[Résolu] Infecté par qq chose mais quoi ?

hello,


cela ne sent pas bon effectivement ...


fait ceci afin d'avoir un diagnostique précis de la situation :


Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> http://telechargement.zebulon.fr/zhpdiag.html

!! déconnecte toi et ferme toutes tes applications en cours !!

Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "executer en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" ( afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ).

A la fin de l'installe , laisse bien la case "executer ZHPDiag" cochée et clique sur "Terminer " > l'outil se lancera donc automatiquement .

Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite ( celui avec le tournevis ) :

Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .

clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days

Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

> Laisses travailler l'outil ... ( cela peut-être relativement long )

Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau.

Puis ferme le programme ...


> Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .

Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...

Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

J'ai tout fait mais impossible de déposer le fichier txt sur cijoint.fr
Que faire ?

re,





essaye avec cet autre cite d'uplaod > http://www.sendspace.com/

Tjrs pas possible, que faire ?

bon ...


fait un copier/coller directe sur le forum ...


si tu vois que le rapport n'est pas complet , mets le reste dans la réponse suivante ....

Rapport de ZHPDiag v1.25.1427 par Nicolas Coolman, Update du 06/05/2010
Run by PLI at 01/06/2010 14:18:23
Web site : http://www.premiumorange.com/zeb-help-process/zhpdiag.h...
Contact : nicolascoolman@yahoo.fr

---\\ Web Browser
MSIE: Internet Explorer v7.0.5730.13

---\\ System Information
Platform : Microsoft Windows XP (5.1.2600) Service Pack 3
Processor: x86 Family 6 Model 13 Stepping 6, GenuineIntel
Operating System: 32 Bits
Boot mode: Normal (Normal boot)
Total RAM: 510 MB (57% free)
System drive C: has 17 GB (60%) free of 28 GB

---\\ Logged in mode
Computer Name: PO-GDI-07
User Name: PLI
All Users Names: SUPPORT_388945a0, PLI, HelpAssistant, Administrateur,
Unselected Option: O45,O61
Logged in as Administrator

---\\ DOS/Devices
C:\ Hard drive, Flash drive, Thumb drive (Free 17 Go of 28 Go)
D:\ Hard drive, Flash drive, Thumb drive (Free 46 Go of 47 Go)
E:\ Floppy drive, Flash card reader, USB Key (Not Inserted)
F:\ CD-ROM drive (Not Inserted)


---\\ Security Center & Tools Informations
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: OK
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: OK
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiSpywareOverride: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusOverride: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallOverride: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UpdatesDisableNotify: OK
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UacDisableNotify: OK
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableTaskMgr: OK
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableRegistryTools: OK
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] NoDispScrSavPage: OK


---\\ Processus lancés
[MD5.5EC6A3A27642F72A9D58BF6631D9F6DD] - (.Alps Electric Co., Ltd. - Alps Pointing-device Driver.) -- C:\Program Files\Apoint\Apoint.exe [114688]
[MD5.C6FA9370324CDE99EC1C3F4A22A9BE56] - (.ATI Technologies, Inc. - ATI Desktop Control Panel.) -- C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe [339968]
[MD5.CFF77822D14335E9912747C82B60462F] - (.Sony Corporation - Pas de description.) -- C:\Program Files\Sony\HotKey Utility\HKserv.exe [122880]
[MD5.0C78D17952E9496A0690C45581FEB424] - (.Sony Corporation - SPM Module.) -- C:\Program Files\sony\vaio power management\SPMgr.exe [180224]
[MD5.37AF08722B28CE50D4DFFB739B38C967] - (.Pas de propriétaire - HControl.) -- C:\WINDOWS\ATK0100\Hcontrol.exe [61440]
[MD5.93EEFBC237ADFC406F52EE56D97F784B] - (.Sony Corporation - Pas de description.) -- C:\Program Files\Sony\ISB Utility\ISBMgr.exe [32768]
[MD5.2849ED071A0D83406BDA342AA767F24E] - (.Easy Systems Japan Ltd. - ezSP_Px MFC Application.) -- C:\WINDOWS\system32\ezSP_Px.exe [40960]
[MD5.B84873B030E66DDF3964A31793BB4211] - (.RealVNC Ltd. - VNC server for Win32.) -- C:\Program Files\RealVNC\WinVNC\WinVNC.exe [335872]
[MD5.9567FC2A930321359ACA5C774F1310DB] - (.Symantec Corporation - Symantec AntiVirus.) -- C:\PROGRA~1\SYMANT~1\VPTray.exe [125536]
[MD5.52DB6CDAC5BC7A1FC884E97C41C91213] - (.Sun Microsystems, Inc. - Java(TM) Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe [248040]
[MD5.ED7A6D40B20DC34BE06F4AE196AE7D50] - (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\qttask.exe [421888]
[MD5.A244E67F073377DE0E53D3068932B040] - (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe [142120]
[MD5.59DC5BB82E4C8E0B3EADCFDBC44BA6E4] - (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe [15360]
[MD5.49AD8709B96741F9C3C5A98CBBAB0777] - (.TomTom - System Tray application for TomTom HOME.) -- C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe [247144]
[MD5.D503DF3ABA595F551B98B9BAE017A271] - (.Apple Inc. - Apple Mobile Device Service.) -- C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe [144672]
[MD5.D24907C31A3004A560385E5048C72DD7] - (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\Ati2evxx.exe [385024]
[MD5.E4BDF223CD75478BF44567B4D5C2634D] - (.Microsoft Corporation - Generic Host Process for Win32 Services.) -- C:\WINDOWS\System32\svchost.exe [14336]
[MD5.EBAD0F51D8D4DADE7660B1851ADDBD07] - (.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe [345376]
[MD5.3B4898CF051BB04FB76E94361E336A83] - (.Symantec Corporation - Symantec Settings Manager Service.) -- C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe [169632]
[MD5.7A2A9792896F3736F283B00080A4A2D8] - (.Symantec Corporation - Virus Definition Daemon.) -- C:\Program Files\Symantec AntiVirus\DefWatch.exe [31840]
[MD5.C3FB1D70CB88722267949694BA51759E] - (.Microsoft Corporation - Applications Services et Contrôleur.) -- C:\WINDOWS\system32\services.exe [111104]
[MD5.1834C96FB1F9280BCF6DDFA6DE8338BF] - (.Sun Microsystems, Inc. - Java(TM) Quick Starter Service.) -- C:\Program Files\Java\jre6\bin\jqs.exe [153376]
[MD5.91E6024D6D4DCDECDB36C43ECF9BBECB] - (.Microsoft Corporation - LSA Shell (Export Version).) -- C:\WINDOWS\System32\lsass.exe [13312]
[MD5.D6656B24F07EEBF315A10E26221A5A8B] - (.symantec - SAVRoam.) -- C:\Program Files\Symantec AntiVirus\SavRoam.exe [119904]
[MD5.C830007369E18A54AED23B5BB3AFA2BA] - (.Symantec Corporation - SPBBC Service.) -- C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe [1160848]
[MD5.460E4CE148BD07218DA0B6A3D31885A9] - (.Microsoft Corporation - Spooler SubSystem App.) -- C:\WINDOWS\system32\spoolsv.exe [57856]
[MD5.0719078DA9493A9C41938E20A3317E0F] - (.Symantec Corporation - Symantec AntiVirus.) -- C:\Program Files\Symantec AntiVirus\Rtvscan.exe [1835104]
[MD5.FBD16717FD68B206C4CE3BB3C9EE5CB3] - (.TomTom - Windows Service for TomTom HOME.) -- C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe [92008]
[MD5.025CEDE4860C91610DCBA8E700AB21D9] - (.Sony Corporation - VAIO Entertainment File Import Service.) -- C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment\VzCdb\VzFw.exe [118877]


---\\ Pages de recherche d'Internet Explorer (R1)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local


---\\ Internet Explorer URLSearchHook (R3)
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} . (.Microsoft Corporation - Internet Explorer.) (7.00.5730.13 (longhorn(wmbla).070711-1130)) -- C:\WINDOWS\system32\ieframe.dll

---\\ Browser Helper Objects de navigateur (O2)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} . (.Adobe Systems Incorporated - Adobe Acrobat IE Helper Version 7.0 for Act.) -- C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {BBF0216D-9247-4BE6-A18F-AE327C73B1B5} . (.Intel Corporation - ISR Debug 32-bit Engine.) -- c:\windows\system32\ibquigi.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Ask.com - Ask.com Toolbar.) -- C:\Program Files\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} . (.Sun Microsystems, Inc. - Java(TM) Platform SE binary.) -- C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} . (.Sun Microsystems, Inc. - Java(TM) Quick Starter binary.) -- C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: (no name) - {E9B0FA80-BE8D-43BD-A241-D3EEFB9BD9D4} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\clbcate.dll


---\\ Internet Explorer Toolbars (O3)
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Ask.com - Ask.com Toolbar.) -- C:\Program Files\Ask.com\GenericAskToolbar.dll


---\\ Applications démarrées automatiquement par le registre (O4)
O4 - HKLM\..\Run: [Apoint] . (.Alps Electric Co., Ltd. - Alps Pointing-device Driver.) -- C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ATIPTA] . (.ATI Technologies, Inc. - ATI Desktop Control Panel.) -- C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HKSERV.EXE] . (.Sony Corporation - Pas de description.) -- C:\Program Files\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [SonyPowerCfg] . (.Sony Corporation - SPM Module.) -- C:\Program Files\sony\vaio power management\SPMgr.exe
O4 - HKLM\..\Run: [Hcontrol] . (.Pas de propriétaire - HControl.) -- C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [ISBMgr.exe] . (.Sony Corporation - Pas de description.) -- C:\Program Files\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] . (.Easy Systems Japan Ltd. - ezSP_Px MFC Application.) -- C:\WINDOWS\system32\ezSP_Px.exe
O4 - HKLM\..\Run: [WinVNC] . (.RealVNC Ltd. - VNC server for Win32.) -- C:\Program Files\RealVNC\WinVNC\WinVNC.exe
O4 - HKLM\..\Run: [vptray] . (.Symantec Corporation - Symantec AntiVirus.) -- C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java(TM) Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\qttask.exe
O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] . (.TomTom - System Tray application for TomTom HOME.) -- C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\System32\CTFMON.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\System32\CTFMON.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe


---\\ Lignes supplémentaires dans le menu contextuel d'Internet Explorer (O8)
O8 - Extra context menu item: E&xporter vers Microsoft Excel . (.Microsoft Corporation - Microsoft Office Excel.) -- C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.exe


---\\ Boutons situés sur la barre d'outils principale d'Internet Explorer (O9)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} . (.Pas de propriétaire - Pas de description.) -- C:\PROGRA~1\MICROS~3\OFFICE11\REFBARH.ICO
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} . (.not file.) - (.not file.)
O9 - Extra button: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} . (.Microsoft Corporation - Windows Messenger.) -- C:\Program Files\Messenger\msmsgs.exe


---\\ Winsock hijacker (Layered Service Provider) (O10)
O10 - WLSP:\000000000001\Winsock LSP File . (.Microsoft Corporation - Fournisseur de service Sockets 2.0 de Microsoft Windows.) -- C:\WINDOWS\system32\mswsock.dll
O10 - WLSP:\000000000002\Winsock LSP File . (.Microsoft Corporation - LDAP RnR Provider DLL.) -- C:\WINDOWS\system32\winrnr.dll
O10 - WLSP:\000000000003\Winsock LSP File . (.Microsoft Corporation - Fournisseur de service Sockets 2.0 de Microsoft Windows.) -- C:\WINDOWS\system32\mswsock.dll
O10 - WLSP:\000000000004\Winsock LSP File . (.Microsoft Corporation - Windows Sockets Helper DLL.) -- C:\WINDOWS\system32\wshbth.dll
O10 - WLSP:\000000000005\Winsock LSP File . (.Apple Inc. - Bonjour Namespace Provider.) -- C:\Program Files\Bonjour\mdnsNSP.dll


---\\ Piratage de l'Option 'Rétablir les paramètres Web' (O14)
O14 - IERESET.INF: START_PAGE_URL=START_PAGE_URL=http://www.club-vaio.sony-europe.com/


---\\ Site dans la Zone de confiance d'Internet Explorer (O15)
O15 - Trusted Zone: [HKCU\...\Domains] *.sony-europe.com
O15 - Trusted Zone: [HKCU\...\Domains\www] *.sony-europe.com
O15 - Trusted Zone: [HKCU\...\Domains] *.sonystyle-europe.com
O15 - Trusted Zone: [HKCU\...\Domains\www] *.sonystyle-europe.com
O15 - Trusted Zone: [HKCU\...\Domains] *.vaio-link.com
O15 - Trusted Zone: [HKCU\...\Domains\www] *.vaio-link.com


---\\ Modification Domaine/Adresses DNS (O17)
O17 - HKLM\System\CCS\Services\Tcpip\..\{271AC382-BF47-4622-B740-31D2A71BE555}: NameServer = 192.168.59.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{271AC382-BF47-4622-B740-31D2A71BE555}: NameServer = 192.168.59.5
O17 - HKLM\System\CS2\Services\Tcpip\..\{271AC382-BF47-4622-B740-31D2A71BE555}: NameServer = 192.168.59.5


---\\ Valeur de Registre AppInit_DLLs et sous-clés Winlogon Notify (autorun) (O20)
O20 - Winlogon Notify: AtiExtEvent . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\Ati2evxx.dll
O20 - Winlogon Notify: cryptnet32 . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\cryptnet32.dll
O20 - Winlogon Notify: dimsntfy . (.Microsoft Corporation - DIMS Notification Handler.) -- C:\WINDOWS\System32\dimsntfy.dll
O20 - Winlogon Notify: NavLogon . (.Symantec Corporation - Symantec AntiVirus Logon Notification.) -- C:\WINDOWS\system32\NavLogon.dll


---\\ Clé de Registre autorun ShellServiceObjectDelayLoad (SSODL) (O21)
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} . (.Microsoft Corporation - DLL commune du shell Windows.) -- C:\WINDOWS\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} . (.Microsoft Corporation - DLL commune du shell Windows.) -- C:\WINDOWS\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} . (.Microsoft Corporation - Web Site Monitor.) -- C:\WINDOWS\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} . (.Microsoft Corporation - Objet du service d'environnement Systray.) -- C:\WINDOWS\System32\stobject.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} . (.Microsoft Corporation - Windows Portable Device Shell Service Objec.) -- C:\WINDOWS\system32\WPDShServiceObj.dll


---\\ Clé de Registre autorun SharedTaskScheduler (STS) (O22)
O22 - SharedTaskScheduler: (no name) - {8C7461EF-2B13-11d2-BE35-3078302C2030} . (.Microsoft Corporation - Bibliothèque de l'interface utilisateur du.) -- C:\WINDOWS\System32\browseui.dll

---\\ Liste des services NT non Microsoft et non désactivés (O23)
O23 - Service: Apple Mobile Device (Apple Mobile Device) . (.Apple Inc. - Apple Mobile Device Service.) - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: (Ati HotKey Poller) . (.Pas de propriétaire - Pas de description.) - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) . (.Symantec Corporation - Symantec Settings Manager Service.) - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) . (.Symantec Corporation - Virus Definition Daemon.) - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) . (.Sun Microsystems, Inc. - Java(TM) Quick Starter Service.) - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: SAVRoam (SavRoam) . (.symantec - SAVRoam.) - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) . (.Symantec Corporation - SPBBC Service.) - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus (Symantec AntiVirus) . (.Symantec Corporation - Symantec AntiVirus.) - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: TomTomHOMEService (TomTomHOMEService) . (.TomTom - Windows Service for TomTom HOME.) - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: VAIO Entertainment File Import Service (VAIO Entertainment File Import Service) . (.Sony Corporation - VAIO Entertainment File Import Service.) - C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment\VzCdb\VzFw.exe
O23 - Service: VNC Server (winvnc) . (.RealVNC Ltd. - VNC server for Win32.) - C:\Program Files\RealVNC\WinVNC\WinVNC.exe


---\\ Tâches planifiées en automatique (O39)
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job


---\\ Composants installés (ActiveSetup Installed Components) (O40)
O40 - ASIC: Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608500} . (.Sun Microsystems, Inc. - Java(TM) Platform SE binary.) -- C:\Program Files\Java\jre6\bin\regutils.dll
O40 - ASIC: NetMeeting 3.01 - {44BBA842-CC51-11CF-AAFA-00AA00B6015B} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\INF\msnetmtg.inf
O40 - ASIC: Windows Messenger 4.7 - {5945c046-1e7d-11d1-bc44-00c04fd912be} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\INF\msmsgs.inf
O40 - ASIC: Microsoft Windows Media Player - {6BF52A52-394A-11d3-B153-00C04F79FAA6} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\INF\wmp11.inf


---\\ Pilotes lancés au démarrage (O41)
O41 - Driver: Sony DMI Call service (DMICall) . (.Sony Corporation - Windows 2000 DMI Call Kernel Driver.) - C:\Windows\system32\DRIVERS\DMICall.sys
O41 - Driver: Symantec Eraser Control driver (eeCtrl) . (.Symantec Corporation - Symantec Eraser Control Driver.) - C:\Program Files\Fichiers communs\Symantec Shared\EENGINE\eeCtrl.sys
O41 - Driver: SAVRTPEL (SAVRTPEL) . (.Symantec Corporation - SAVRTPEL.) - C:\Program Files\Symantec AntiVirus\Savrtpel.sys
O41 - Driver: SPBBCDrv (SPBBCDrv) . (.Symantec Corporation - SPBBC Driver.) - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCDrv.sys


---\\ Logiciels installés (O42)
O42 - Logiciel: 32 Bit HP CIO Components Installer - (.Hewlett-Packard.) [HKLM]
O42 - Logiciel: ATI - Utilitaire de désinstallation du logiciel - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: ATI Control Panel - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: ATI Display Driver - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: ATK0100 ACPI UTILITY - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Adobe Flash Player 10 ActiveX - (.Adobe Systems Incorporated.) [HKLM]
O42 - Logiciel: Adobe Flash Player 10 Plugin - (.Adobe Systems, Inc..) [HKLM]
O42 - Logiciel: Adobe Reader 7.0 - Français - (.Adobe Systems Incorporated.) [HKLM]
O42 - Logiciel: Apple Application Support - (.Apple Inc..) [HKLM]
O42 - Logiciel: Apple Mobile Device Support - (.Apple Inc..) [HKLM]
O42 - Logiciel: Apple Software Update - (.Apple Inc..) [HKLM]
O42 - Logiciel: Ask Toolbar - (.Ask.com.) [HKLM]
O42 - Logiciel: Bonjour - (.Apple Inc..) [HKLM]
O42 - Logiciel: Click to DVD 2.1.10 - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: DVgate Plus - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Données de menu Click to DVD 2.0.01 - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Désinstallation du logiciel Lexmark - (.Lexmark International, Inc..) [HKLM]
O42 - Logiciel: Enregistrement en ligne VAIO (Français) - (.Sony Corporation.) [HKLM]
O42 - Logiciel: Free Internet Eraser 3.0 - (.PrivacyEraser Computing, Inc..) [HKLM]
O42 - Logiciel: HotKey Utility - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Hotfix for Windows Media Format 11 SDK (KB929399) - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Intel(R) PRO Network Connections Drivers - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: InterVideo WinDVD 5 for VAIO - (.InterVideo Inc..) [HKLM]
O42 - Logiciel: InterVideo WinDVDX - (.InterVideo Inc..) [HKLM]
O42 - Logiciel: Java 2 Runtime Environment, SE v1.4.2_05 - (.Sun Microsystems, Inc..) [HKLM]
O42 - Logiciel: Java(TM) 6 Update 20 - (.Sun Microsystems, Inc..) [HKLM]
O42 - Logiciel: Lecteur Windows Media 11 - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: LiveUpdate 3.1 (Symantec Corporation) - (.Symantec Corporation.) [HKLM]
O42 - Logiciel: Macromedia Flash Player - (.Macromedia, Inc..) [HKLM]
O42 - Logiciel: Memory Stick Formatter - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Microsoft Compression Client Pack 1.0 for Windows XP - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Microsoft Internationalized Domain Names Mitigation APIs - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Microsoft Kernel-Mode Driver Framework Feature Pack 1.5 - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Microsoft National Language Support Downlevel APIs - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Microsoft Office Professional Edition 2003 - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Microsoft User-Mode Driver Framework Feature Pack 1.0 - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: My Info Centre - (.Nom de votre société.) [HKLM]
O42 - Logiciel: OpenMG Limited Patch 4.0-04-07-14-01 - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: OpenMG Secure Module 4.0.00 - (.Sony Corporation.) [HKLM]
O42 - Logiciel: OpenOffice.org 3.1 - (.OpenOffice.org.) [HKLM]
O42 - Logiciel: PDFCreator - (.Frank Heindörfer, Philip Chinery.) [HKLM]
O42 - Logiciel: PhotoFiltre - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: QuickTime - (.Apple Inc..) [HKLM]
O42 - Logiciel: Realtek AC'97 Audio - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: SoftV92 Data Fax Modem - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Sonic RecordNow! - (.Sonic Solutions.) [HKLM]
O42 - Logiciel: Sony MPEG2-TS Splitter 1.0 - (.Sony Corporation.) [HKLM]
O42 - Logiciel: Sony Notebook Setup - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Sony USB Mouse - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Sony Utilities DLL - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Sony Video Shared Library - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Symantec AntiVirus - (.Symantec Corporation.) [HKLM]
O42 - Logiciel: TomTom HOME 2.7.3.1894 - (.TomTom.) [HKLM]
O42 - Logiciel: TomTom HOME Visual Studio Merge Modules - (.TomTom International B.V..) [HKLM]
O42 - Logiciel: VAIO Entertainment Platform - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: VAIO Launcher - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: VAIO Media 3.1 - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: VAIO Media Integrated Server 3.1 - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: VAIO Media Redistribution 3.1 - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: VAIO Power Management - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: VAIO TV Tuner Library 1.1 - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: VAIO Update 2 - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: VAIO Update 4 - (.Sony Corporation.) [HKLM]
O42 - Logiciel: VAIO Zone - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: VNC 3.3.7 - (.RealVNC Ltd..) [HKLM]
O42 - Logiciel: Windows Genuine Advantage Validation Tool (KB892130) - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Windows Internet Explorer 7 - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Windows Media Format 11 runtime - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Windows Media Format 11 runtime - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: Windows Media Player 11 - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Windows XP Service Pack 2 - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Windows XP Service Pack 3 - (.Microsoft Corporation.) [HKLM]
O42 - Logiciel: Wireless Switch Setting Utility - (.Pas de propriétaire.) [HKLM]
O42 - Logiciel: iTunes - (.Apple Inc..) [HKLM]
O42 - Logiciel: x-black LCD - (.Sony Corporation.) [HKLM]

---\\ HKCU & HKLM Software Keys
[HKCU\Software\ACD Systems]
[HKCU\Software\Acucorp]
[HKCU\Software\Adobe]
[HKCU\Software\Alps]
[HKCU\Software\Apple Computer, Inc.]
[HKCU\Software\Ask.com]
[HKCU\Software\AskToolbar]
[HKCU\Software\Classes]
[HKCU\Software\DivXNetworks]
[HKCU\Software\Google]
[HKCU\Software\Hewlett-Packard]
[HKCU\Software\Intel]
[HKCU\Software\InterVideo]
[HKCU\Software\JavaSoft]
[HKCU\Software\Lake]
[HKCU\Software\Lexmark]
[HKCU\Software\Local AppWizard-Generated Applications]
[HKCU\Software\Macromedia]
[HKCU\Software\Magnet]
[HKCU\Software\Mirage]
[HKCU\Software\Netscape]
[HKCU\Software\ODBC]
[HKCU\Software\ORL]
[HKCU\Software\OpenOffice.org]
[HKCU\Software\PDFCreator]
[HKCU\Software\Policies]
[HKCU\Software\Primax]
[HKCU\Software\PrivacyEraser Computing, Inc.]
[HKCU\Software\RegisteredApplications]
[HKCU\Software\Safer Networking Limited]
[HKCU\Software\Sony Corporation]
[HKCU\Software\SourceTec]
[HKCU\Software\Symantec]
[HKCU\Software\TomTom]
[HKCU\Software\VB and VBA Program Settings]
[HKCU\Software\YahooPartnerToolbar]
[HKLM\Software\ACD Systems]
[HKLM\Software\ATI Technologies Inc.]
[HKLM\Software\ATI Technologies]
[HKLM\Software\Adobe]
[HKLM\Software\Alps]
[HKLM\Software\Apple Computer, Inc.]
[HKLM\Software\Apple Inc.]
[HKLM\Software\C07ft5Y]
[HKLM\Software\CDDB]
[HKLM\Software\CXT]
[HKLM\Software\Classes]
[HKLM\Software\Clients]
[HKLM\Software\Easy Systems Japan Ltd.]
[HKLM\Software\GEAR Software]
[HKLM\Software\Gemplus]
[HKLM\Software\Google]
[HKLM\Software\Hewlett-Packard]
[HKLM\Software\Hwnfxerl]
[HKLM\Software\InstallShield]
[HKLM\Software\Intel]
[HKLM\Software\InterVideo]
[HKLM\Software\JavaSoft]
[HKLM\Software\JreMetrics]
[HKLM\Software\LEXMARK]
[HKLM\Software\Lake]
[HKLM\Software\Macromedia]
[HKLM\Software\Mirage]
[HKLM\Software\MozillaPlugins]
[HKLM\Software\Mozilla]
[HKLM\Software\ODBC]
[HKLM\Software\ORL]
[HKLM\Software\Policies]
[HKLM\Software\Primax]
[HKLM\Software\Program Groups]
[HKLM\Software\Realtek Semiconductor Corp.]
[HKLM\Software\Realtek]
[HKLM\Software\Reminder]
[HKLM\Software\Safer Networking Limited]
[HKLM\Software\Schlumberger]
[HKLM\Software\Secure]
[HKLM\Software\Sonic]
[HKLM\Software\Sony Corporation]
[HKLM\Software\Sony]
[HKLM\Software\SourceTec]
[HKLM\Software\Symantec]
[HKLM\Software\TomTom]
[HKLM\Software\UIU]
[HKLM\Software\WebTarot]
[HKLM\Software\Windows 3.1 Migration Status]
[HKLM\Software\Windows]
[HKLM\Software\mozilla.org]

vu


continue ...

mais essaye de faire des parties plus grosses ... sinon on est pas sorti de l'auberge ...

Je n'y arrive pas j'ai à chaque fois un mess de pb de connexion.
Si tu as un mail je peux t'envoyer le fichier txt je pense

---\\ Contenu des dossiers Fichiers Communs (O43)
O43 - CFD:Common File Directory ----D- C:\Program Files\Adobe
O43 - CFD:Common File Directory ----D- C:\Program Files\Apoint
O43 - CFD:Common File Directory ----D- C:\Program Files\Apple Software Update
O43 - CFD:Common File Directory ----D- C:\Program Files\Ask.com
O43 - CFD:Common File Directory ----D- C:\Program Files\ATI Technologies
O43 - CFD:Common File Directory ----D- C:\Program Files\Bonjour
O43 - CFD:Common File Directory ----D- C:\Program Files\ComPlus Applications
O43 - CFD:Common File Directory ----D- C:\Program Files\CONEXANT
O43 - CFD:Common File Directory ----D- C:\Program Files\Fichiers communs
O43 - CFD:Common File Directory ----D- C:\Program Files\Google
O43 - CFD:Common File Directory --H-D- C:\Program Files\InstallShield Installation Information
O43 - CFD:Common File Directory ----D- C:\Program Files\Intel
O43 - CFD:Common File Directory ----D- C:\Program Files\Internet Explorer
O43 - CFD:Common File Directory ----D- C:\Program Files\InterVideo
O43 - CFD:Common File Directory ----D- C:\Program Files\iPod
O43 - CFD:Common File Directory ----D- C:\Program Files\iTunes
O43 - CFD:Common File Directory ----D- C:\Program Files\Java
O43 - CFD:Common File Directory ----D- C:\Program Files\JRE
O43 - CFD:Common File Directory ----D- C:\Program Files\Lexmark_HostCD
O43 - CFD:Common File Directory ----D- C:\Program Files\Messenger
O43 - CFD:Common File Directory ----D- C:\Program Files\microsoft frontpage
O43 - CFD:Common File Directory ----D- C:\Program Files\Microsoft Office
O43 - CFD:Common File Directory ----D- C:\Program Files\Microsoft Works
O43 - CFD:Common File Directory ----D- C:\Program Files\MoodLogic
O43 - CFD:Common File Directory ----D- C:\Program Files\Movie Maker
O43 - CFD:Common File Directory ----D- C:\Program Files\MSN
O43 - CFD:Common File Directory ----D- C:\Program Files\MSN Gaming Zone
O43 - CFD:Common File Directory ----D- C:\Program Files\NetMeeting
O43 - CFD:Common File Directory ----D- C:\Program Files\OpenOffice.org 3
O43 - CFD:Common File Directory ----D- C:\Program Files\Outlook Express
O43 - CFD:Common File Directory ----D- C:\Program Files\PDFCreator
O43 - CFD:Common File Directory ----D- C:\Program Files\PhotoFiltre
O43 - CFD:Common File Directory ----D- C:\Program Files\PrivacyEraser Computing
O43 - CFD:Common File Directory ----D- C:\Program Files\QuickTime
O43 - CFD:Common File Directory ----D- C:\Program Files\RealVNC
O43 - CFD:Common File Directory ----D- C:\Program Files\Services en ligne
O43 - CFD:Common File Directory ----D- C:\Program Files\Sonic
O43 - CFD:Common File Directory ----D- C:\Program Files\sony
O43 - CFD:Common File Directory ----D- C:\Program Files\Sony Corporation

Je suis de +en+ limité...

http://www.sendspace.com/file/cuuuk3

C'est le lien sur sendspace. j'ai renommé le fichier en "essai" et changé l'extension en xls

vu pour le rappport ...


En attendant que je fasse l'analyse de ce dernier , fait ce qui suit juste pour fair un essais :

> renomme le rapport ZHPDiag.txt en essai2.bak . Puis essais l'uplaod avec SendSapce ...


poste le nouveau lien obtenu ....

Impossible de faire cette action. Tjrs un message de pv de connexion !
Au fait, merci de t'occuper de moi.

Bon


Bien infecté ...  


/!\ Pour le bon déroulement de la désinfection :

Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .

N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .

Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .

Si tu as un quelconque problème, n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).

=============================================================




On attaque ... dans l'ordre :



1- Utilisation de l'outil ZHPFix :

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

O2 - BHO: (no name) - {BBF0216D-9247-4BE6-A18F-AE327C73B1B5} . (.Intel Corporation - ISR Debug 32-bit Engine.) -- c:\windows\system32\ibquigi.dll
O2 - BHO: (no name) - {E9B0FA80-BE8D-43BD-A241-D3EEFB9BD9D4} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\clbcate.dll
O20 - Winlogon Notify: cryptnet32 . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\cryptnet32.dll
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 01/06/2010 - 13:00:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\0.log [0]
O44 - LFC:[MD5.2CA5315F58452CF015B08F06AEE3DB73] - 01/06/2010 - 13:00:16 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\shimg.dll [296501]
O44 - LFC:[MD5.00000000000000000000000000000000] - 01/06/2010 - 13:00:16 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\WindowsUpdate.log [1238218]
O44 - LFC:[MD5.00000000000000000000000000000000] - 01/06/2010 - 13:00:15 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\wiadebug.log [159]
O44 - LFC:[MD5.00000000000000000000000000000000] - 01/06/2010 - 13:00:03 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\wiaservc.log [50]
O44 - LFC:[MD5.9D1CE9645B4ACE458924B2E264E7A349] - 01/06/2010 - 12:59:43 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\crt.dat [12]
[HKLM\Software\Hwnfxerl]

> Puis Lance ZHPFix depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )


Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


Pense à réactiver tes défenses une fois la procédure terminée !...


( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


==============================

2- Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFi...
ou ici http://chiquitine.changelog.fr/UsbFix.exe

! Déconnecte toi d'internet, désactive ton antivirus et ferme toutes applications en cours !


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

# Clique sur le bouton [ Recherche ] .

-> Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

Meme procédure sendspace avec ce lien
http://www.sendspace.com/file/unuoa3

re,

essaie de faire des copier/coller pour les autres rapports stp ... utilise SendSpace uniquement pour les rapports à ralonge ...  


fait la suite

############################## | UsbFix 7.002 |

Utilisateur: PLI (Administrateur) # PO-GDI-07 [ ]
Mis à jour le 31/05/10 par El Desaparecido & C_XX
Lancé à 17:45:47 | 01/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Pentium(R) M processor 1.60GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 7.0.5730.13

Pare-feu Windows: Activé
Antivirus: Symantec AntiVirus Corporate Edition 10.1.5.5000 [(!) Disabled | Updated]

RAM -> 511 Mo
C:\ (%systemdrive%) -> Disque fixe # 28 Go (17 Go libre(s) - 61%) [VAIO] # NTFS
D:\ -> Disque fixe # 47 Go (46 Go libre(s) - 99%) [VAIO] # NTFS
F:\ -> CD-ROM
G:\ -> Disque fixe # 596 Go (8 Go libre(s) - 1%) [DATA] # NTFS

################## | Éléments infectieux |

Présent! C:\Recycler\S-1-5-21-2218362004-3678583522-3854419102-1006
Présent! D:\Recycler\S-1-5-21-2218362004-3678583522-3854419102-1006
Présent! C:\Program Files\sony\MyInfoCentre\ISP\ISP021\Narrowband\Software\BT Yahoo!\Apps\MS Java\msjavx86.exe
Présent! C:\Program Files\sony\MyInfoCentre\ISP\ISP021\Narrowband\Software\BT Yahoo!\Apps\NetHelp\Support\msjavx86.exe

################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\G
Shell\AutoRun\Command = G:\ClickMe.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{08bdc145-43aa-11df-8e7b-080046dc87b5}
Shell\AutoRun\Command = G:\chxnxyx.exe
Shell\open\Command = G:\chxnxyx.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{45eafae0-c907-11de-8e03-080046dc87b5}
Shell\AutoRun\Command = G:\InstallTomTomHOME.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{87ea228e-b960-11de-8df4-080046dc87b5}
Shell\AutoRun\Command = G:\ClickMe.exe


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

re,


on va laisser tomber usbFix pour le moment ... il semble qu'il est 2 FP dans la détection ....



fait ce qui suit :



1- Télécharge Malwarebytes :
ici http://www.commentcamarche.net/telecharger/telecharger-...
ou ici : http://www.malwarebytes.org/mbam.php
ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : http://www.malekal.com/download/comctl32.ocx )

* Potasse ce tuto pour te familiariser avec le prg :
http://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours !

* Lance 'Malwarebytes' .

Fais un examen dit " RAPIDE " .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


=================================

2- Refais un scan ZHPDiag .

* Coche bien toutes les options ( sauf les 045 et 061 )

* Au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Ci joint

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4161

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

01/06/2010 18:16:28
mbam-log-2010-06-01 (18-16-28).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 117095
Temps écoulé: 7 minute(s), 22 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\PLI\Bureau\explorer.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

http://www.sendspace.com/file/wqu8i7

pour le zhpdiag

bien ....



la suite :



1- Télécharge CCleaner :
ici http://www.infos-du-net.com/telecharger/CCleaner,0301-1...
ou ici http://www.commentcamarche.net/telecharger/telecharger-...

Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.h...


---> Utilisation :
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


================================

2- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
ou ici http://forum-aide-contre-virus.be/download/C_XX/AD-R.ex...

! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

• Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

• Au menu principal, clique directement sur le bouton [Nettoyer] .

• Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...

Note : si il t'es demandé de redémarrer le PC pour finir la procédure , fais le .


--> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


=============================

3- Refais un scan ZHPDiag .

* Coche bien toutes les options ( sauf les 045 et 061 )

* Au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 19/05/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 07:47:37 le 02/06/2010 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft Windows XP Édition familiale (Service Pack 3 - X86)
Nom du PC: PO-GDI-07
Utilisateur actuel: PLI
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
C:\Documents and Settings\PLI\Local Settings\Application Data\AskToolbar
C:\Program Files\Ask.com
C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job

(!) -- Fichiers temporaires supprimés.
.
HKCU\Software\Ask.com
HKCU\Software\AskToolbar
HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Ask.com\GenericAskToolbar.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Ask.com\UpdateTask.exe
.
.
============== SCAN ADDITIONNEL ==============
.
.
* Internet Explorer Version 7.0.5730.13 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Ad-Remover\Quarantine: 1 Fichier(s)
C:\Ad-Remover\Backup: 12 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 3710 Octet(s)
.
Fin à: 07:55:33, 02/06/2010
.
============== E.O.F - CLEAN[1] ==============

http://www.sendspace.com/file/ff4g2e

Tjrs même process (renomé + extension xls)

hello,


on avance ... mais il reste encore du job ...



la suite dans l'ordre :


1- Supprime la version de UsbFix que tu as , puis supprime ce dossier C:\UsbFix si présent .

On va reprendre avec la dernière version en ligne qui a subit quelques correctifs :


Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFi...
ou ici http://chiquitine.changelog.fr/UsbFix.exe

! Déconnecte toi d'internet, désactive ton antivirus et ferme toutes applications en cours !


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

# Clique directement sur le bouton [ Suppression ] .

-> Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html


============================


2- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<

Ferme tes applications en cours ( ainsi que ton navigateur ) .

DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe.
En effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
> Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...

Tuto ( aide ) ici : http://www.bleepingcomputer.com/combofix/fr/comment-uti...

Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<


Ensuite :
> Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


-- Pour XP, l' installation de la Console de Récupération sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gi...
*Une fois la console installée,
image > http://img.photobucket.com/albums/v706/ried7/whatnext.p...
Déconnecte toi si possible avant de cliquer sur "yes" pour lancer le scan --


Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes .
-> Si après un reboot éventuel , ton antivirus s'affole lorsque travail encore Combofix , ignore les alertes ! ( ne supprime rien et ne mets rien en quarantaine )

Le rapport sera crée ici : C:\Combofix.txt

Réactive bien tes défenses .


> Poste le rapport Combofix pour analyse et attends la suite ...

############################## | UsbFix 7.003 |

Utilisateur: PLI (Administrateur) # PO-GDI-07 [ ]
Mis à jour le 01/06/10 par El Desaparecido & C_XX
Lancé à 09:52:13 | 02/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Pentium(R) M processor 1.60GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 7.0.5730.13

Pare-feu Windows: Activé
Antivirus: Symantec AntiVirus Corporate Edition 10.1.5.5000 [(!) Disabled | Updated]

RAM -> 511 Mo
C:\ (%systemdrive%) -> Disque fixe # 28 Go (17 Go libre(s) - 61%) [VAIO] # NTFS
D:\ -> Disque fixe # 47 Go (46 Go libre(s) - 99%) [VAIO] # NTFS
F:\ -> CD-ROM
G:\ -> Disque fixe # 596 Go (8 Go libre(s) - 1%) [DATA] # NTFS

################## | Éléments infectieux |

Supprimé! G:\Autorun.inf
Supprimé! C:\Recycler\S-1-5-21-2218362004-3678583522-3854419102-1006
Supprimé! D:\Recycler\S-1-5-21-2218362004-3678583522-3854419102-1006
Supprimé! G:\Recycler\S-1-5-21-2218362004-3678583522-3854419102-1006

################## | Registre |


################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\G
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{08bdc145-43aa-11df-8e7b-080046dc87b5}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{45eafae0-c907-11de-8e03-080046dc87b5}

################## | Listing |

[02/06/2010 - 07:54:24 | D ] C:\Ad-Remover
[02/06/2010 - 07:55:33 | A | 3836] C:\Ad-Report-CLEAN[1].txt
[26/08/2004 - 14:49:27 | A | 0] C:\AUTOEXEC.BAT
[13/10/2009 - 12:58:53 | RASH | 216] C:\boot.ini
[24/04/2003 - 14:00:00 | RASH | 4952] C:\Bootfont.bin
[07/05/2010 - 07:27:51 | SHD ] C:\Config.Msi
[26/08/2004 - 14:49:27 | A | 0] C:\CONFIG.SYS
[13/10/2009 - 14:52:47 | AD ] C:\Documentation
[13/10/2009 - 12:59:16 | D ] C:\Documents and Settings
[27/08/2004 - 09:37:11 | D ] C:\Drivers
[26/08/2004 - 14:49:27 | RASH | 0] C:\IO.SYS
[18/05/2010 - 11:08:08 | D ] C:\mistral
[26/08/2004 - 14:49:27 | RASH | 0] C:\MSDOS.SYS
[27/08/2004 - 09:57:18 | RASH | 47564] C:\NTDETECT.COM
[13/10/2009 - 17:05:03 | RASH | 252240] C:\ntldr
[02/06/2010 - 09:42:12 | ASH | 805306368] C:\pagefile.sys
[02/06/2010 - 07:53:20 | RD ] C:\Program Files
[02/06/2010 - 09:57:57 | SHD ] C:\RECYCLER
[02/06/2010 - 09:52:32 | SHD ] C:\System Volume Information
[13/10/2009 - 13:42:22 | D ] C:\Update
[02/06/2010 - 09:57:54 | D ] C:\UsbFix
[02/06/2010 - 09:59:32 | A | 2462] C:\Usbfix.txt
[27/08/2004 - 12:10:20 | D ] C:\Utils
[13/10/2009 - 16:42:18 | A | 0] C:\winamp.ini
[02/06/2010 - 07:58:50 | D ] C:\WINDOWS
[01/06/2010 - 17:30:09 | A | 1360] C:\ZHPExportRegistry-01-06-2010-17-30-09.txt
[02/06/2010 - 09:25:36 | D ] D:\A
[22/12/2009 - 08:20:53 | D ] D:\Contents
[13/10/2009 - 19:07:50 | RHD ] D:\MSOCache
[02/06/2010 - 09:57:57 | SHD ] D:\RECYCLER
[02/06/2010 - 07:34:09 | SHD ] D:\System Volume Information
[22/12/2009 - 08:21:08 | D ] D:\VAIO Entertainment
[18/01/2010 - 15:22:59 | A | 1199616] G:\01Div Cim.xls
[18/06/2009 - 18:45:07 | A | 974848] G:\01Div Cim1.xls
[22/10/2007 - 18:15:21 | A | 832000] G:\1111.xls
[28/05/2010 - 08:55:13 | D ] G:\A moi
[13/10/2009 - 15:22:20 | D ] G:\AAA
[02/07/2008 - 13:38:14 | A | 3470] G:\ClickMe MAC.htm
[03/06/2008 - 13:55:34 | A | 173536] G:\ClickMe.exe
[14/09/2001 - 09:19:14 | A | 405504] G:\CRC95.EXE
[14/12/2005 - 16:09:00 | A | 5036] G:\crccheck.vbs
[02/07/2008 - 14:35:04 | A | 102995] G:\crclog.dat
[31/05/2010 - 13:13:32 | D ] G:\GESTION
[28/05/2010 - 08:56:16 | D ] G:\Mes prog
[14/07/2008 - 11:27:14 | AD ] G:\Packard Bell
[03/08/2007 - 11:45:28 | A | 308736] G:\patch_webtarot.exe
[28/05/2010 - 08:13:24 | D ] G:\Photos
[15/10/2009 - 13:55:32 | A | 656] G:\Raccourci vers ACDSee32.lnk
[02/06/2010 - 09:57:57 | SHD ] G:\RECYCLER
[31/05/2010 - 18:45:28 | SHD ] G:\System Volume Information
[13/10/2009 - 15:24:10 | D ] G:\Taroteam
[28/05/2010 - 08:54:42 | D ] G:\TRSF
[28/05/2010 - 07:34:52 | D ] G:\Vidéos
[28/05/2010 - 08:36:17 | A | 253] G:\Zarafa WebAccess.url

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
G:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PO-GDI-07.zip
http://chiquitine.changelog.fr/Sample/Upload.php
Merci de votre contribution.

################## | E.O.F |

Concernant ComboFix, quand tu dis DESACTIVE TOUTES TES DEFENSES, comment je fais ?

re,




? ... et bien comme de puis le début , tes défenses se résument à Norton ... Il faut donc que tu désactives la garde en temps réel de Norton ....

ComboFix 10-06-01.01 - PLI 02/06/2010 11:04:17.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.511.82 [GMT 2:00]
Lancé depuis: c:\documents and settings\PLI\Bureau\ComboFix.exe
AV: Symantec AntiVirus Corporate Edition *On-access scanning disabled* (Updated) {FB06448E-52B8-493A-90F3-E43226D3305C}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\pqhiaciq.sys
c:\windows\system32\drivers\rdexkrxs.sys
c:\windows\system32\ibquigi.dll
c:\windows\system32\yxwoqkj.dll

Une copie infectée de c:\windows\system32\drivers\compbatt.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack  
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_GEHVCWAP
-------\Legacy_RDEXKRXS
-------\Service_gehvcwap
-------\Service_rdexkrxs


((((((((((((((((((((((((((((( Fichiers créés du 2010-05-02 au 2010-06-02 ))))))))))))))))))))))))))))))))))))
.

2010-06-02 07:59 . 2010-06-02 07:59 6023 ----a-w- C:\UsbFix_Upload_Me_PO-GDI-07.zip
2010-06-02 07:51 . 2010-06-02 07:59 -------- d-----w- C:\UsbFix
2010-06-02 05:47 . 2010-06-02 05:54 -------- d-----w- C:\Ad-Remover
2010-06-02 05:42 . 2010-06-02 05:42 -------- d-----w- c:\program files\CCleaner
2010-06-01 16:06 . 2010-06-01 16:06 -------- d-----w- c:\documents and settings\PLI\Application Data\Malwarebytes
2010-06-01 16:05 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-06-01 16:05 . 2010-06-01 16:05 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-06-01 16:05 . 2010-06-01 16:05 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-06-01 16:05 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-06-01 12:16 . 2010-06-02 06:10 -------- d-----w- c:\program files\ZHPDiag
2010-05-28 07:39 . 2010-05-28 07:39 -------- d-----w- c:\documents and settings\All Users\Application Data\Hewlett-Packard
2010-05-25 07:07 . 2010-05-25 07:07 503808 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4309f7fe-n\msvcp71.dll
2010-05-25 07:07 . 2010-05-25 07:07 499712 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4309f7fe-n\jmc.dll
2010-05-25 07:07 . 2010-05-25 07:07 348160 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4309f7fe-n\msvcr71.dll
2010-05-25 07:07 . 2010-05-25 07:07 61440 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-131df958-n\decora-sse.dll
2010-05-25 07:07 . 2010-05-25 07:07 12800 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-131df958-n\decora-d3d.dll
2010-05-06 13:48 . 2010-05-06 13:48 -------- d-----w- c:\program files\iPod
2010-05-06 13:48 . 2010-05-06 13:49 -------- d-----w- c:\program files\iTunes
2010-05-06 13:48 . 2010-05-06 13:49 -------- d-----w- c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-05-06 13:43 . 2010-05-06 13:43 -------- d-----w- c:\program files\QuickTime
2010-05-06 13:38 . 2010-05-06 13:38 -------- d-----w- c:\program files\Bonjour
2010-05-06 13:33 . 2010-05-06 13:33 73000 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.1.1.12\SetupAdmin.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-02 07:31 . 2009-10-15 10:22 1 ----a-w- c:\documents and settings\PLI\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-05-28 06:28 . 2010-04-12 14:10 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-05-28 06:28 . 2010-04-12 14:10 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-05-27 14:56 . 2009-10-14 07:20 -------- d-----w- c:\program files\Symantec AntiVirus
2010-05-06 13:48 . 2009-10-13 16:38 -------- d-----w- c:\program files\Fichiers communs\Apple
2010-04-21 08:38 . 2004-08-27 08:26 -------- d-----w- c:\program files\Java
2010-04-16 06:33 . 2009-10-13 16:39 41472 ----a-w- c:\windows\system32\drivers\usbaapl.sys
2010-04-16 06:33 . 2009-10-13 16:39 3003680 ----a-w- c:\windows\system32\usbaaplrc.dll
2010-04-12 15:29 . 2010-04-21 08:38 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-04-08 11:20 . 2010-04-08 11:20 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-04-08 11:20 . 2010-04-08 11:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
2010-03-31 05:31 . 2010-03-31 05:31 503808 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-732f55b7-n\msvcp71.dll
2010-03-31 05:31 . 2010-03-31 05:31 499712 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-732f55b7-n\jmc.dll
2010-03-31 05:31 . 2010-03-31 05:31 348160 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-732f55b7-n\msvcr71.dll
2010-03-31 05:31 . 2010-03-31 05:31 61440 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-3e24e1dd-n\decora-sse.dll
2010-03-31 05:31 . 2010-03-31 05:31 12800 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-3e24e1dd-n\decora-d3d.dll
2010-03-31 05:29 . 2004-08-26 14:34 368314 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-31 05:29 . 2004-08-26 14:34 49054 ----a-w- c:\windows\system32\perfc00C.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2009-11-13 247144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccApp"="-" [X]
"Apoint"="c:\program files\Apoint\Apoint.exe" [2003-11-07 114688]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-07-10 339968]
"HKSERV.EXE"="c:\program files\Sony\HotKey Utility\HKserv.exe" [2004-06-29 122880]
"SonyPowerCfg"="c:\program files\sony\vaio power management\SPMgr.exe" [2004-06-29 180224]
"Hcontrol"="c:\windows\ATK0100\Hcontrol.exe" [2003-09-19 61440]
"Mouse Suite 98 Daemon"="ICO.EXE" [2002-03-14 45056]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-13 110592]
"ISBMgr.exe"="c:\program files\Sony\ISB Utility\ISBMgr.exe" [2004-02-20 32768]
"ezShieldProtector for Px"="c:\windows\system32\ezSP_Px.exe" [2002-08-20 40960]
"WinVNC"="c:\program files\RealVNC\WinVNC\WinVNC.exe" [2003-03-05 335872]
"vptray"="c:\progra~1\SYMANT~1\VPTray.exe" [2006-11-14 125536]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-28 142120]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\RealVNC\\WinVNC\\winvnc.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2967:TCP"= 2967:TCP:Symantec1
"2968:TCP"= 2968:TCP:Symantec2

R2 SavRoam;SAVRoam;c:\program files\Symantec AntiVirus\SavRoam.exe [14/11/2006 15:50 119904]
R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [13/11/2009 13:31 92008]
R2 VAIO Entertainment File Import Service;VAIO Entertainment File Import Service;c:\program files\Fichiers communs\Sony Shared\VAIO Entertainment\VzCdb\VzFw.exe [27/08/2004 11:10 118877]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [14/10/2009 09:31 102448]
R3 SPI;Sony Programmable I/O Control Device;c:\windows\system32\drivers\SonyPI.sys [30/10/2002 17:10 71961]
S3 VAIO Entertainment UPnP Client Adapter;VAIO Entertainment UPnP Client Adapter;c:\program files\Fichiers communs\Sony Shared\VAIO Entertainment\VCSW\VCSW.exe -RunBySCM --> c:\program files\Fichiers communs\Sony Shared\VAIO Entertainment\VCSW\VCSW.exe -RunBySCM [?]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - RDEXKRXS
*Deregistered* - rdexkrxs

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = hxxp://www.vaio-link.com/vu/vu2x/index.asp?u=m&h=040C
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
Trusted Zone: sony-europe.com
Trusted Zone: sonystyle-europe.com
Trusted Zone: vaio-link.com
TCP: {271AC382-BF47-4622-B740-31D2A71BE555} = 192.168.59.5
.
- - - - ORPHELINS SUPPRIMES - - - -

ShellIconOverlayIdentifiers-{BBF0216D-9247-4BE6-A18F-AE327C73B1B5} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-02 11:17
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x822EED01]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf85aaf28
\Driver\ACPI -> ACPI.sys @ 0xf84eccb8
\Driver\atapi -> atapi.sys @ 0xf8486852
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a9
ParseProcedure -> ntoskrnl.exe @ 0x8056ea15
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a9
ParseProcedure -> ntoskrnl.exe @ 0x8056ea15
NDIS: Intel(R) PRO/1000 MT Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf8392bb0
PacketIndicateHandler -> NDIS.sys @ 0xf839fa21
SendHandler -> NDIS.sys @ 0xf837d87b
user & kernel MBR OK

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ccEvtMgr]
"ImagePath"="-"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SAVRT]
"ImagePath"="-"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SNDSrvc]
"ImagePath"="-"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SYMTDI]
"ImagePath"="-"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(684)
c:\windows\system32\sxs.dll
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(208)
c:\windows\system32\ieframe.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\Ati2evxx.exe
c:\program files\Fichiers communs\Symantec Shared\ccSetMgr.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Symantec AntiVirus\DefWatch.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Symantec AntiVirus\Rtvscan.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\System32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\ICO.EXE
c:\windows\system32\rundll32.exe
c:\program files\Apoint\Apntex.exe
c:\windows\ATK0100\ATKOSD.exe
c:\program files\Sony\HotKey Utility\HKWnd.exe
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2010-06-02 11:24:01 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-06-02 09:23

Avant-CF: 18 148 728 832 octets libres
Après-CF: 18 040 471 552 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn

- - End Of File - - B36DB8E8F932DEF1DD6FDA014CEA9058

Bien ....


la dernière bestiole est corriace ...


il me faut d'autre info avant de poursuivre le nettoyage :


1- Télécharge SEAF ( de C__XX ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe
ou ici http://forum-aide-contre-virus.be/download/C_XX/SEAF.ex...

! Ferme toutes applications en cours !

Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil.

Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :

rdexkrxs,atapi.sys,NDIS.sys

Au niveau des "options des fichiers ", fait les réglages suivant :
> A "Calculer le checksum" , choisis : MD5
> Coche la case devant " Info. supplémentaire ".
> Coche la case devant " Afficher les ADS "

Au niveau des " options du registre " :
> coche " chercher également dans le registre "

( ne touche à aucun autre réglage )

Clique sur " Lancer la recherche " et laisse travailler l'outil ...

( cela peut-être plus ou moins long suivant les cas ).

--> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )

--> Copie/colle le contenu de ce rapport dans ta prochaine réponse . Si le rapport est trop long, utilise le site d'uplaod "Cijoint" pour me le faire parvenir > http://www.cijoint.fr/


==========================================

2- Télécharge gmer sur le bureau et dézippe-le (clic droit et "extraire ici") :

http://www.gmer.net/gmer.zip

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( naviguateurs compris ) !!

* Double-clique sur gmer.exe pour lancer l'outil.
* Met toi bien sur l'onglet "rootkit".
* A droite, au niveau des options vérifie que tout soit bien coché.
* puis clique sur scan .

> laisse travailler et ne touche à rien ! ( cela est relativement long, donc patience ... )

* A la fin du scan, clique sur le bouton copy.
* Puis va dans le menu "démarrer"> "programmes" > accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.

> poste le rapport via "cijoint" stp ...

1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 12:12:09 le 02/06/2010
4.
5. Valeur(s) recherchée(s):
6.
7. rdexkrxs
8. atapi.sys
9. NDIS.sys
10.
11. (!) --- Calcul du Hash "MD5"
12. (!) --- Affichage des ADS
13. (!) --- Informations supplémentaires
14. (!) --- Recherche registre
15.
16. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
17.
18. "c:\WINDOWS\system32\ReinstallBackups\0004\DriverFiles\i386\atapi.sys" [ ----A---- | 86912 ]
19. TC: 26/08/2004,15:19:15 | TM: 24/04/2003,14:00:00 | DA: 26/08/2004,15:19:15
20. MD5: 95b858761a00e1d4f81f79a0da019aca
21.
22.
23. CompagnyName: Microsoft Corporation
24. ProductName: Microsoft® Windows® Operating System
25. InternalName: atapi.sys
26. OriginalFilename: atapi.sys
27. LegalCopyright: © Microsoft Corporation. All rights reserved.
28. ProductVersion: 5.1.2600.1106
29. FileVersion: 5.1.2600.1106 (xpsp1.020828-1920)
30.
31. =========================
32.
33. "c:\WINDOWS\system32\drivers\atapi.sys" [ ----A---- | 96512 ]
34. TC: 26/08/2004,15:19:16 | TM: 13/04/2008,11:40:32 | DA: 02/06/2010,11:20:42
35. MD5: 9f3a2f5aa6875c72bf062c712cfa2674
36.
37.
38. CompagnyName: Microsoft Corporation
39. ProductName: Microsoft® Windows® Operating System
40. InternalName: atapi.sys
41. OriginalFilename: atapi.sys
42. LegalCopyright: © Microsoft Corporation. All rights reserved.
43. ProductVersion: 5.1.2600.5512
44. FileVersion: 5.1.2600.5512 (xpsp.080413-2108)
45.
46. =========================
47.
48. "c:\WINDOWS\system32\drivers\ndis.sys" [ ----A---- | 182656 ]
49. TC: 26/08/2004,16:34:24 | TM: 13/04/2008,12:20:38 | DA: 02/06/2010,11:20:43
50. MD5: 1df7f42665c94b825322fae71721130d
51.
52.
53. CompagnyName: Microsoft Corporation
54. ProductName: Microsoft® Windows® Operating System
55. InternalName: NDIS.SYS
56. OriginalFilename: NDIS.SYS
57. LegalCopyright: © Microsoft Corporation. All rights reserved.
58. ProductVersion: 5.1.2600.5512
59. FileVersion: 5.1.2600.5512 (xpsp.080413-0852)
60.
61. =========================
62.
63. "c:\WINDOWS\system32\drivers\symndis.sys" [ ----A---- | 28352 ]
64. TC: 07/08/2006,16:02:14 | TM: 07/08/2006,16:02:14 | DA: 02/06/2010,11:09:29
65. MD5: b1f616c31575da1535c2a7823c112182
66.
67.
68. CompagnyName: Symantec Corporation
69. ProductName: Symantec Security Drivers
70. InternalName: SYMNDIS
71. OriginalFilename: SYMNDIS
72. LegalCopyright: Copyright 2002 - 2006 Symantec Corporation
73. ProductVersion: 6.0
74. FileVersion: 6.0.4.402
75.
76. =========================
77.
78. "c:\WINDOWS\ServicePackFiles\i386\atapi.sys" [ ----A---- | 96512 ]
79. TC: 27/08/2004,10:02:03 | TM: 13/04/2008,11:40:32 | DA: 13/10/2009,17:10:58
80. MD5: 9f3a2f5aa6875c72bf062c712cfa2674
81.
82.
83. CompagnyName: Microsoft Corporation
84. ProductName: Microsoft® Windows® Operating System
85. InternalName: atapi.sys
86. OriginalFilename: atapi.sys
87. LegalCopyright: © Microsoft Corporation. All rights reserved.
88. ProductVersion: 5.1.2600.5512
89. FileVersion: 5.1.2600.5512 (xpsp.080413-2108)
90.
91. =========================
92.
93. "c:\WINDOWS\ServicePackFiles\i386\ndis.sys" [ ----A---- | 182656 ]
94. TC: 27/08/2004,10:02:00 | TM: 13/04/2008,12:20:38 | DA: 13/10/2009,17:10:52
95. MD5: 1df7f42665c94b825322fae71721130d
96.
97.
98. CompagnyName: Microsoft Corporation
99. ProductName: Microsoft® Windows® Operating System
100. InternalName: NDIS.SYS
101. OriginalFilename: NDIS.SYS
102. LegalCopyright: © Microsoft Corporation. All rights reserved.
103. ProductVersion: 5.1.2600.5512
104. FileVersion: 5.1.2600.5512 (xpsp.080413-0852)
105.
106. =========================
107.
108. "c:\WINDOWS\ERDNT\cache\atapi.sys" [ ----A---- | 96512 ]
109. TC: 02/06/2010,11:20:54 | TM: 13/04/2008,11:40:32 | DA: 02/06/2010,11:20:54
110. MD5: 9f3a2f5aa6875c72bf062c712cfa2674
111.
112.
113. CompagnyName: Microsoft Corporation
114. ProductName: Microsoft® Windows® Operating System
115. InternalName: atapi.sys
116. OriginalFilename: atapi.sys
117. LegalCopyright: © Microsoft Corporation. All rights reserved.
118. ProductVersion: 5.1.2600.5512
119. FileVersion: 5.1.2600.5512 (xpsp.080413-2108)
120.
121. =========================
122.
123. "c:\WINDOWS\ERDNT\cache\ndis.sys" [ ----A---- | 182656 ]
124. TC: 02/06/2010,11:20:55 | TM: 13/04/2008,12:20:38 | DA: 02/06/2010,11:20:55
125. MD5: 1df7f42665c94b825322fae71721130d
126.
127.
128. CompagnyName: Microsoft Corporation
129. ProductName: Microsoft® Windows® Operating System
130. InternalName: NDIS.SYS
131. OriginalFilename: NDIS.SYS
132. LegalCopyright: © Microsoft Corporation. All rights reserved.
133. ProductVersion: 5.1.2600.5512
134. FileVersion: 5.1.2600.5512 (xpsp.080413-0852)
135.
136. =========================
137.
138. "c:\WINDOWS\$NtServicePackUninstall$\atapi.sys" [ ----C---- | 95360 ]
139. TC: 13/10/2009,17:00:27 | TM: 03/08/2004,22:59:44 | DA: 13/10/2009,17:00:27
140. MD5: cdfe4411a69c224bd1d11b2da92dac51
141.
142.
143. CompagnyName: Microsoft Corporation
144. ProductName: Microsoft® Windows® Operating System
145. InternalName: atapi.sys
146. OriginalFilename: atapi.sys
147. LegalCopyright: © Microsoft Corporation. All rights reserved.
148. ProductVersion: 5.1.2600.2180
149. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
150.
151. =========================
152.
153. "c:\WINDOWS\$NtServicePackUninstall$\ndis.sys" [ ----C---- | 182912 ]
154. TC: 13/10/2009,17:00:25 | TM: 03/08/2004,23:14:30 | DA: 13/10/2009,17:00:25
155. MD5: 558635d3af1c7546d26067d5d9b6959e
156.
157.
158. CompagnyName: Microsoft Corporation
159. ProductName: Microsoft® Windows® Operating System
160. InternalName: NDIS.SYS
161. OriginalFilename: NDIS.SYS
162. LegalCopyright: © Microsoft Corporation. All rights reserved.
163. ProductVersion: 5.1.2600.2180
164. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
165.
166. =========================
167.
168. "c:\Qoobox\Quarantine\Registry_backups\Legacy_RDEXKRXS.reg.dat" [ ----A---- | 1276 ]
169. TC: 02/06/2010,11:11:51 | TM: 02/06/2010,11:11:51 | DA: 02/06/2010,11:11:51
170. MD5: 702e093c87fba9fdab8079c1948102bb
171.
172.
173.
174. =========================
175.
176. "c:\Qoobox\Quarantine\Registry_backups\Service_rdexkrxs.reg.dat" [ ----A---- | 5728 ]
177. TC: 02/06/2010,11:11:53 | TM: 02/06/2010,11:11:53 | DA: 02/06/2010,11:11:53
178. MD5: cbf5ed8f80483e9672b97ccb829a163f
179.
180.
181.
182. =========================
183.
184. "c:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\rdexkrxs.sys.vir" [ ----A---- | 23424 ]
185. TC: 26/08/2004,16:34:26 | TM: 24/04/2003,14:00:00 | DA: 27/05/2010,16:00:38
186. MD5: 81b8d354400a6b0df204264fece28687
187.
188.
189.
190. =========================
191.
192. "c:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\_rdexkrxs_.sys.zip" [ ----A---- | 11443 ]
193. TC: 02/06/2010,11:13:18 | TM: 02/06/2010,11:13:18 | DA: 02/06/2010,11:13:18
194. MD5: 62278d1974a62405a5c81900bdf76dd3
195.
196.
197.
198. =========================
199.
200. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
201.
202. Aucun dossier trouvé
203.
204.
205. ====== Entrée(s) du registre ======
206.
207.
208.
209. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDEXKRXS\0000]
210. "DeviceDesc"="rdexkrxs"
211.
212. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDEXKRXS\0000]
213. "Service"="rdexkrxs"
214.
215. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDEXKRXS\0000\Control]
216. "ActiveService"="rdexkrxs"
217.
218. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_BEEP\xx_rdexkrxs_xx]
219. "Service"="rdexkrxs"
220.
221. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDEXKRXS\0000]
222. "DeviceDesc"="rdexkrxs"
223.
224. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDEXKRXS\0000]
225. "Service"="rdexkrxs"
226.
227. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDEXKRXS\0000]
228. "DeviceDesc"="rdexkrxs"
229.
230. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDEXKRXS\0000]
231. "Service"="rdexkrxs"
232.
233. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDEXKRXS\0000\Control]
234. "ActiveService"="rdexkrxs"
235.
236.
237.
238. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\atapi]
239. "ImagePath"="System32\DRIVERS\atapi.sys"
240.
241. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\atapi]
242. "ImagePath"="System32\DRIVERS\atapi.sys"
243.
244. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\atapi]
245. "ImagePath"="System32\DRIVERS\atapi.sys"
246.
247.
248.
249. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\182597B7975B362458E1A1DCD1EC1D73]
250. "89FCFC336D8F94544B96F6245976D638"="C:\WINDOWS\system32\Drivers\symndis.sys"
251.
252. =========================
253.
254. Fin à: 12:18:24 le 02/06/2010 ( E.O.F )

Rapport GMER sur sendspace
http://www.sendspace.com/file/mbkkw8

bien ...


c'est ce qu'il me semblait ...

reste des fichiers systèmes patchés ....


il me des infos suplémantaire sur compbatt.sys


refait ceci donc :


! Ferme toutes applications en cours !

Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil.

Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :

compbatt.sys

Au niveau des "options des fichiers ", fait les réglages suivant :
> A "Calculer le checksum" , choisis : MD5
> Coche la case devant " Info. supplémentaire ".
> Coche la case devant " Afficher les ADS "

( ne touche à aucun autre réglage )

Clique sur " Lancer la recherche " et laisse travailler l'outil ...

( cela peut-être plus ou moins long suivant les cas ).

--> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )

1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 13:53:07 le 02/06/2010
4.
5. Valeur(s) recherchée(s):
6.
7. compbatt.sys
8.
9. (!) --- Calcul du Hash "MD5"
10. (!) --- Affichage des ADS
11. (!) --- Informations supplémentaires
12. (!) --- Recherche registre
13.
14. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
15.
16. "c:\WINDOWS\system32\drivers\compbatt.sys" [ ----A---- | 10240 ]
17. TC: 26/08/2004,15:45:09 | TM: 13/04/2008,11:36:38 | DA: 02/06/2010,12:22:27
18. MD5: 6e4c9f21f0fae8940661144f41b13203
19.
20.
21. CompagnyName: Microsoft Corporation
22. ProductName: Microsoft® Windows® Operating System
23. InternalName: compbatt.sys
24. OriginalFilename: compbatt.sys
25. LegalCopyright: © Microsoft Corporation. All rights reserved.
26. ProductVersion: 5.1.2600.5512
27. FileVersion: 5.1.2600.5512 (xpsp.080413-2111)
28.
29. =========================
30.
31. "c:\WINDOWS\ServicePackFiles\i386\compbatt.sys" [ ----N---- | 10240 ]
32. TC: 13/10/2009,17:09:39 | TM: 13/04/2008,11:36:38 | DA: 13/10/2009,17:09:39
33. MD5: 6e4c9f21f0fae8940661144f41b13203
34.
35.
36. CompagnyName: Microsoft Corporation
37. ProductName: Microsoft® Windows® Operating System
38. InternalName: compbatt.sys
39. OriginalFilename: compbatt.sys
40. LegalCopyright: © Microsoft Corporation. All rights reserved.
41. ProductVersion: 5.1.2600.5512
42. FileVersion: 5.1.2600.5512 (xpsp.080413-2111)
43.
44. =========================
45.
46. "c:\WINDOWS\$NtServicePackUninstall$\compbatt.sys" [ ----C---- | 9344 ]
47. TC: 13/10/2009,17:00:26 | TM: 17/08/2001,22:58:00 | DA: 13/10/2009,17:00:26
48. MD5: df1b1a24bf52d0ebc01ed4ece8979f50
49.
50.
51. CompagnyName: Microsoft Corporation
52. ProductName: Microsoft® Windows® Operating System
53. InternalName: compbatt.sys
54. OriginalFilename: compbatt.sys
55. LegalCopyright: © Microsoft Corporation. All rights reserved.
56. ProductVersion: 5.1.2600.0
57. FileVersion: 5.1.2600.0 (xpclient.010817-1148)
58.
59. =========================
60.
61. "c:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\compbatt.sys.vir" [ ----A---- | 10240 ]
62. TC: 26/08/2004,15:45:09 | TM: 13/04/2008,11:36:38 | DA: 02/06/2010,11:04:00
63. MD5: b544197ffcefdabec6fc0e5ba2928e6a
64.
65.
66.
67. =========================
68.
69. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
70.
71. Aucun dossier trouvé
72.
73.
74. ====== Entrée(s) du registre ======
75.
76.
77.
78. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Compbatt]
79. "ImagePath"="System32\DRIVERS\compbatt.sys"
80.
81. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Compbatt]
82. "ImagePath"="System32\DRIVERS\compbatt.sys"
83.
84. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Compbatt]
85. "ImagePath"="System32\DRIVERS\compbatt.sys"
86.
87. =========================
88.
89. Fin à: 13:58:11 le 02/06/2010 ( E.O.F )

bien ...



voilà comment on va procéder dans un premier temps :



1- Créer un doc texte sur ton bureau :

Pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RDEXKRXS]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_BEEP\xx_rdexkrxs_xx]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RDEXKRXS]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDEXKRXS]

Driver::
rdexkrxs

Fcopy::
c:\WINDOWS\ServicePackFiles\i386\compbatt.sys | C:\skeC.bak
c:\WINDOWS\ServicePackFiles\i386\atapi.sys | C:\skeA.bak

Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : CFScript puis valide ...



2- Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--> Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

Regarde ici :


Cette manipulation va relancer Combofix !

Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

! Ne touches à rien tant que le scan n'est pas terminé !

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

-> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse et attends la suite ...


( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


================================

PS : je dois partir ... donc poste le rapport obtenu et je te dis à ce soir pour la suite ...  

ComboFix 10-06-01.03 - PLI 02/06/2010 14:44:34.2.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.511.227 [GMT 2:00]
Lancé depuis: c:\documents and settings\PLI\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\PLI\Bureau\CFScript.txt
AV: Symantec AntiVirus Corporate Edition *On-access scanning disabled* (Updated) {FB06448E-52B8-493A-90F3-E43226D3305C}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

Une copie infectée de c:\windows\system32\drivers\compbatt.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack  
.
--------------- FCopy ---------------

c:\windows\ServicePackFiles\i386\compbatt.sys --> C:\skeC.bak
c:\windows\ServicePackFiles\i386\atapi.sys --> C:\skeA.bak
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_RDEXKRXS


((((((((((((((((((((((((((((( Fichiers créés du 2010-05-02 au 2010-06-02 ))))))))))))))))))))))))))))))))))))
.

2010-06-02 10:11 . 2010-06-02 11:58 -------- d-----w- c:\program files\SEAF
2010-06-02 07:59 . 2010-06-02 07:59 6023 ----a-w- C:\UsbFix_Upload_Me_PO-GDI-07.zip
2010-06-02 07:51 . 2010-06-02 07:59 -------- d-----w- C:\UsbFix
2010-06-02 05:47 . 2010-06-02 05:54 -------- d-----w- C:\Ad-Remover
2010-06-02 05:42 . 2010-06-02 05:42 -------- d-----w- c:\program files\CCleaner
2010-06-01 16:06 . 2010-06-01 16:06 -------- d-----w- c:\documents and settings\PLI\Application Data\Malwarebytes
2010-06-01 16:05 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-06-01 16:05 . 2010-06-01 16:05 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-06-01 16:05 . 2010-06-01 16:05 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-06-01 16:05 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-06-01 12:16 . 2010-06-02 06:10 -------- d-----w- c:\program files\ZHPDiag
2010-05-28 07:39 . 2010-05-28 07:39 -------- d-----w- c:\documents and settings\All Users\Application Data\Hewlett-Packard
2010-05-25 07:07 . 2010-05-25 07:07 503808 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4309f7fe-n\msvcp71.dll
2010-05-25 07:07 . 2010-05-25 07:07 499712 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4309f7fe-n\jmc.dll
2010-05-25 07:07 . 2010-05-25 07:07 348160 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4309f7fe-n\msvcr71.dll
2010-05-25 07:07 . 2010-05-25 07:07 61440 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-131df958-n\decora-sse.dll
2010-05-25 07:07 . 2010-05-25 07:07 12800 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-131df958-n\decora-d3d.dll
2010-05-06 13:48 . 2010-05-06 13:48 -------- d-----w- c:\program files\iPod
2010-05-06 13:48 . 2010-05-06 13:49 -------- d-----w- c:\program files\iTunes
2010-05-06 13:48 . 2010-05-06 13:49 -------- d-----w- c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-05-06 13:43 . 2010-05-06 13:43 -------- d-----w- c:\program files\QuickTime
2010-05-06 13:38 . 2010-05-06 13:38 -------- d-----w- c:\program files\Bonjour
2010-05-06 13:33 . 2010-05-06 13:33 73000 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.1.1.12\SetupAdmin.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-02 07:31 . 2009-10-15 10:22 1 ----a-w- c:\documents and settings\PLI\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-05-28 06:28 . 2010-04-12 14:10 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-05-28 06:28 . 2010-04-12 14:10 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-05-27 14:56 . 2009-10-14 07:20 -------- d-----w- c:\program files\Symantec AntiVirus
2010-05-06 13:48 . 2009-10-13 16:38 -------- d-----w- c:\program files\Fichiers communs\Apple
2010-04-21 08:38 . 2004-08-27 08:26 -------- d-----w- c:\program files\Java
2010-04-16 06:33 . 2009-10-13 16:39 41472 ----a-w- c:\windows\system32\drivers\usbaapl.sys
2010-04-16 06:33 . 2009-10-13 16:39 3003680 ----a-w- c:\windows\system32\usbaaplrc.dll
2010-04-12 15:29 . 2010-04-21 08:38 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-04-08 11:20 . 2010-04-08 11:20 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-04-08 11:20 . 2010-04-08 11:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
2010-03-31 05:31 . 2010-03-31 05:31 503808 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-732f55b7-n\msvcp71.dll
2010-03-31 05:31 . 2010-03-31 05:31 499712 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-732f55b7-n\jmc.dll
2010-03-31 05:31 . 2010-03-31 05:31 348160 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-732f55b7-n\msvcr71.dll
2010-03-31 05:31 . 2010-03-31 05:31 61440 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-3e24e1dd-n\decora-sse.dll
2010-03-31 05:31 . 2010-03-31 05:31 12800 ----a-w- c:\documents and settings\PLI\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-3e24e1dd-n\decora-d3d.dll
2010-03-31 05:29 . 2004-08-26 14:34 368314 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-31 05:29 . 2004-08-26 14:34 49054 ----a-w- c:\windows\system32\perfc00C.dat
.

((((((((((((((((((((((((((((( SnapShot@2010-06-02_09.18.11 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-06-02 12:54 . 2010-06-02 12:54 16384 c:\windows\Temp\Perflib_Perfdata_450.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2009-11-13 247144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccApp"="-" [X]
"Apoint"="c:\program files\Apoint\Apoint.exe" [2003-11-07 114688]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-07-10 339968]
"HKSERV.EXE"="c:\program files\Sony\HotKey Utility\HKserv.exe" [2004-06-29 122880]
"SonyPowerCfg"="c:\program files\sony\vaio power management\SPMgr.exe" [2004-06-29 180224]
"Hcontrol"="c:\windows\ATK0100\Hcontrol.exe" [2003-09-19 61440]
"Mouse Suite 98 Daemon"="ICO.EXE" [2002-03-14 45056]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-13 110592]
"ISBMgr.exe"="c:\program files\Sony\ISB Utility\ISBMgr.exe" [2004-02-20 32768]
"ezShieldProtector for Px"="c:\windows\system32\ezSP_Px.exe" [2002-08-20 40960]
"WinVNC"="c:\program files\RealVNC\WinVNC\WinVNC.exe" [2003-03-05 335872]
"vptray"="c:\progra~1\SYMANT~1\VPTray.exe" [2006-11-14 125536]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-28 142120]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\RealVNC\\WinVNC\\winvnc.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2967:TCP"= 2967:TCP:Symantec1
"2968:TCP"= 2968:TCP:Symantec2

R2 SavRoam;SAVRoam;c:\program files\Symantec AntiVirus\SavRoam.exe [14/11/2006 15:50 119904]
R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [13/11/2009 13:31 92008]
R2 VAIO Entertainment File Import Service;VAIO Entertainment File Import Service;c:\program files\Fichiers communs\Sony Shared\VAIO Entertainment\VzCdb\VzFw.exe [27/08/2004 11:10 118877]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [14/10/2009 09:31 102448]
R3 SPI;Sony Programmable I/O Control Device;c:\windows\system32\drivers\SonyPI.sys [30/10/2002 17:10 71961]
S3 VAIO Entertainment UPnP Client Adapter;VAIO Entertainment UPnP Client Adapter;c:\program files\Fichiers communs\Sony Shared\VAIO Entertainment\VCSW\VCSW.exe -RunBySCM --> c:\program files\Fichiers communs\Sony Shared\VAIO Entertainment\VCSW\VCSW.exe -RunBySCM [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = hxxp://www.vaio-link.com/vu/vu2x/index.asp?u=m&h=040C
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
Trusted Zone: sony-europe.com
Trusted Zone: sonystyle-europe.com
Trusted Zone: vaio-link.com
TCP: {271AC382-BF47-4622-B740-31D2A71BE555} = 192.168.59.5
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-02 14:55
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x822DFD01]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf859af28
\Driver\ACPI -> ACPI.sys @ 0xf84eccb8
\Driver\atapi -> atapi.sys @ 0xf8486852
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a9
ParseProcedure -> ntoskrnl.exe @ 0x8056ea15
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a9
ParseProcedure -> ntoskrnl.exe @ 0x8056ea15
NDIS: Intel(R) PRO/1000 MT Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf8392bb0
PacketIndicateHandler -> NDIS.sys @ 0xf839fa21
SendHandler -> NDIS.sys @ 0xf837d87b
user & kernel MBR OK

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ccEvtMgr]
"ImagePath"="-"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SAVRT]
"ImagePath"="-"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SNDSrvc]
"ImagePath"="-"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SYMTDI]
"ImagePath"="-"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(688)
c:\windows\system32\sxs.dll
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3784)
c:\windows\system32\ieframe.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\Ati2evxx.exe
c:\program files\Fichiers communs\Symantec Shared\ccSetMgr.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Symantec AntiVirus\DefWatch.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Symantec AntiVirus\Rtvscan.exe
c:\windows\System32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\ICO.EXE
c:\windows\system32\rundll32.exe
c:\windows\ATK0100\ATKOSD.exe
c:\program files\Sony\HotKey Utility\HKWnd.exe
c:\program files\Apoint\Apntex.exe
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2010-06-02 15:02:49 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-06-02 13:02
ComboFix2.txt 2010-06-02 09:24

Avant-CF: 18 024 312 832 octets libres
Après-CF: 17 993 977 856 octets libres

- - End Of File - - D3219D8E77F7A249644E1B36267C7645

C'est apparement très grave, j'espère que ce sera bientot la fin et je te remercie de me consacrer du temps. Chapeau !

Je ne serai pas dispo ce soir mais je serai dispo demain matin...Bonne soirée

re,


la suite dans l'ordre :



1- Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

Rends toi sur cette page > http://www.cijoint.fr/cj201006/cijQrqeeSs.txt

copie/colle tout le texte qui s'y trouve ( et rien d'autre!) dans le fichier texte que tu viens de créer :

Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : Remove puis valide ... ( sauvegarde le bien sur le bureau )



2- Télécharge The Avenger (de Swandog46) :
> http://swandog46.geekstogo.com/avenger2/download.php

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe !!

Dézippe le sur ton Bureau.

Double clique sur l’exécutable puis fais "ok".

Sélectionne Load Script from File et clique sur l'cône en forme de dossier à droite.

Sélectionne ton fichier Remove.txt se trouvant sur le Bureau.

Clique sur le feu vert puis sur oui pour lancer le scan ...

Le programme va te demander de redémarrer ton pc, accepte.

-> Une fois termniné, poste le rapport C:\avenger.txt pour analyse et attends la suite ...


( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

Bjr
Il n'y a pas de feu vert et de "oui" mais seulement un "execute" dans avenger
De plus ds le texte à copier, faut il laisser "Files to move :"

hello,

l'outil à changer récemment ... faut que je modifie mes manipe ....  


alors :
* clique sur l'cône en forme de dossier à gauche ( "Load Script from File" )
* Sélectionne ton fichier Remove.txt se trouvant sur le Bureau.
* cohce les deux case en bas ( "scan for rootkit" et "automatically disable..." )

-> Puis clique sur [execute] pour lancer le nettoyage . Touche à rien et laisse faire .
Le programme va te demander de redémarrer ton pc, accepte.

-> Une fois termniné, poste le rapport C:\avenger.txt pour analyse et attends la suite ...

Petit précision, depuis le début mon autoprotect de symantec ne démarre plus. Il ne démarrait dailleurs plus avant que je te contacte.

Ci-joint rapport avenger

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File move operation "C:\skeC.bak|C:\WINDOWS\system32\drivers\compbatt.sys" completed successfully.
File move operation "C:\skeA.bak|C:\WINDOWS\system32\drivers\atapi.sys" completed successfully.

Completed script processing.

*******************

Finished! Terminate.

re,


il y a un prb effectivement avec Norton ... on verra ce la après ... ^^


le rapport de the Avenger est encourageant ...


Redémarre une nouvelle fois le PC et fait ce qui suit pour contrôle :



1- !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( naviguateurs compris ) !!

* Double-clique sur gmer.exe pour lancer l'outil.
* Met toi bien sur l'onglet "rootkit".
* vérifie que toutes les options à droite soient cochées .
* puis clique sur scan .

> laisse travailler et ne touche à rien ! ( cela est relativement long, donc patience ... )

* A la fin du scan, clique sur le bouton copy.
* Puis va dans le menu "démarrer"> "programmes" > accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.

> poste le contenu du rapport stp ...


=============================

2- Refais un scan ZHPDiag .

* Coche bien toutes les options ( sauf les 045 et 061 )

* Au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Voici le rapport gmer

http://www.sendspace.com/file/n50kzd

Et voici le ZHPDiag

http://www.sendspace.com/file/2bb293

Crois tu que ce sera encore long ou voit -on le bout du tunnel ?

bon,




je crois qu'on y est ...  


dis moi comment va le PC maintenant ?... du mieux ?

Et Norton , toujours bloqué ou pas ? ....


J'attends quelques infos de la part des confrères sur le dernier rapport GMER, dont j'ai quelques doute sur certaines parties du rapport ... Ensuite je te donnerai la suite des opérations ...  

Norton toujours bloqué, oui.
Le PC va apparement mieux.
Il faut que je te précise que je suis sur un portable relié à un réseau sur lequel il doit y avoir Norton. Je ne suis qu'utilisateur de ce réseau (je suis en entreprise).

Pour le reste, pourras tu me préciser ce qu'il faut faire à l'avenir pour éviter ce genre de désagrément ! (sachant que j'ai du chopé ce ou ces virus alors que j'étais semble-t-il "protégé" par Norton).

Que faudra t il faire des programmes que j'ai téléchargé : Malwarebytes, ZHPDiag, ZHPFix, CCleaner, USBFix, ComboFix, SEAF, GMER, Avenger...et comment les supprimer proprement si il le faut.

Encore merci pour l'énorme travail que tu fais et heureusement qu'il existe des gens comme toi pour aider les "basics" comme moi.

re,


* Pour Norton , il faudrait dans ce cas là que tu vois avec l'administrateur réseau de l'entreprise pour qu'il te le réinstalle propre , c'est peut-être plus simple ...


* le gros des merdes que tu as attrapées , c'est uniquement dû à de mauvaises habitudes sur le net ...
Tu ( ou quelqu'un d'autre avec ce PC ) as choppé cela soit par des "Exploit" en surfant simplement sur des sites louches , soit en téléchargeant de faux codec pour voir une vidéo à la con , soit en téléchargeant un crack / keygen foireux ...

* Pour les outils qu'on a utilisés , t'inquiète , ils seront nettoyés proprement en temps et en heures ... n'y touche pas pour le moment ...  
( CCLeaner et Malwarebtes , faut garder ! )


* Mais il reste encore du travail : utlime vérife , purge de la restauration systeme qui est vérolée , palier aux failles de sécurité du PC, etc ... ( des petites formalités quoi )

* J'attends les news des potos pour le dernier rapport GMER et je te donne la suite dès que possible ...


A tout'