas.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Message le 29 Mai 2009 17:23

je le redis, la restauration du système est désactivée depuis deux jours hein. J'espère en tout cas.


depuis cette après midi oui :wink: , emule je l'ai arrêté aussi cette après midi, msn je ne l'utilise plus depuis hier soir.

je refait Mbam ce soir.

EDIT : rapport demain, quand j'allume mon PC je lance direct Mbam pour voir ce qu'il trouve puis j'irais sur le net et je recommencerait l'opération. J'essaye de recentrer le problème :-?

Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2181
Windows 5.1.2600 Service Pack 3

29/05/2009 20:47:33
mbam-log-2009-05-29 (20-47-33).txt

Type de recherche: Examen complet (C:|)
Eléments examinés: 268339
Temps écoulé: 1 hour(s), 11 minute(s), 41 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Seb88
Apprenti(e) Expert(e)
Apprenti(e) Expert(e)
 
Messages: 108
Inscription: 18 Mai 2009 21:59
 

Message le 30 Mai 2009 14:45

Par conte j'ai tout fait comme tu ma expliqué est pourtant il écrit sa "AVERTISSEMENT - LA CONSOLE DE RECUPERATION N'EST PAS INSTALLEE SUR CETTE MACHINE !!" ?



ComboFix 09-05-29.01 - Quentin 30/05/2009 15:32.1 - NTFSx86
Microsoft Windows XP Edition familiale 5.1.2600.3.1252.33.1036.18.1023.492 [GMT 2:00]
Lancé depuis: c:documents and settingsQuentinBureauComboFix.exe
Commutateurs utilisés :: c:documents and settingsQuentinBureauCFScript.txt
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: NVIDIA Firewall *disabled* {EDC10449-64D1-46c7-A59A-EC20D662F26D}

ComboFix 09-05-29.01 - Quentin 30/05/2009 15:32.1 - NTFSx86
Microsoft Windows XP Edition familiale 5.1.2600.3.1252.33.1036.18.1023.492 [GMT 2:00]
Lancé depuis: c:documents and settingsQuentinBureauComboFix.exe
Commutateurs utilisés :: c:documents and settingsQuentinBureauCFScript.txt
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: NVIDIA Firewall *disabled* {EDC10449-64D1-46c7-A59A-EC20D662F26D}

AVERTISSEMENT - LA CONSOLE DE RECUPERATION N'EST PAS INSTALLEE SUR CETTE MACHINE !!

FILE ::
"c:program filesENJOY Plus!ENJOY Plus!.exe"
"c:program filesMozilla Firefoxcomponents26afef8f-b1c6-aa09-57a1-4fa7bd608126.dll"
"c:windowssystem32ee226537-3c69-a5d4-ac93-8daaa6e4fde0.exe"
"c:windowssystem32gzmrt.dll"
"c:windowssystem32
scD.dll"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:documents and settingsQuentinRavMonLog
c:program filesMozilla Firefoxcomponents26afef8f-b1c6-aa09-57a1-4fa7bd608126.dll
c:windowssystem32cont_adssite-remove.exe
c:windowssystem32ee226537-3c69-a5d4-ac93-8daaa6e4fde0.exe
c:windowssystem32
oruns.reg

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-04-28 au 2009-05-30 ))))))))))))))))))))))))))))))))))))
.

2009-05-30 13:22 . 2009-05-30 13:22 -------- d-----w c:windowsLastGood
2009-05-29 13:34 . 2009-05-29 13:34 579584 -c--a-w c:windowssystem32dllcacheuser32.dll
2009-05-29 13:30 . 2009-05-29 13:30 -------- d-----w c:windowsERUNT
2009-05-29 13:20 . 2009-05-29 14:09 -------- d-----w C:SDFix
2009-05-26 16:13 . 2009-05-28 14:30 -------- d-----w c:program filesSpybot - Search & Destroy
2009-05-26 16:13 . 2009-05-28 14:23 -------- d-----w c:documents and settingsAll UsersApplication DataSpybot - Search & Destroy
2009-05-26 15:26 . 2009-05-27 19:16 -------- d-----w C:ToolBar SD
2009-05-26 13:36 . 2009-05-26 13:36 -------- d-----w c:documents and settingsQuentinApplication DataMalwarebytes
2009-05-26 13:36 . 2009-04-06 13:32 15504 ----a-w c:windowssystem32driversmbam.sys
2009-05-26 13:36 . 2009-04-06 13:32 38496 ----a-w c:windowssystem32driversmbamswissarmy.sys
2009-05-26 13:36 . 2009-05-26 13:36 -------- d-----w c:documents and settingsAll UsersApplication DataMalwarebytes
2009-05-26 13:36 . 2009-05-26 13:36 -------- d-----w c:program filesMalwarebytes' Anti-Malware
2009-05-25 18:32 . 2009-05-26 14:55 -------- d-----w c:documents and settingsQuentinApplication Datavlc
2009-05-25 18:27 . 2008-12-03 23:25 120832 ----a-w c:documents and settingsQuentinApplication DataMozillaFirefoxProfilesc8sul2vw.defaultextensions{77b819fa-95ad-4f2c-ac7c-486b356188a9}plugins
pietab.dll
2009-05-22 08:35 . 2009-05-22 08:35 -------- d-----w c:documents and settingsNetworkServiceLocal SettingsApplication DataGoogle
2009-05-21 09:43 . 2009-05-21 09:43 -------- d-----w c:documents and settingsLocalServiceLocal SettingsApplication DataGoogle
2009-05-20 08:50 . 2009-05-20 08:50 152576 ----a-w c:documents and settingsQuentinApplication DataSunJavajre1.6.0_13lzma.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-29 16:12 . 2006-12-16 08:00 -------- d-----w c:program filesLx_cats
2009-05-29 14:48 . 2009-04-08 10:05 -------- d---a-w c:documents and settingsAll UsersApplication DataTEMP
2009-05-29 06:36 . 2007-09-20 20:14 -------- d-----w c:program fileseMule
2009-05-28 14:12 . 2006-12-12 13:54 -------- d--h--w c:program filesInstallShield Installation Information
2009-05-28 11:10 . 2009-03-23 10:30 -------- d-----w c:program filesxplorer2
2009-05-27 19:07 . 2009-04-20 08:10 -------- d-----w c:program filesCCleaner
2009-05-26 20:17 . 2007-09-29 18:36 -------- d-----w c:documents and settingsQuentinApplication DataOpenOffice.org2
2009-05-25 15:02 . 2007-10-20 13:57 138376 ----a-w c:windowssystem32driversPnkBstrK.sys
2009-05-25 15:01 . 2007-10-20 13:57 182928 ----a-w c:windowssystem32PnkBstrB.exe
2009-05-21 09:44 . 2007-10-06 08:58 -------- d-----w c:program filesGoogle
2009-05-20 08:51 . 2007-07-10 16:21 -------- d-----w c:program filesJava
2009-05-19 14:34 . 2008-11-22 19:10 -------- d-----w c:program filesOrange
2009-05-16 13:13 . 2006-12-12 15:29 38494 ----a-w c:documents and settingsQuentinApplication Datawklnhst.dat
2009-05-08 20:26 . 2008-06-06 16:21 -------- d-----w c:documents and settingsQuentinApplication Datagtk-2.0
2009-04-27 14:16 . 2009-04-27 14:16 -------- d-----w c:program filesBradbury
2009-04-27 14:10 . 2009-02-10 21:47 -------- d-----w c:program filesNotepad++
2009-04-27 14:10 . 2009-02-10 21:47 -------- d-----w c:documents and settingsQuentinApplication DataNotepad++
2009-04-27 13:27 . 2009-03-24 08:14 -------- d-----w c:documents and settingsQuentinApplication DataFileZilla
2009-04-27 12:54 . 2009-04-27 12:54 -------- d-----w c:documents and settingsQuentinApplication DataGlobalSCAPE
2009-04-27 12:54 . 2009-04-27 12:54 -------- d-----w c:documents and settingsAll UsersApplication DataGlobalSCAPE
2009-04-27 12:54 . 2009-04-27 12:54 -------- d-----w c:program filesGlobalSCAPE
2009-04-22 06:58 . 2004-08-05 12:00 77708 ----a-w c:windowssystem32perfc00C.dat
2009-04-22 06:58 . 2004-08-05 12:00 474282 ----a-w c:windowssystem32perfh00C.dat
2009-04-20 08:42 . 2008-03-14 14:58 -------- d-----w c:program filesPersonal Media Manager
2009-04-20 07:04 . 2009-03-06 16:07 -------- d-----w c:documents and settingsQuentinApplication DataMedia Player
2009-04-16 11:52 . 2009-04-16 11:52 -------- d-----w c:program filesTrend Micro
2009-04-14 11:23 . 2009-04-14 11:23 -------- d-----w c:program filesQuickTime
2009-04-14 11:22 . 2007-09-30 11:34 -------- d-----w c:program filesApple Software Update
2009-04-07 13:22 . 2009-04-07 13:22 687104 ----a-w c:windowssystem32
syB.dll
2009-03-26 09:36 . 2009-03-26 09:36 717296 ----a-w c:windowssystem32driverssptd.sys
2009-03-09 03:19 . 2009-02-28 09:32 410984 ----a-w c:windowssystem32deploytk.dll
2009-03-06 14:20 . 2004-08-05 12:00 286720 ----a-w c:windowssystem32pdh.dll
2009-03-03 00:13 . 2004-08-05 12:00 826368 ----a-w c:windowssystem32wininet.dll
2008-12-30 11:37 . 2008-10-24 02:59 650752 ----a-w c:program filesmozilla firefoxcomponents
sadssite.dll
2009-02-27 10:07 . 2009-01-08 21:38 88 --sh--r c:windowssystem32DD6794A0C9.sys
2009-02-27 10:07 . 2009-01-08 21:38 2516 --sha-w c:windowssystem32KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE~Browser Helper Objects{7f74fe94-b337-f6e2-3d07-ea0f0a9746d5}]
2009-04-07 13:22 687104 ----a-w c:windowssystem32
syB.dll

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
"CTFMON.EXE"="c:windowssystem32ctfmon.exe" [2008-04-14 15360]
"swg"="c:program filesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe" [2007-10-14 68856]
"StartCCC"="c:program filesATI TechnologiesATI.ACECore-StaticCLIStart.exe" [2006-11-10 90112]
"GTGMOUSE"="c:program filesOmniOmniMouse driver10.0GTGMouse.exe" [2007-08-13 482816]
"Sony Ericsson PC Suite"="c:program filesSony EricssonSony Ericsson PC SuiteSEPCSuite.exe" [2008-07-10 397312]
"TomTomHOME.exe"="c:program filesTomTom HOME 2HOMERunner.exe" [2008-05-06 202088]
"msnmsgr"="c:program filesWindows LiveMessengermsnmsgr.exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"NVRaidService"="c:windowssystem32
vraidservice.exe" [2005-01-17 84480]
"nTrayFw"="c:program filesNVIDIA CorporationNetworkAccessManagerin
TrayFw.exe" [2005-02-24 266240]
"NvCplDaemon"="c:windowssystem32NvCpl.dll" [2006-10-22 7700480]
"VirtualCloneDrive"="c:program filesElaborate BytesVirtualCloneDriveVCDDaemon.exe" [2005-04-12 45056]
"CloneCDTray"="c:program filesSlySoftCloneCDCloneCDTray.exe" [2005-05-19 57344]
"LXCGCATS"="c:windowsSystem32spoolDRIVERSW32X863LXCGtime.dll" [2005-04-27 69632]
"lxcgmon.exe"="c:program filesLexmark 2300 Serieslxcgmon.exe" [2005-05-04 200704]
"EzPrint"="c:program filesLexmark 2300 Seriesezprint.exe" [2005-06-08 94208]
"FaxCenterServer"="c:program filesLexmark Fax Solutionsfm3032.exe" [2005-05-03 299008]
"NvMediaCenter"="c:windowssystem32NvMcTray.dll" [2006-10-22 86016]
"PCMService"="c:program filesCyberLinkPowerCinemaPCMService.exe" [2005-04-18 127118]
"UMonit"="c:windowssystem32UMonit.exe" [2008-07-24 200704]
"ISUSPM Startup"="c:progra~1FICHIE~1INSTAL~1UPDATE~1isuspm.exe" [2004-04-17 196608]
"ISUSScheduler"="c:program filesFichiers communsInstallShieldUpdateServiceissch.exe" [2004-04-13 69632]
"avgnt"="c:program filesAviraAntiVir PersonalEdition Classicavgnt.exe" [2008-06-12 266497]
"SunJavaUpdateSched"="c:program filesJavajre6injusched.exe" [2009-03-09 148888]
"CARPService"="carpserv.exe" - c:windowssystem32carpserv.exe [2003-03-18 4608]
"nwiz"="nwiz.exe" - c:windowssystem32
wiz.exe [2006-10-22 1622016]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:windowssystem32thprops.cpl [2008-04-14 110592]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
"CTFMON.EXE"="c:windowssystem32CTFMON.EXE" [2008-04-14 15360]

HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32
"wave1"= serwvdrv.dll

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe"=
"c:\Program Files\EA GAMES\La Bataille pour la Terre du Milieu(tm)\game.dat"=
"c:\Program Files\Ubisoft\Gearbox Software\BrothersInArmsEiB\System\EiB.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\eMule\emule.exe"=
"c:\WINDOWS\system32\lxcgcoms.exe"=
"c:\Program Files\CyberLink\PowerCinema\PowerCinema.exe"=
"c:\Program Files\Activision\Call of Duty 2\CoD2MP_s.exe"=
"c:\Program Files\Ubisoft\Gearbox Software\BrothersInArms\System\bia.exe"=
"c:\Program Files\Ubisoft\Tom Clancy's Rainbow Six Vegas\Binaries\R6Vegas_Game.exe"=
"c:\Program Files\Ubisoft\Tom Clancy's Rainbow Six Vegas\Binaries\R6Vegas_Launcher.exe"=
"c:\Program Files\Codemasters\Race Driver 3\RD3.exe"=
"c:\WINDOWS\system32\dpvsetup.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\WINDOWS\system32\PnkBstrA.exe"=
"c:\WINDOWS\system32\PnkBstrB.exe"=
"c:\WINDOWS\system32\dpnsvr.exe"=
"c:\Program Files\Codemasters\DiRT\DiRT.exe"=
"c:\Program Files\sixteen tons entertainment\Emergency 4\Em4.exe"=
"c:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Sierra Entertainment\World in Conflict\wic.exe"=
"c:\Program Files\Sierra Entertainment\World in Conflict\wic_online.exe"=
"c:\Program Files\Sierra Entertainment\World in Conflict\wic_ds.exe"=
"c:\Program Files\Autodesk\backburner\monitor.exe"=
"c:\Program Files\Autodesk\backburner\manager.exe"=
"c:\Program Files\Autodesk\backburner\server.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Messenger\livecall.exe"=
"c:\Program Files\FileZilla FTP Client\filezilla.exe"=
"c:\Program Files\GlobalSCAPE\CuteFTP 8 Home\cuteftp.exe"=

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
"18816:TCP"= 18816:TCP:NortonAV
"14052:TCP"= 14052:TCP:NortonAV
"16395:TCP"= 16395:TCP:NortonAV
"16617:TCP"= 16617:TCP:NortonAV
"16932:TCP"= 16932:TCP:NortonAV
"13165:TCP"= 13165:TCP:NortonAV
"12108:TCP"= 12108:TCP:NortonAV
"15589:TCP"= 15589:TCP:NortonAV
"12961:TCP"= 12961:TCP:NortonAV
"15048:TCP"= 15048:TCP:NortonAV

R0 nvcchflt;NVIDIA Disk Cache Filter Driver;c:windowssystem32drivers
vcchflt.sys [12/12/2006 15:58 16640]
R0 pe3ah4nc;DiRT Environment Driver (pe3ah4nc);c:windowssystem32driverspe3ah4nc.sys [18/05/2007 21:53 64880]
R0 ps6ah4nc;DiRT Synchronization Driver (ps6ah4nc);c:windowssystem32driversps6ah4nc.sys [18/05/2007 21:52 55160]
R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:windowssystem32driverssfdrv01a.sys [05/07/2006 14:46 63352]
R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);c:windowssystem32driverssfsync03.sys [06/12/2005 17:11 35328]
R2 libusbd;LibUsb-Win32 - Daemon, Version 0.1.10.1;system32libusbd-nt.exe --> system32libusbd-nt.exe [?]
R3 3xHybrid;3xHybrid service;c:windowssystem32drivers3xHybrid.sys [12/12/2006 17:44 666368]
R3 IMT0521;Inmax USB IMT-0521 Smartcard Reader;c:windowssystem32driversIMT0521.sys [12/12/2006 16:08 34825]
R3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.10.1;c:windowssystem32driverslibusb0.sys [06/02/2008 19:31 33792]
R4 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:windowssystem32DRIVERSsbfwim.sys --> c:windowssystem32DRIVERSsbfwim.sys [?]
RUnknown sbhips;sbhips; [x]
S2 gupdate1c9d9f88585e512;Service Google Update (gupdate1c9d9f88585e512);c:program filesGoogleUpdateGoogleUpdate.exe [21/05/2009 11:42 133104]
S2 pr2ah4nc;DiRT Drivers Auto Removal (pr2ah4nc);c:windowssystem32pr2ah4nc.exe svc --> c:windowssystem32pr2ah4nc.exe svc [?]
S3 DMSKSSRh;DMSKSSRh;??c:docume~1QuentinLOCALS~1TempDMSKSSRh.sys --> c:docume~1QuentinLOCALS~1TempDMSKSSRh.sys [?]
S3 SCR33X USB Smart Card Reader;SCR33X USB Smart Card Reader;c:windowssystem32driversSCR33X2K.sys [12/12/2006 16:08 63608]
S3 SCR3XX2K;SCR3xx USB SmartCardReader;c:windowssystem32driversSCR3XX2K.sys [21/06/2007 05:40 56448]
S3 STCFUx32;STC DFU Driver;c:windowssystem32driversSTCFUx32.sys [24/01/2007 03:01 7680]
S3 XPADFL02;XPAD Filter Service 02;c:windowssystem32driversxPADFL02.sys [17/02/2009 18:09 27904]
S3 ZDBRGSYS;ZDBRGSYS NDIS Protocol Driver;c:windowssystem32DBRGSYS.sys [12/12/2006 16:03 19200]
.
Contenu du dossier 'Tâches planifiées'

2009-04-14 c:windowsTasksAppleSoftwareUpdate.job
- c:program filesApple Software UpdateSoftwareUpdate.exe [2008-07-30 10:34]

2009-05-30 c:windowsTasksGoogleUpdateTaskMachine.job
- c:program filesGoogleUpdateGoogleUpdate.exe [2009-05-21 09:42]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-Start WingMan Profiler - (no file)
SafeBoot-procexp90.Sys


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
mWindow Title =
LSP: %SYSTEMROOT%system32
vappfilter.dll
Trusted Zone: localhost
DPF: {9DF1C00D-8426-4337-972C-DC042D19A916} - hxxp://webtv.guidetv.orange.fr/resources/OCS_8884.cab
FF - ProfilePath - c:documents and settingsQuentinApplication DataMozillaFirefoxProfilesc8sul2vw.default
FF - prefs.js: browser.search.defaulturl - hxxp://www1.yoog.com/search.php?q=
FF - prefs.js: browser.search.selectedEngine - Yoog Search
FF - prefs.js: keyword.URL - hxxp://www1.yoog.com/search.php?q=
FF - component: c:program filesMozilla Firefoxcomponents
sadssite.dll
FF - plugin: c:program filesGoogleUpdate1.2.145.5
pGoogleOneClick8.dll
FF - plugin: c:program filesMicrosoftOffice Live
pOLW.dll
FF - plugin: c:program filesMozilla Firefoxplugins
p-mswmp.dll
FF - plugin: c:program filesMozilla Firefoxplugins
pqtplugin8.dll
FF - plugin: c:program filesQuickTimePlugins
pqtplugin8.dll

---- PARAMETRES FIREFOX ----
FF - user.js: google.toolbar.linkdoctor.enabled - false
FF - user.js: browser.search.selectedEngine - Yoog Search
FF - user.js: keyword.URL - hxxp://www1.yoog.com/search.php?q=
FF - user.js: keyword.enabled - true
FF - user.js: browser.search.defaultenginename - Yoog Search
FF - user.js: browser.search.defaulturl - hxxp://www1.yoog.com/search.php?q=
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-30 15:37
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
LXCGCATS = rundll32 c:windowsSystem32spoolDRIVERSW32X863LXCGtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
UMonit = c:windowssystem32UMonit.exe?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERSS-1-5-21-725345543-1682526488-682003330-1004SoftwareMicrosoftSystemCertificatesAddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERSS-1-5-21-725345543-1682526488-682003330-1004SoftwareSecuROM!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:7e,90,25,5f,00,36,6b,39,f7,6c,5b,e2,57,cc,32,d1,d8,d4,ab,99,d7,d7,d1,
d7,6e,c9,65,77,18,ef,44,65,aa,4a,e3,61,1b,44,a3,d7,d2,b4,2c,e2,ad,7a,70,a1,
"??"=hex:33,a1,95,b4,58,94,d3,ef,00,cd,da,05,7b,68,22,20

[HKEY_USERSS-1-5-21-725345543-1682526488-682003330-1004SoftwareSecuROMLicense information*]
"datasecu"=hex:11,38,d6,7f,6d,be,15,7e,16,8d,47,96,c9,7d,96,ed,d9,f3,db,16,9f,
0d,28,14,58,0f,31,67,6d,c5,97,e5,5c,e9,26,99,e1,f8,cd,0e,5a,ec,9e,94,0a,cd,
"rkeysecu"=hex:c4,f8,a8,a2,c5,9a,0e,c8,87,f3,66,d9,48,1a,f8,4f

[HKEY_USERSS-1-5-21-725345543-1682526488-682003330-1004Softwareepter SoftwareRegLib*94289598CloneDVDmobile/1]
"1"=dword:458143aa
"2"=dword:4991f94b
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1156)
c:windowssystem32Ati2evxx.dll

- - - - - - - > 'lsass.exe'(1212)
c:windowssystem32
vappfilter.dll
.
Heure de fin: 2009-05-30 15:41
ComboFix-quarantined-files.txt 2009-05-30 13:41

Avant-CF: 113 658 109 952 octets libres
Après-CF: 113 653 071 872 octets libres

262 --- E O F --- 2009-05-13 19:01


FILE ::
"c:program filesENJOY Plus!ENJOY Plus!.exe"
"c:program filesMozilla Firefoxcomponents26afef8f-b1c6-aa09-57a1-4fa7bd608126.dll"
"c:windowssystem32ee226537-3c69-a5d4-ac93-8daaa6e4fde0.exe"
"c:windowssystem32gzmrt.dll"
"c:windowssystem32
scD.dll"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:documents and settingsQuentinRavMonLog
c:program filesMozilla Firefoxcomponents26afef8f-b1c6-aa09-57a1-4fa7bd608126.dll
c:windowssystem32cont_adssite-remove.exe
c:windowssystem32ee226537-3c69-a5d4-ac93-8daaa6e4fde0.exe
c:windowssystem32
oruns.reg

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-04-28 au 2009-05-30 ))))))))))))))))))))))))))))))))))))
.

2009-05-30 13:22 . 2009-05-30 13:22 -------- d-----w c:windowsLastGood
2009-05-29 13:34 . 2009-05-29 13:34 579584 -c--a-w c:windowssystem32dllcacheuser32.dll
2009-05-29 13:30 . 2009-05-29 13:30 -------- d-----w c:windowsERUNT
2009-05-29 13:20 . 2009-05-29 14:09 -------- d-----w C:SDFix
2009-05-26 16:13 . 2009-05-28 14:30 -------- d-----w c:program filesSpybot - Search & Destroy
2009-05-26 16:13 . 2009-05-28 14:23 -------- d-----w c:documents and settingsAll UsersApplication DataSpybot - Search & Destroy
2009-05-26 15:26 . 2009-05-27 19:16 -------- d-----w C:ToolBar SD
2009-05-26 13:36 . 2009-05-26 13:36 -------- d-----w c:documents and settingsQuentinApplication DataMalwarebytes
2009-05-26 13:36 . 2009-04-06 13:32 15504 ----a-w c:windowssystem32driversmbam.sys
2009-05-26 13:36 . 2009-04-06 13:32 38496 ----a-w c:windowssystem32driversmbamswissarmy.sys
2009-05-26 13:36 . 2009-05-26 13:36 -------- d-----w c:documents and settingsAll UsersApplication DataMalwarebytes
2009-05-26 13:36 . 2009-05-26 13:36 -------- d-----w c:program filesMalwarebytes' Anti-Malware
2009-05-25 18:32 . 2009-05-26 14:55 -------- d-----w c:documents and settingsQuentinApplication Datavlc
2009-05-25 18:27 . 2008-12-03 23:25 120832 ----a-w c:documents and settingsQuentinApplication DataMozillaFirefoxProfilesc8sul2vw.defaultextensions{77b819fa-95ad-4f2c-ac7c-486b356188a9}plugins
pietab.dll
2009-05-22 08:35 . 2009-05-22 08:35 -------- d-----w c:documents and settingsNetworkServiceLocal SettingsApplication DataGoogle
2009-05-21 09:43 . 2009-05-21 09:43 -------- d-----w c:documents and settingsLocalServiceLocal SettingsApplication DataGoogle
2009-05-20 08:50 . 2009-05-20 08:50 152576 ----a-w c:documents and settingsQuentinApplication DataSunJavajre1.6.0_13lzma.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-29 16:12 . 2006-12-16 08:00 -------- d-----w c:program filesLx_cats
2009-05-29 14:48 . 2009-04-08 10:05 -------- d---a-w c:documents and settingsAll UsersApplication DataTEMP
2009-05-29 06:36 . 2007-09-20 20:14 -------- d-----w c:program fileseMule
2009-05-28 14:12 . 2006-12-12 13:54 -------- d--h--w c:program filesInstallShield Installation Information
2009-05-28 11:10 . 2009-03-23 10:30 -------- d-----w c:program filesxplorer2
2009-05-27 19:07 . 2009-04-20 08:10 -------- d-----w c:program filesCCleaner
2009-05-26 20:17 . 2007-09-29 18:36 -------- d-----w c:documents and settingsQuentinApplication DataOpenOffice.org2
2009-05-25 15:02 . 2007-10-20 13:57 138376 ----a-w c:windowssystem32driversPnkBstrK.sys
2009-05-25 15:01 . 2007-10-20 13:57 182928 ----a-w c:windowssystem32PnkBstrB.exe
2009-05-21 09:44 . 2007-10-06 08:58 -------- d-----w c:program filesGoogle
2009-05-20 08:51 . 2007-07-10 16:21 -------- d-----w c:program filesJava
2009-05-19 14:34 . 2008-11-22 19:10 -------- d-----w c:program filesOrange
2009-05-16 13:13 . 2006-12-12 15:29 38494 ----a-w c:documents and settingsQuentinApplication Datawklnhst.dat
2009-05-08 20:26 . 2008-06-06 16:21 -------- d-----w c:documents and settingsQuentinApplication Datagtk-2.0
2009-04-27 14:16 . 2009-04-27 14:16 -------- d-----w c:program filesBradbury
2009-04-27 14:10 . 2009-02-10 21:47 -------- d-----w c:program filesNotepad++
2009-04-27 14:10 . 2009-02-10 21:47 -------- d-----w c:documents and settingsQuentinApplication DataNotepad++
2009-04-27 13:27 . 2009-03-24 08:14 -------- d-----w c:documents and settingsQuentinApplication DataFileZilla
2009-04-27 12:54 . 2009-04-27 12:54 -------- d-----w c:documents and settingsQuentinApplication DataGlobalSCAPE
2009-04-27 12:54 . 2009-04-27 12:54 -------- d-----w c:documents and settingsAll UsersApplication DataGlobalSCAPE
2009-04-27 12:54 . 2009-04-27 12:54 -------- d-----w c:program filesGlobalSCAPE
2009-04-22 06:58 . 2004-08-05 12:00 77708 ----a-w c:windowssystem32perfc00C.dat
2009-04-22 06:58 . 2004-08-05 12:00 474282 ----a-w c:windowssystem32perfh00C.dat
2009-04-20 08:42 . 2008-03-14 14:58 -------- d-----w c:program filesPersonal Media Manager
2009-04-20 07:04 . 2009-03-06 16:07 -------- d-----w c:documents and settingsQuentinApplication DataMedia Player
2009-04-16 11:52 . 2009-04-16 11:52 -------- d-----w c:program filesTrend Micro
2009-04-14 11:23 . 2009-04-14 11:23 -------- d-----w c:program filesQuickTime
2009-04-14 11:22 . 2007-09-30 11:34 -------- d-----w c:program filesApple Software Update
2009-04-07 13:22 . 2009-04-07 13:22 687104 ----a-w c:windowssystem32
syB.dll
2009-03-26 09:36 . 2009-03-26 09:36 717296 ----a-w c:windowssystem32driverssptd.sys
2009-03-09 03:19 . 2009-02-28 09:32 410984 ----a-w c:windowssystem32deploytk.dll
2009-03-06 14:20 . 2004-08-05 12:00 286720 ----a-w c:windowssystem32pdh.dll
2009-03-03 00:13 . 2004-08-05 12:00 826368 ----a-w c:windowssystem32wininet.dll
2008-12-30 11:37 . 2008-10-24 02:59 650752 ----a-w c:program filesmozilla firefoxcomponents
sadssite.dll
2009-02-27 10:07 . 2009-01-08 21:38 88 --sh--r c:windowssystem32DD6794A0C9.sys
2009-02-27 10:07 . 2009-01-08 21:38 2516 --sha-w c:windowssystem32KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE~Browser Helper Objects{7f74fe94-b337-f6e2-3d07-ea0f0a9746d5}]
2009-04-07 13:22 687104 ----a-w c:windowssystem32
syB.dll

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
"CTFMON.EXE"="c:windowssystem32ctfmon.exe" [2008-04-14 15360]
"swg"="c:program filesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe" [2007-10-14 68856]
"StartCCC"="c:program filesATI TechnologiesATI.ACECore-StaticCLIStart.exe" [2006-11-10 90112]
"GTGMOUSE"="c:program filesOmniOmniMouse driver10.0GTGMouse.exe" [2007-08-13 482816]
"Sony Ericsson PC Suite"="c:program filesSony EricssonSony Ericsson PC SuiteSEPCSuite.exe" [2008-07-10 397312]
"TomTomHOME.exe"="c:program filesTomTom HOME 2HOMERunner.exe" [2008-05-06 202088]
"msnmsgr"="c:program filesWindows LiveMessengermsnmsgr.exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"NVRaidService"="c:windowssystem32
vraidservice.exe" [2005-01-17 84480]
"nTrayFw"="c:program filesNVIDIA CorporationNetworkAccessManagerin
TrayFw.exe" [2005-02-24 266240]
"NvCplDaemon"="c:windowssystem32NvCpl.dll" [2006-10-22 7700480]
"VirtualCloneDrive"="c:program filesElaborate BytesVirtualCloneDriveVCDDaemon.exe" [2005-04-12 45056]
"CloneCDTray"="c:program filesSlySoftCloneCDCloneCDTray.exe" [2005-05-19 57344]
"LXCGCATS"="c:windowsSystem32spoolDRIVERSW32X863LXCGtime.dll" [2005-04-27 69632]
"lxcgmon.exe"="c:program filesLexmark 2300 Serieslxcgmon.exe" [2005-05-04 200704]
"EzPrint"="c:program filesLexmark 2300 Seriesezprint.exe" [2005-06-08 94208]
"FaxCenterServer"="c:program filesLexmark Fax Solutionsfm3032.exe" [2005-05-03 299008]
"NvMediaCenter"="c:windowssystem32NvMcTray.dll" [2006-10-22 86016]
"PCMService"="c:program filesCyberLinkPowerCinemaPCMService.exe" [2005-04-18 127118]
"UMonit"="c:windowssystem32UMonit.exe" [2008-07-24 200704]
"ISUSPM Startup"="c:progra~1FICHIE~1INSTAL~1UPDATE~1isuspm.exe" [2004-04-17 196608]
"ISUSScheduler"="c:program filesFichiers communsInstallShieldUpdateServiceissch.exe" [2004-04-13 69632]
"avgnt"="c:program filesAviraAntiVir PersonalEdition Classicavgnt.exe" [2008-06-12 266497]
"SunJavaUpdateSched"="c:program filesJavajre6injusched.exe" [2009-03-09 148888]
"CARPService"="carpserv.exe" - c:windowssystem32carpserv.exe [2003-03-18 4608]
"nwiz"="nwiz.exe" - c:windowssystem32
wiz.exe [2006-10-22 1622016]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:windowssystem32thprops.cpl [2008-04-14 110592]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
"CTFMON.EXE"="c:windowssystem32CTFMON.EXE" [2008-04-14 15360]

HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32
"wave1"= serwvdrv.dll

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe"=
"c:\Program Files\EA GAMES\La Bataille pour la Terre du Milieu(tm)\game.dat"=
"c:\Program Files\Ubisoft\Gearbox Software\BrothersInArmsEiB\System\EiB.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\eMule\emule.exe"=
"c:\WINDOWS\system32\lxcgcoms.exe"=
"c:\Program Files\CyberLink\PowerCinema\PowerCinema.exe"=
"c:\Program Files\Activision\Call of Duty 2\CoD2MP_s.exe"=
"c:\Program Files\Ubisoft\Gearbox Software\BrothersInArms\System\bia.exe"=
"c:\Program Files\Ubisoft\Tom Clancy's Rainbow Six Vegas\Binaries\R6Vegas_Game.exe"=
"c:\Program Files\Ubisoft\Tom Clancy's Rainbow Six Vegas\Binaries\R6Vegas_Launcher.exe"=
"c:\Program Files\Codemasters\Race Driver 3\RD3.exe"=
"c:\WINDOWS\system32\dpvsetup.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\WINDOWS\system32\PnkBstrA.exe"=
"c:\WINDOWS\system32\PnkBstrB.exe"=
"c:\WINDOWS\system32\dpnsvr.exe"=
"c:\Program Files\Codemasters\DiRT\DiRT.exe"=
"c:\Program Files\sixteen tons entertainment\Emergency 4\Em4.exe"=
"c:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Sierra Entertainment\World in Conflict\wic.exe"=
"c:\Program Files\Sierra Entertainment\World in Conflict\wic_online.exe"=
"c:\Program Files\Sierra Entertainment\World in Conflict\wic_ds.exe"=
"c:\Program Files\Autodesk\backburner\monitor.exe"=
"c:\Program Files\Autodesk\backburner\manager.exe"=
"c:\Program Files\Autodesk\backburner\server.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Messenger\livecall.exe"=
"c:\Program Files\FileZilla FTP Client\filezilla.exe"=
"c:\Program Files\GlobalSCAPE\CuteFTP 8 Home\cuteftp.exe"=

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
"18816:TCP"= 18816:TCP:NortonAV
"14052:TCP"= 14052:TCP:NortonAV
"16395:TCP"= 16395:TCP:NortonAV
"16617:TCP"= 16617:TCP:NortonAV
"16932:TCP"= 16932:TCP:NortonAV
"13165:TCP"= 13165:TCP:NortonAV
"12108:TCP"= 12108:TCP:NortonAV
"15589:TCP"= 15589:TCP:NortonAV
"12961:TCP"= 12961:TCP:NortonAV
"15048:TCP"= 15048:TCP:NortonAV

R0 nvcchflt;NVIDIA Disk Cache Filter Driver;c:windowssystem32drivers
vcchflt.sys [12/12/2006 15:58 16640]
R0 pe3ah4nc;DiRT Environment Driver (pe3ah4nc);c:windowssystem32driverspe3ah4nc.sys [18/05/2007 21:53 64880]
R0 ps6ah4nc;DiRT Synchronization Driver (ps6ah4nc);c:windowssystem32driversps6ah4nc.sys [18/05/2007 21:52 55160]
R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:windowssystem32driverssfdrv01a.sys [05/07/2006 14:46 63352]
R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);c:windowssystem32driverssfsync03.sys [06/12/2005 17:11 35328]
R2 libusbd;LibUsb-Win32 - Daemon, Version 0.1.10.1;system32libusbd-nt.exe --> system32libusbd-nt.exe [?]
R3 3xHybrid;3xHybrid service;c:windowssystem32drivers3xHybrid.sys [12/12/2006 17:44 666368]
R3 IMT0521;Inmax USB IMT-0521 Smartcard Reader;c:windowssystem32driversIMT0521.sys [12/12/2006 16:08 34825]
R3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.10.1;c:windowssystem32driverslibusb0.sys [06/02/2008 19:31 33792]
R4 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:windowssystem32DRIVERSsbfwim.sys --> c:windowssystem32DRIVERSsbfwim.sys [?]
RUnknown sbhips;sbhips; [x]
S2 gupdate1c9d9f88585e512;Service Google Update (gupdate1c9d9f88585e512);c:program filesGoogleUpdateGoogleUpdate.exe [21/05/2009 11:42 133104]
S2 pr2ah4nc;DiRT Drivers Auto Removal (pr2ah4nc);c:windowssystem32pr2ah4nc.exe svc --> c:windowssystem32pr2ah4nc.exe svc [?]
S3 DMSKSSRh;DMSKSSRh;??c:docume~1QuentinLOCALS~1TempDMSKSSRh.sys --> c:docume~1QuentinLOCALS~1TempDMSKSSRh.sys [?]
S3 SCR33X USB Smart Card Reader;SCR33X USB Smart Card Reader;c:windowssystem32driversSCR33X2K.sys [12/12/2006 16:08 63608]
S3 SCR3XX2K;SCR3xx USB SmartCardReader;c:windowssystem32driversSCR3XX2K.sys [21/06/2007 05:40 56448]
S3 STCFUx32;STC DFU Driver;c:windowssystem32driversSTCFUx32.sys [24/01/2007 03:01 7680]
S3 XPADFL02;XPAD Filter Service 02;c:windowssystem32driversxPADFL02.sys [17/02/2009 18:09 27904]
S3 ZDBRGSYS;ZDBRGSYS NDIS Protocol Driver;c:windowssystem32DBRGSYS.sys [12/12/2006 16:03 19200]
.
Contenu du dossier 'Tâches planifiées'

2009-04-14 c:windowsTasksAppleSoftwareUpdate.job
- c:program filesApple Software UpdateSoftwareUpdate.exe [2008-07-30 10:34]

2009-05-30 c:windowsTasksGoogleUpdateTaskMachine.job
- c:program filesGoogleUpdateGoogleUpdate.exe [2009-05-21 09:42]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-Start WingMan Profiler - (no file)
SafeBoot-procexp90.Sys


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
mWindow Title =
LSP: %SYSTEMROOT%system32
vappfilter.dll
Trusted Zone: localhost
DPF: {9DF1C00D-8426-4337-972C-DC042D19A916} - hxxp://webtv.guidetv.orange.fr/resources/OCS_8884.cab
FF - ProfilePath - c:documents and settingsQuentinApplication DataMozillaFirefoxProfilesc8sul2vw.default
FF - prefs.js: browser.search.defaulturl - hxxp://www1.yoog.com/search.php?q=
FF - prefs.js: browser.search.selectedEngine - Yoog Search
FF - prefs.js: keyword.URL - hxxp://www1.yoog.com/search.php?q=
FF - component: c:program filesMozilla Firefoxcomponents
sadssite.dll
FF - plugin: c:program filesGoogleUpdate1.2.145.5
pGoogleOneClick8.dll
FF - plugin: c:program filesMicrosoftOffice Live
pOLW.dll
FF - plugin: c:program filesMozilla Firefoxplugins
p-mswmp.dll
FF - plugin: c:program filesMozilla Firefoxplugins
pqtplugin8.dll
FF - plugin: c:program filesQuickTimePlugins
pqtplugin8.dll

---- PARAMETRES FIREFOX ----
FF - user.js: google.toolbar.linkdoctor.enabled - false
FF - user.js: browser.search.selectedEngine - Yoog Search
FF - user.js: keyword.URL - hxxp://www1.yoog.com/search.php?q=
FF - user.js: keyword.enabled - true
FF - user.js: browser.search.defaultenginename - Yoog Search
FF - user.js: browser.search.defaulturl - hxxp://www1.yoog.com/search.php?q=
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-30 15:37
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
LXCGCATS = rundll32 c:windowsSystem32spoolDRIVERSW32X863LXCGtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
UMonit = c:windowssystem32UMonit.exe?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERSS-1-5-21-725345543-1682526488-682003330-1004SoftwareMicrosoftSystemCertificatesAddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERSS-1-5-21-725345543-1682526488-682003330-1004SoftwareSecuROM!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:7e,90,25,5f,00,36,6b,39,f7,6c,5b,e2,57,cc,32,d1,d8,d4,ab,99,d7,d7,d1,
d7,6e,c9,65,77,18,ef,44,65,aa,4a,e3,61,1b,44,a3,d7,d2,b4,2c,e2,ad,7a,70,a1,
"??"=hex:33,a1,95,b4,58,94,d3,ef,00,cd,da,05,7b,68,22,20

[HKEY_USERSS-1-5-21-725345543-1682526488-682003330-1004SoftwareSecuROMLicense information*]
"datasecu"=hex:11,38,d6,7f,6d,be,15,7e,16,8d,47,96,c9,7d,96,ed,d9,f3,db,16,9f,
0d,28,14,58,0f,31,67,6d,c5,97,e5,5c,e9,26,99,e1,f8,cd,0e,5a,ec,9e,94,0a,cd,
"rkeysecu"=hex:c4,f8,a8,a2,c5,9a,0e,c8,87,f3,66,d9,48,1a,f8,4f

[HKEY_USERSS-1-5-21-725345543-1682526488-682003330-1004Softwareepter SoftwareRegLib*94289598CloneDVDmobile/1]
"1"=dword:458143aa
"2"=dword:4991f94b
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1156)
c:windowssystem32Ati2evxx.dll

- - - - - - - > 'lsass.exe'(1212)
c:windowssystem32
vappfilter.dll
.
Heure de fin: 2009-05-30 15:41
ComboFix-quarantined-files.txt 2009-05-30 13:41

Avant-CF: 113 658 109 952 octets libres
Après-CF: 113 653 071 872 octets libres

262 --- E O F --- 2009-05-13 19:01


Ah oui j'ai découvert sa :

Image


edit :

Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2181
Windows 5.1.2600 Service Pack 3

30/05/2009 17:17:53
mbam-log-2009-05-30 (17-17-53).txt

Type de recherche: Examen complet (C:|)
Eléments examinés: 266990
Temps écoulé: 1 hour(s), 15 minute(s), 2 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{7f74fe94-b337-f6e2-3d07-ea0f0a9746d5} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOTCLSID{7f74fe94-b337-f6e2-3d07-ea0f0a9746d5} (Adware.BHO) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:WINDOWSsystem32
syB.dll (Adware.BHO) -> Quarantined and deleted successfully.

EDIT 2 :



Avira AntiVir Personal
Date de création du fichier de rapport : dimanche 31 mai 2009 09:48

La recherche porte sur 1433136 souches de virus.

Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme : Windows XP
Version de Windows :(Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur :ORDI-QUENTIN

Informations de version :
BUILD.DAT : 8.2.0.53 17752 Bytes 23/03/2009 13:45:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 16:00:44
ANTIVIR2.VDF : 7.1.4.0 2336768 Bytes 20/05/2009 08:22:18
ANTIVIR3.VDF : 7.1.4.33 293376 Bytes 28/05/2009 16:25:28
Version du moteur: 8.2.0.180
AEVDF.DLL : 8.1.1.1 106868 Bytes 01/05/2009 15:43:17
AESCRIPT.DLL : 8.1.2.0 389497 Bytes 15/05/2009 18:16:14
AESCN.DLL : 8.1.2.3 127347 Bytes 15/05/2009 18:16:13
AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38
AEPACK.DLL : 8.1.3.18 401783 Bytes 28/05/2009 16:25:35
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 19/03/2009 16:00:49
AEHEUR.DLL : 8.1.0.129 1761655 Bytes 15/05/2009 18:16:12
AEHELP.DLL : 8.1.2.2 119158 Bytes 19/03/2009 16:00:47
AEGEN.DLL : 8.1.1.44 348532 Bytes 15/05/2009 18:16:06
AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56
AECORE.DLL : 8.1.6.12 180599 Bytes 28/05/2009 16:25:32
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58
AVREP.DLL : 8.0.0.3 155688 Bytes 20/04/2009 15:43:39
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43

Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: c:program filesaviraantivir personaledition classicsysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen

Début de la recherche : dimanche 31 mai 2009 09:48

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lxcgcoms.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SbPFCl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nSvcAppFlt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CLSched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Apache.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SbPFSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SbPFLnch.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PSIService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PnkBstrA.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nSvcLog.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nSvcIp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'libusbd-nt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Apache.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CLMLService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CLMLServer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CLCapSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CCC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HOMERunner.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SEPCSuite.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MOM.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GTGMouse.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'issch.exe' - '1' module(s) sont contrôlés
Processus de recherche 'UMonit.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PCMService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ezprint.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lxcgmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CloneCDTray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'VCDDaemon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvraidservice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleUpdate.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'scardsvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'63' processus ont été contrôlés avec '63' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
[AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.
Secteur d'amorçage maître HD2
[INFO] Aucun virus trouvé !
[AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.
Secteur d'amorçage maître HD3
[INFO] Aucun virus trouvé !
[AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.
Secteur d'amorçage maître HD4
[INFO] Aucun virus trouvé !
[AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '57' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:'
C:pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:System Volume Information\_restore{131601EA-E7C1-4BB1-8306-4F377F82415D}RP4A0000167.dll
[RESULTAT] Contient le cheval de Troie TR/Killav.28714
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a527829.qua' !
C:WINDOWSsystem32driverssptd.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !


Fin de la recherche : dimanche 31 mai 2009 14:38
Temps nécessaire: 4:50:03 Heure(s)

La recherche a été effectuée intégralement

15102 Les répertoires ont été contrôlés
594797 Des fichiers ont été contrôlés
1 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
1 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
594794 Fichiers non infectés
3069 Les archives ont été contrôlées
6 Avertissements
1 Consignes
Seb88
Apprenti(e) Expert(e)
Apprenti(e) Expert(e)
 
Messages: 108
Inscription: 18 Mai 2009 21:59
 

Message le 01 Juin 2009 12:21

Bonjour.

Pas le temps d'éplucher tes rapports.

Alors:

_ oui, tu désinstalles ce que tu as trouvé, c'était le souci en question.


_ ComboFix a bien fait le ménage, on verra ensuite.


_ Mbam trouve encore quelque chose à supprimer ou pas?


_ Antivir parle de point de restauration infecté...
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

PrécédenteSuivante


Sujets similaires

Message [Réglé] choix anti virus
bonjour a tous, je viens de changer mon pc et j'aimerai vos avis sur le choix de l anti virus.
Réponses: 8

Message HELP je pense avoir un virus
Bonsoir,Première fois que ce genre de chose m'arrive, j'ai d'abord été hackée sur Instagram, pensant que ca s'arrêterait làEnsuite ca a été au tour de STEAM malgré le steam guard ( identification à 2 facteurs) puis Linkedin !! Je n'ai eu aucune alerte de connexion, que ce soit par sms ou email !! J' ...
Réponses: 12

Message Aide suite à une analyse FRST contre un virus vbc.exe
Bonjour tout le monde, J'ai récemment constaté que j'étais infecté par un virus lié à vbc.exe, ce qui entraîne une utilisation du CPU allant jusqu'à 30% voire 40%. J'ai donc effectué mes analyses FRST et voici les rapports obtenus : - FRST.txt: https://pjjoint.malekal.com/files.php?id=FRST_20240315_ ...
Réponses: 3

Message [Réglé] Petite vérification virus
Salut Heravles ,Merci et bonne année a toi également et aussi a toute ta famille.Oui désolé j'ai pas fais attention quand j'ai téléchargé le logiciel alors que je sais très bien qu'il fallait le faire sur le bureau. Je ferais plus attention la prochaine fois.Nickel si mon Pc et pas infecté.Je t'envo ...
Réponses: 5

Message 22h2 bogues tpm et centre de sécurité: virus?
Salut,J'ai refait iso et formaté override le disque. Un reset électrique du PC.Je suis sur W11 PRO 64 v22621.525 (même bogue sur la première iso 22h2 fournie par Microsoft en 22621.382).WU est désactivé avant connexion a internet via gpedit.msc.J'ai installé à neuf en compte local. J'installe sans i ...
Réponses: 17

Message anti virus gratuit
Bonjour,Avez-vous un anti virus nettoyeur gratuit en français a me conseiller pour mon j3 2016 samsung.Cordialement.
Réponses: 3

Message Des VIRUS (encore ?)
Bonjour Bernard,merci pour ton aide, j'ai donc supprimé les logiciels adobe que j'avais cracké,voici les nouvelles analyses:Addition : https://cjoint.com/c/LKduLSQQmLnFRST : https://cjoint.com/c/LKduNhgM1vnShortcut : https://cjoint.com/c/LKduNycdWwnCordialement
Réponses: 7


Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 14 invités


.: Nous contacter :: Flux RSS :: Données personnelles :.