[Resolu] Virus???

Salut,


on va regarder de quoi il retourne ...


fait ce qui suit pour avoir un diagnostique du PC :


Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> http://telechargement.zebulon.fr/zhpdiag.html

!! déconnecte toi et ferme toutes tes applications en cours !!

Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "exécuter en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" ( afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ).

A la fin de l'installe , laisse bien la case "exécuter ZHPDiag" cochée et clique sur "Terminé " > l'outil se lancera donc automatiquement .

Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite :

Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .

Clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days

Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

> Laisses travailler l'outil ...
( Cela peut durer quelques minutes. Si ton antivirus donne des alertes durant le scan, ignore les et ne mets rien en quarantaine pour le moment ! )

Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau.

Ferme le programme ...


> Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .

Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...

Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

quand je clique sur "cliquer ici pour déposer le fichier" ça me dit "internet exploreur ne peut pas afficher cette page web"

excuse moi pour la lenteur mais je suis obligée de redémarrer mon ordi sans arrêt car il plante

Bon ...


essaye de m'uplaoder ce rapport avec cet autre site > http://www.sendspace.com/

copie/colle le lien obtenu si cela a fonctionné ...

ça me fait pareil

Re,

est-ce que tu sais 'zippez' un document ?

hélas pas assez performante!!! mais si tu me donnes la marche à suivre je pense pouvoir y arriver mais il faut un logiciel pour ça non?

re,


disons que WinZip est payant et n'est pas forcement sur toutes les machines ... Déjà, as tu ce prg ?

non j'ai pas

qu'est-ce-que tu penses de FreeCompressor apparement un logiciel gratuit

pas grave ,


on va utiliser un autre logiciel ...


je t'explique pourquoi il faut archiver le rapport > je soupçonne une infection particulière qui dans ces dernières variantes fait planter le navigateur lorsque l'on veux uplaoder un .txt via des sites connus comme Cijoint pour emmerder le plus possible tout ceux qui souhaitent se faire aider sur des forums ...
Le faite d'archiver le .txt va permettre de contourner l'action du malaware et tu devrais pouvoir me faire parvenir cette archive


donc fait ceci :


Télécharge et installe 7-Zip ( gratuit ) :

http://www.infos-du-net.com/telecharger/7Zip,0301-2838....

Ne modifie pas les paramètres d'installe.

une fois le prg installer, tu cliques droit sur ZHPDiag.txt qui est sur ton bureau .
-> tu choisis "7-zip" / "ajouer à l'archive...".
-> dans la fenêtre qui apparait ensuite , ne touche à aucun réglage et clique sur [OK].

Tu verras alors apparaitre sur ton bureau un fichier archivé nommé ZHPDiag.7z



Ensuite , essaye de me faire parvenir cette archive avec le site de SendSpace > http://www.sendspace.com/

http://www.sendspace.com/file/gqzd84
<a href='http://www.sendspace.com/file/gqzd84'>http://www.sendspace.com/file/gqzd84&lt;/a>
http://www.sendspace.com/delete/gqzd84/5e3077e29b8faa96...
comme je savais pas quel lien copier (écrit en anglais) je t'envoie tout, te moques pas!!! j'espère que ça a marché.

recommence un nouvel uplaod stp... ça a foiré ...

fait moi parvenir uniquement le premier lien ( le plus court )

je n'ai pas pu installer 7-zip alors j'ai zipper avec freecompressor il me propose 3 méthodes, "Lzma", "Ppmd" ou "BZip2" laquelle je choisis?

je ne pourrai pas lire ces archives ! ....

il semble avoir un soucis avec le server sur IDN

télécharge 7 Zip ici > http://www.commentcamarche.net/download/start/telecharg...

et fait comme je t'ai demandé au dessus stp ...

http://www.sendspace.com/file/wj61v6

Vu,


plusieurs infections ... donc une coriace ( possible infection TDL3 )


y a du boulot ....


Pour les rapports qui te seront demandés , tu feras des copier/coller directement sur le forum sauf pour les rapports ZHPDiag où tu procéderas comme tu as fait à l'instant .




Une question : quel est ton fourniseur d'accès ? et comment te connectes-tu au net ?



/!\ Pour le bon déroulement de la désinfection :

Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .

N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .

Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .

Si tu as un quelconque problème, n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).

=============================================================



commence par ceci dans l'ordre :


1- protocole à suivre pour Windows Vista :

Désactiver le "contrôle des comptes utilisateurs" ou UAC (le réactiver seulement à la fin de la désinfection) :

Aller dans "démarrer" puis "panneau de configuration" :
--->Sur la droite de la fenêtre , cliques sur " affichage classique "
--->Double-Cliquer sur l'icône "Comptes d'utilisateurs"
--->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
--->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
--->Redémarrer le PC !

Tutos :
http://pagesperso-orange.fr/NosTools/uac_vista.html
http://forum.malekal.com/viewtopic.php?f=59&t=6517

Important :
Pour installer ou pour lancer les outils, que tu utiliseras au court de la désinfection, fais toujours ainsi :
clique DROIT ( sur le setup d'installe ou sur l'outil ) -> choisis " Exécuter entant qu'administrateur " .
Fais ceci systématiquement ! ...


une fois ceci fait et pris en compte , enchaine ...

========================


2- Infecté par Navipromo .

-------------------------------------

Pour info,
Les programmes suivants installent cette infection :
- Funky Emoticons
- Games-Attack
- Original-Solitaire
- Go-Astro
- GoRecord
- HotTVPlayer
- Live-Player
- MailSkinner
- Messenger Skinner
- Instant Access
- InternetGameBox
- Sudoplanet
- WebMediaPlayer : sauf celui provenant du site suivant > http://www.azertysite.new.fr/

---------------------------------------

Télécharge Navilog1 sur ton bureau

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe !!

Ensuite clique droit / "éxecuter entant qu'admin..." sur navilog1.exe pour lancer l'outil .

Laisse-toi guider. Au menu principal, choisis 1 et valide .
(ne fais pas d'autre choix sans notre avis/accord) .

Patiente le temps du scan ...

> Si l'infection est bien détecté , il te sera peut-être demandé de redémarrer ton PC ( pour que l'outil puisse finir le nettoyage ) :
laisse l'outil le faire automatiquement . Si il ne redémarre pas de lui-même, redémarre ton PC manuellement (c'est important !) .

Note :
Si l'outil de demande d'effectuer la manipe en mode sans echec, fais le.
( /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ ).


Patiente jusqu'au message :
*** Scan Terminé le ..... ***

Appuie sur une touche comme demandé, le bloc-note va s'ouvrir.
Copie-colle l'intégralité de son contenu dans ta prochaine réponse et attends la suite .

(Le rapport est en outre sauvegardé à la racine du disque "C:\cleanavi.txt" )


=============================

3- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
ou ici http://forum-aide-contre-virus.be/download/C_XX/AD-R.ex...

! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

• Double clique sur Ad-remover.exe pour lancer l'installation .

Une fois l'outil installé, ce dernier s'ouvre directement ( et un raccourci se crée sur le bureau ).

• Au menu principal, clique directement sur le bouton [Nettoyer] .

• Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...

Note : si il t'es demandé de redémarrer le PC pour finir la procédure , fais le .


--> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


==============================


4- Refais un scan ZHPDiag 'en tant qu'admin...' .

* Coche bien toutes les options ( sauf les 045 et 061 )

* Au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu, en l' archivant avec 7-Zip et via SendSpace, pour analyse et attends la suite ...

mon fournisseur d'accès : neuf sfr
je me connecte actuellement avec internet explorer

Vu

quel mode de connection ? ... une clé Wifi je suppose ?

puis attaque la manipe ...

exact

Fix Navipromo version 4.0.9 commencé le 26/08/2010 19:50:13,10

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\navilog1

Mise à jour le 21.06.2010 à 18h00 par IL-MAFIOSO

Microsoft® Windows Vista™ Édition Familiale Basique ( v6.0.6002 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU T6400 @ 2.00GHz )
BIOS : InsydeH2O Version V1.01
USER : Corinne ( Administrator )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:219 Go (Free:96 Go)
D:\ (CD or DVD)


Recherche executée en mode normal

Nettoyage exécuté au redémarrage de l'ordinateur


C:\Users\Corinne\AppData\Local\atobch.dat supprimé !
C:\Users\Corinne\AppData\Local\atobch_nav.dat supprimé !
C:\Users\Corinne\AppData\Local\atobch_navps.dat supprimé !
C:\Users\Corinne\AppData\Local\elbjgne.bat supprimé !


Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\Corinne\AppData\Local\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok




*** Scan terminé 26/08/2010 19:57:33,53 ***

Fix Navipromo version 4.0.9 commencé le 26/08/2010 19:50:13,10

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\navilog1

Mise à jour le 21.06.2010 à 18h00 par IL-MAFIOSO

Microsoft® Windows Vista™ Édition Familiale Basique ( v6.0.6002 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU T6400 @ 2.00GHz )
BIOS : InsydeH2O Version V1.01
USER : Corinne ( Administrator )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:219 Go (Free:96 Go)
D:\ (CD or DVD)


Recherche executée en mode normal

Nettoyage exécuté au redémarrage de l'ordinateur


C:\Users\Corinne\AppData\Local\atobch.dat supprimé !
C:\Users\Corinne\AppData\Local\atobch_nav.dat supprimé !
C:\Users\Corinne\AppData\Local\atobch_navps.dat supprimé !
C:\Users\Corinne\AppData\Local\elbjgne.bat supprimé !


Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\Corinne\AppData\Local\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok




*** Scan terminé 26/08/2010 19:57:33,53 ***

======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 26/07/10 à 12:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 20:06:31 le 26/08/2010, Mode normal

Microsoft® Windows Vista™ Édition Familiale Basique Service Pack 2 (X86)
Corinne@PC-DE-CORINNE (Packard Bell EasyNote LJ65)

============== ACTION(S) ==============

Service: "ASKService" Stoppé et supprimé
Service: "ASKUpgrade" Stoppé et supprimé

0,Dossier supprimé: C:\Program Files\AskBarDis
0,Dossier supprimé: C:\Users\Corinne\AppData\LocalLow\Conduit
0,Dossier supprimé: C:\Program Files\Conduit
0,Dossier supprimé: C:\Users\Corinne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Deenero
0,Dossier supprimé: C:\Program Files\Deenero
0,Dossier supprimé: C:\Users\Corinne\AppData\Roaming\Soft2PC
0,Dossier supprimé: C:\Users\Corinne\AppData\Local\Soft2PC
0,Dossier supprimé: C:\Program Files\Soft2PC

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\Corinne\AppData\Roaming\Mozilla\FireFox\Profiles\4cdo0cj3.default\Prefs.js --
Ligne supprimée: user_pref("browser.startup.homepage", "hxxp://www.lo.st");
-- Fichier Fermé --


1,Clé supprimée: HKLM\Software\Classes\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{08993A7C-E764-4172-9627-BFB5EA6897B2}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{128A6C66-AC6A-4617-8268-AB7F47B7215E}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{201f27d4-3704-41d6-89c1-aa35e39143ed}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201f27d4-3704-41d6-89c1-aa35e39143ed}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3475D2C4-BBD1-4255-A70D-4125A4D30956}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{571715D7-3395-4DF0-B43C-784836209E60}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{66886C4D-B307-4ECA-A228-52CA9B9851A4}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{66886C4D-B307-4ECA-A228-52CA9B9851A4}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{66886C4D-B307-4ECA-A228-52CA9B9851A4}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{CB9D600D-9848-48F4-993F-D46ACB5D8F67}
1,Clé supprimée: HKLM\Software\Classes\Interface\{CB9D600D-9848-48F4-993F-D46ACB5D8F67}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{CD782347-A4E5-4874-AC58-0A22BB25C0DE}
1,Clé supprimée: HKLM\Software\Classes\Interface\{CD782347-A4E5-4874-AC58-0A22BB25C0DE}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{e83f3650-aa4d-4293-a5c9-1b4905c7f742}
1,Clé supprimée: HKLM\Software\Classes\Interface\{050DA195-4ACE-4BA8-8A16-2948F6820E2F}
1,Clé supprimée: HKLM\Software\Classes\Interface\{147BB7CE-BC0C-4DFD-AC48-94BD8BEB39DC}
1,Clé supprimée: HKLM\Software\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
1,Clé supprimée: HKLM\Software\Classes\Interface\{49737D22-3267-4D0D-888B-B861D7BA29A5}
1,Clé supprimée: HKLM\Software\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
1,Clé supprimée: HKLM\Software\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
1,Clé supprimée: HKLM\Software\Classes\Interface\{CC883F50-95BB-4A25-9DBF-B801506F1BC4}
1,Clé supprimée: HKLM\Software\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
1,Clé supprimée: HKLM\Software\Classes\Interface\{FFB59430-E0E7-4A20-B543-692BF7F7816D}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{68BBECA4-3A7B-4963-A27D-AFB86AF1D629}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{B52F3553-49FA-4599-81A4-F98951E0B53B}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}
0,Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterBarButton
0,Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterBarButton.1
0,Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl
0,Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl.1
0,Clé supprimée: HKLM\Software\Classes\AskToolBar.SettingsPlugin
0,Clé supprimée: HKLM\Software\Classes\AskToolBar.SettingsPlugin.1
0,Clé supprimée: HKLM\Software\Classes\Deenero.Deenero.1
0,Clé supprimée: HKLM\Software\Classes\DeeneroSvr.DeeneroSvr.1
0,Clé supprimée: HKLM\Software\Classes\DeeneroSvr.DeeneroSvr.1.1
0,Clé supprimée: HKLM\Software\Classes\SoftwareBHO.SOFT2PCBHO
0,Clé supprimée: HKLM\Software\Classes\SoftwareBHO.SOFT2PCBHO.1
0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2567681
0,Clé supprimée: HKLM\Software\Classes\AppID\Soft2PCBHO.DLL
1,Clé supprimée: HKLM\Software\Classes\AppID\{AB67D16D-3824-4683-B81A-D66DBA61B1AF}
0,Clé supprimée: HKLM\Software\aedgency
0,Clé supprimée: HKLM\Software\Conduit
0,Clé supprimée: HKLM\Software\soft2PC
0,Clé supprimée: HKLM\Software\AppDataLow\AskBarDis
0,Clé supprimée: HKCU\Software\aedgency
0,Clé supprimée: HKCU\Software\soft2PC
0,Clé supprimée: HKCU\Software\AppDataLow\AskBarDis
0,Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ask Toolbar_is1
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Deenero
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Soft2PC_is1
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Software_is1
0,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\ProtocolExecute\deenero

0,Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|soft2PC
0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{3041D03E-FD4B-44E0-B742-2D9B88305F98}
0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{66886C4D-B307-4ECA-A228-52CA9B9851A4}
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{3041D03E-FD4B-44E0-B742-2D9B88305F98}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [Impossible d'obtenir la version] **

-- C:\Users\Corinne\AppData\Roaming\Mozilla\FireFox\Profiles\4cdo0cj3.default\Prefs.js --
browser.startup.homepage_override.mstone, rv:1.9.2.8

========================================

** Internet Explorer Version [8.0.6001.18928] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Enable Browser Extensions: yes
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 42 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 26/08/2010 (8671 Octet(s))

Fin à: 20:09:50, 26/08/2010

============== E.O.F ==============

http://www.sendspace.com/file/yrzs38
j'espère avoir tout fait correctement, un petit doute sur Navilog 1, pas réussi en mode administrateur

quand tu disais déconnecte-toi...j'ai fermé mon navigateur mais je ne me suis pas déconnectée d'internet, oups je pense que j'ai commis une erreur!!!

bien ...



on continue .... dans l'ordre :




1- désinstalle le prg suivant via le panneau de configuration ( affichage classique ) / "prg et fonctionnalité " :

Messenger_Plus_Live_France Toolbar

bouffe des ressources et ralenti la navigation ...


===========================


2- Utilisation de l'outil ZHPFix :

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )






> Puis Lance ZHPFix "en tant qu'admin..." depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton .


-> laisse travailler l'outil et ne touche à rien ...


Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )


Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


Pense à réactiver tes défenses une fois la procédure terminée !...


( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


=============================

3- Télécharge Malwarebytes :
ici http://www.commentcamarche.net/telecharger/telecharger-...
ou ici : http://www.malwarebytes.org/mbam.php
ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : http://www.malekal.com/download/comctl32.ocx )

* Potasse ce tuto pour te familiariser avec le prg :
http://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours !

* Lance 'Malwarebytes' .

Fais un examen dit " RAPIDE " .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...

==========================


4- Refais un scan ZHPDiag "en tant qu'admin..." .

* Coche bien toutes les options ( sauf les 045 et 061 )

* Au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu, en l' archivant avec 7-Zip et via SendSpace, pour analyse et attends la suite ...

Rapport de ZHPFix v1.12.3138 par Nicolas Coolman, Update du 25/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-26-08-2010-21-30-43.txt
Run by Corinne at 26/08/2010 21:30:43
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O2 - BHO: Partner BHO Class - {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} . (.Google Inc. - Partner application.) -- C:\ProgramData\Partner\partner.dll => Clé absente
O20 - Winlogon Notify: yotamtt . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\yotamtt.dll => Clé absente
O64 - Services: CurCS - (.not file.) - aswFsBlk (aswFsBlk) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWFSBLK => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - aswMonFlt (aswMonFlt) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWMONFLT => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - aswRdr (aswRdr) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWRDR => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - avast! Self Protection (aswSP) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWSP => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - avast! Network Shield Support (aswTdi) .(.Pas de propriétaire - Pas de description.) - LEGACY_ASWTDI => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - Symantec Eraser Control driver (eeCtrl) .(.Pas de propriétaire - Pas de description.) - LEGACY_EECTRL => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - EraserUtilDrvI9 (EraserUtilDrvI9) .(.Pas de propriétaire - Pas de description.) - LEGACY_ERASERUTILDRVI9 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - EraserUtilRebootDrv (EraserUtilRebootDrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_ERASERUTILREBOOTDRV => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - IDSVix86 (IDSVix86) .(.Pas de propriétaire - Pas de description.) - LEGACY_IDSVIX86 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SYMDNS (SYMDNS) .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMDNS => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - Symantec Extended File Attributes (SymEFA) .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMEFA => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SYMFW (SYMFW) .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMFW => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SYMNDISV (SYMNDISV) .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMNDISV => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SYMREDRV (SYMREDRV) .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMREDRV => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SYMTDI (SYMTDI) .(.Pas de propriétaire - Pas de description.) - LEGACY_SYMTDI => Clé supprimée avec succès
SS - | Demand 20/09/2009 110576 | Partner Service (Partner Service) . (.Google Inc..) - C:\ProgramData\Partner\partner.exe => Clé supprimée avec succès
HKCU\Software\Norton => Clé supprimée avec succès
HKLM\Software\mcafeeupdater => Clé supprimée avec succès
HKLM\Software\Symantec => Clé supprimée avec succès
HKCU\Software\Official-eMule => Clé supprimée avec succès
HKLM\Software\Official-eMule => Clé supprimée avec succès
HKCU\Software\ImInstaller => Clé supprimée avec succès
HKLM\Software\ImInstaller => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente

========== Dossier(s) ==========
C:\ProgramData\McAfee => Dossier absent
C:\Program Files\Alwil Software => Supprimé et mis en quarantaine
C:\ProgramData\Norton => Supprimé et mis en quarantaine
C:\ProgramData\NortonInstaller => Supprimé et mis en quarantaine
C:\ProgramData\Symantec => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\programdata\partner\partner.dll => Supprimé et mis en quarantaine
c:\windows\system32\yotamtt.dll => Supprimé et mis en quarantaine
c:\windows\tasks\registry_doktor.job => Supprimé et mis en quarantaine
c:\programdata\partner\partner.exe => Supprimé et mis en quarantaine


========== Récapitulatif ==========
25 : Clé(s) du Registre
2 : Valeur(s) du Registre
5 : Dossier(s)
4 : Fichier(s)


End of the scan

impec ...


continue ....  

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4485

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18928

26/08/2010 21:49:00
mbam-log-2010-08-26 (21-49-00).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 133852
Temps écoulé: 5 minute(s), 23 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Users\Corinne\AppData\Roaming\My Security Shield (Rogue.MySecurityShield) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Users\Corinne\Documents\downloads\Free-MediaCenter_setup.exe (Adware.NaviPromo) -> Quarantined and deleted successfully.
C:\Users\Corinne\AppData\Roaming\My Security Shield\cookies.sqlite (Rogue.MySecurityShield) -> Quarantined and deleted successfully.

http://www.sendspace.com/file/vo9a4y
j'attends la suite!!!

bien ....



on avance ... on va s'attaquer à l'infection TDL3 ...


dans l'ordre :



1- Télécharge CCleaner :
ici http://www.infos-du-net.com/telecharger/CCleaner,0301-1...
ou ici http://www.commentcamarche.net/telecharger/telecharger-...

Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

Un tuto ( aide ):
http://www.commentcamarche.net/faq/27688-tutoriel-cclea...


---> Utilisation :
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


=============================

2- Télécharge load_tdsskiller de Loup blanc sur ton Bureau.

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

! Désactive ton antivirus et ferme toutes applications en cours !

Lance load_tdsskiller en cliquant droit dessus / "executer en tant qu'admin..." :

L'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller et lancer le scan.

Un message dans la fenêtre noire d'invite de commande te demandera d'appuyer sur une touche pour continuer.

Le rapport s'affichera automatiquement : copie-colle son contenu dans la prochaine réponse.
(le fichier est également présent ici : C:\tdsskiller\report.txt)

pour le dernier, tdsskiller, je n'ai obtenu aucun rapport!!???

2010/08/26 23:00:24.0598 TDSS rootkit removing tool 2.4.1.2 Aug 16 2010 09:46:23
2010/08/26 23:00:24.0598 ================================================================================
2010/08/26 23:00:24.0598 SystemInfo:
2010/08/26 23:00:24.0598
2010/08/26 23:00:24.0598 OS Version: 6.0.6002 ServicePack: 2.0
2010/08/26 23:00:24.0598 Product type: Workstation
2010/08/26 23:00:24.0598 ComputerName: PC-DE-CORINNE
2010/08/26 23:00:24.0598 UserName: Corinne
2010/08/26 23:00:24.0598 Windows directory: C:\Windows
2010/08/26 23:00:24.0598 System windows directory: C:\Windows
2010/08/26 23:00:24.0598 Processor architecture: Intel x86
2010/08/26 23:00:24.0598 Number of processors: 2
2010/08/26 23:00:24.0598 Page size: 0x1000
2010/08/26 23:00:24.0598 Boot type: Normal boot
2010/08/26 23:00:24.0598 ================================================================================
2010/08/26 23:00:25.0050 Initialize success
2010/08/26 23:02:10.0444 Deinitialize success

2010/08/26 23:04:56.0880 TDSS rootkit removing tool 2.4.1.2 Aug 16 2010 09:46:23
2010/08/26 23:04:56.0880 ================================================================================
2010/08/26 23:04:56.0880 SystemInfo:
2010/08/26 23:04:56.0880
2010/08/26 23:04:56.0880 OS Version: 6.0.6002 ServicePack: 2.0
2010/08/26 23:04:56.0880 Product type: Workstation
2010/08/26 23:04:56.0880 ComputerName: PC-DE-CORINNE
2010/08/26 23:04:56.0880 UserName: Corinne
2010/08/26 23:04:56.0880 Windows directory: C:\Windows
2010/08/26 23:04:56.0880 System windows directory: C:\Windows
2010/08/26 23:04:56.0880 Processor architecture: Intel x86
2010/08/26 23:04:56.0880 Number of processors: 2
2010/08/26 23:04:56.0880 Page size: 0x1000
2010/08/26 23:04:56.0880 Boot type: Normal boot
2010/08/26 23:04:56.0880 ================================================================================
2010/08/26 23:04:57.0239 Initialize success
2010/08/26 23:06:05.0270 ================================================================================
2010/08/26 23:06:05.0270 Scan started
2010/08/26 23:06:05.0270 Mode: Manual;
2010/08/26 23:06:05.0270 ================================================================================
2010/08/26 23:06:06.0175 ACPI (82b296ae1892fe3dbee00c9cf92f8ac7) C:\Windows\system32\drivers\acpi.sys
2010/08/26 23:06:06.0300 adp94xx (04f0fcac69c7c71a3ac4eb97fafc8303) C:\Windows\system32\drivers\adp94xx.sys
2010/08/26 23:06:06.0409 adpahci (60505e0041f7751bdbb80f88bf45c2ce) C:\Windows\system32\drivers\adpahci.sys
2010/08/26 23:06:06.0440 adpu160m (8a42779b02aec986eab64ecfc98f8bd7) C:\Windows\system32\drivers\adpu160m.sys
2010/08/26 23:06:06.0550 adpu320 (241c9e37f8ce45ef51c3de27515ca4e5) C:\Windows\system32\drivers\adpu320.sys
2010/08/26 23:06:06.0674 AFD (a201207363aa900abf1a388468688570) C:\Windows\system32\drivers\afd.sys
2010/08/26 23:06:06.0752 AFS (be913403ed7219894b30e362fd8d4313) C:\Windows\system32\drivers\AFS.sys
2010/08/26 23:06:06.0846 agp440 (13f9e33747e6b41a3ff305c37db0d360) C:\Windows\system32\drivers\agp440.sys
2010/08/26 23:06:06.0955 aic78xx (ae1fdf7bf7bb6c6a70f67699d880592a) C:\Windows\system32\drivers\djsvs.sys
2010/08/26 23:06:07.0064 aliide (9eaef5fc9b8e351afa7e78a6fae91f91) C:\Windows\system32\drivers\aliide.sys
2010/08/26 23:06:07.0158 amdagp (c47344bc706e5f0b9dce369516661578) C:\Windows\system32\drivers\amdagp.sys
2010/08/26 23:06:07.0205 amdide (9b78a39a4c173fdbc1321e0dd659b34c) C:\Windows\system32\drivers\amdide.sys
2010/08/26 23:06:07.0252 AmdK7 (18f29b49ad23ecee3d2a826c725c8d48) C:\Windows\system32\drivers\amdk7.sys
2010/08/26 23:06:07.0345 AmdK8 (93ae7f7dd54ab986a6f1a1b37be7442d) C:\Windows\system32\drivers\amdk8.sys
2010/08/26 23:06:07.0532 amdkmdag (7a46cf1f1075eb0340ea40f12d88a862) C:\Windows\system32\DRIVERS\atipmdag.sys
2010/08/26 23:06:07.0657 amdkmdap (e786ac0fbab7acfa53a7f8ef64652dd5) C:\Windows\system32\DRIVERS\atikmpag.sys
2010/08/26 23:06:07.0766 arc (5d2888182fb46632511acee92fdad522) C:\Windows\system32\drivers\arc.sys
2010/08/26 23:06:07.0876 arcsas (5e2a321bd7c8b3624e41fdec3e244945) C:\Windows\system32\drivers\arcsas.sys
2010/08/26 23:06:08.0000 AsyncMac (53b202abee6455406254444303e87be1) C:\Windows\system32\DRIVERS\asyncmac.sys
2010/08/26 23:06:08.0125 atapi (1f05b78ab91c9075565a9d8a4b880bc4) C:\Windows\system32\drivers\atapi.sys
2010/08/26 23:06:08.0234 Beep (67e506b75bd5326a3ec7b70bd014dfb6) C:\Windows\system32\drivers\Beep.sys
2010/08/26 23:06:08.0344 blbdrive (d4df28447741fd3d953526e33a617397) C:\Windows\system32\drivers\blbdrive.sys
2010/08/26 23:06:08.0422 bowser (74b442b2be1260b7588c136177ceac66) C:\Windows\system32\DRIVERS\bowser.sys
2010/08/26 23:06:08.0453 BrFiltLo (9f9acc7f7ccde8a15c282d3f88b43309) C:\Windows\system32\drivers\brfiltlo.sys
2010/08/26 23:06:08.0546 BrFiltUp (56801ad62213a41f6497f96dee83755a) C:\Windows\system32\drivers\brfiltup.sys
2010/08/26 23:06:08.0671 Brserid (b304e75cff293029eddf094246747113) C:\Windows\system32\drivers\brserid.sys
2010/08/26 23:06:08.0780 BrSerWdm (203f0b1e73adadbbb7b7b1fabd901f6b) C:\Windows\system32\drivers\brserwdm.sys
2010/08/26 23:06:08.0874 BrUsbMdm (bd456606156ba17e60a04e18016ae54b) C:\Windows\system32\drivers\brusbmdm.sys
2010/08/26 23:06:08.0968 BrUsbSer (af72ed54503f717a43268b3cc5faec2e) C:\Windows\system32\drivers\brusbser.sys
2010/08/26 23:06:09.0061 BTHMODEM (ad07c1ec6665b8b35741ab91200c6b68) C:\Windows\system32\drivers\bthmodem.sys
2010/08/26 23:06:09.0295 cdfs (7add03e75beb9e6dd102c3081d29840a) C:\Windows\system32\DRIVERS\cdfs.sys
2010/08/26 23:06:09.0389 cdrom (6b4bffb9becd728097024276430db314) C:\Windows\system32\DRIVERS\cdrom.sys
2010/08/26 23:06:09.0498 circlass (e5d4133f37219dbcfe102bc61072589d) C:\Windows\system32\drivers\circlass.sys
2010/08/26 23:06:09.0638 CLFS (d7659d3b5b92c31e84e53c1431f35132) C:\Windows\system32\CLFS.sys
2010/08/26 23:06:09.0748 CmBatt (99afc3795b58cc478fbbbcdc658fcb56) C:\Windows\system32\DRIVERS\CmBatt.sys
2010/08/26 23:06:09.0841 cmdide (0ca25e686a4928484e9fdabd168ab629) C:\Windows\system32\drivers\cmdide.sys
2010/08/26 23:06:09.0950 Compbatt (6afef0b60fa25de07c0968983ee4f60a) C:\Windows\system32\DRIVERS\compbatt.sys
2010/08/26 23:06:10.0060 crcdisk (741e9dff4f42d2d8477d0fc1dc0df871) C:\Windows\system32\drivers\crcdisk.sys
2010/08/26 23:06:10.0138 Crusoe (1f07becdca750766a96cda811ba86410) C:\Windows\system32\drivers\crusoe.sys
2010/08/26 23:06:10.0262 DfsC (218d8ae46c88e82014f5d73d0236d9b2) C:\Windows\system32\Drivers\dfsc.sys
2010/08/26 23:06:10.0372 disk (5d4aefc3386920236a548271f8f1af6a) C:\Windows\system32\drivers\disk.sys
2010/08/26 23:06:10.0465 DKbFltr (73baf270d24fe726b9cd7f80bb17a23d) C:\Windows\system32\DRIVERS\DKbFltr.sys
2010/08/26 23:06:10.0528 DritekPortIO (5c918d413f5837e67a85775c9873775e) C:\PROGRA~1\LAUNCH~1\DPortIO.sys
2010/08/26 23:06:10.0637 drmkaud (97fef831ab90bee128c9af390e243f80) C:\Windows\system32\drivers\drmkaud.sys
2010/08/26 23:06:10.0746 DXGKrnl (5c7e2097b91d689ded7a6ff90f0f3a25) C:\Windows\System32\drivers\dxgkrnl.sys
2010/08/26 23:06:10.0840 E1G60 (5425f74ac0c1dbd96a1e04f17d63f94c) C:\Windows\system32\DRIVERS\E1G60I32.sys
2010/08/26 23:06:10.0949 eamonm (584142e542c7cef636ccc13a4bb7952a) C:\Windows\system32\DRIVERS\eamonm.sys
2010/08/26 23:06:11.0074 Ecache (7f64ea048dcfac7acf8b4d7b4e6fe371) C:\Windows\system32\drivers\ecache.sys
2010/08/26 23:06:11.0214 ehdrv (2df598a794e0f046cb70df8e9fab9051) C:\Windows\system32\DRIVERS\ehdrv.sys
2010/08/26 23:06:11.0323 elxstor (23b62471681a124889978f6295b3f4c6) C:\Windows\system32\drivers\elxstor.sys
2010/08/26 23:06:11.0448 epfwwfpr (b9844eae359a55c2c052ea53333612c7) C:\Windows\system32\DRIVERS\epfwwfpr.sys
2010/08/26 23:06:11.0557 ErrDev (3db974f3935483555d7148663f726c61) C:\Windows\system32\drivers\errdev.sys
2010/08/26 23:06:11.0698 exfat (22b408651f9123527bcee54b4f6c5cae) C:\Windows\system32\drivers\exfat.sys
2010/08/26 23:06:11.0807 fastfat (1e9b9a70d332103c52995e957dc09ef8) C:\Windows\system32\drivers\fastfat.sys
2010/08/26 23:06:11.0900 fdc (afe1e8b9782a0dd7fb46bbd88e43f89a) C:\Windows\system32\DRIVERS\fdc.sys
2010/08/26 23:06:12.0010 FileInfo (a8c0139a884861e3aae9cfe73b208a9f) C:\Windows\system32\drivers\fileinfo.sys
2010/08/26 23:06:12.0103 Filetrace (0ae429a696aecbc5970e3cf2c62635ae) C:\Windows\system32\drivers\filetrace.sys
2010/08/26 23:06:12.0150 flpydisk (85b7cf99d532820495d68d747fda9ebd) C:\Windows\system32\DRIVERS\flpydisk.sys
2010/08/26 23:06:12.0259 FltMgr (01334f9ea68e6877c4ef05d3ea8abb05) C:\Windows\system32\drivers\fltmgr.sys
2010/08/26 23:06:12.0368 Fs_Rec (65ea8b77b5851854f0c55c43fa51a198) C:\Windows\system32\drivers\Fs_Rec.sys
2010/08/26 23:06:12.0446 gagp30kx (34582a6e6573d54a07ece5fe24a126b5) C:\Windows\system32\drivers\gagp30kx.sys
2010/08/26 23:06:12.0509 HdAudAddService (cb04c744be0a61b1d648faed182c3b59) C:\Windows\system32\drivers\HdAudio.sys
2010/08/26 23:06:12.0618 HDAudBus (062452b7ffd68c8c042a6261fe8dff4a) C:\Windows\system32\DRIVERS\HDAudBus.sys
2010/08/26 23:06:12.0712 HidBth (1338520e78d90154ed6be8f84de5fceb) C:\Windows\system32\drivers\hidbth.sys
2010/08/26 23:06:12.0805 HidIr (ff3160c3a2445128c5a6d9b076da519e) C:\Windows\system32\drivers\hidir.sys
2010/08/26 23:06:12.0930 HidUsb (cca4b519b17e23a00b826c55716809cc) C:\Windows\system32\DRIVERS\hidusb.sys
2010/08/26 23:06:13.0024 HpCISSs (16ee7b23a009e00d835cdb79574a91a6) C:\Windows\system32\drivers\hpcisss.sys
2010/08/26 23:06:13.0133 HSFHWAZL (46d67209550973257601a533e2ac5785) C:\Windows\system32\DRIVERS\VSTAZL3.SYS
2010/08/26 23:06:13.0258 HTTP (0eeeca26c8d4bde2a4664db058a81937) C:\Windows\system32\drivers\HTTP.sys
2010/08/26 23:06:13.0382 i2omp (c6b032d69650985468160fc9937cf5b4) C:\Windows\system32\drivers\i2omp.sys
2010/08/26 23:06:13.0460 i8042prt (22d56c8184586b7a1f6fa60be5f5a2bd) C:\Windows\system32\DRIVERS\i8042prt.sys
2010/08/26 23:06:13.0570 iaStorV (54155ea1b0df185878e0fc9ec3ac3a14) C:\Windows\system32\drivers\iastorv.sys
2010/08/26 23:06:13.0679 iirsp (2d077bf86e843f901d8db709c95b49a5) C:\Windows\system32\drivers\iirsp.sys
2010/08/26 23:06:13.0819 IntcAzAudAddService (de7d0a44de9eaf68165748a8d6af1c86) C:\Windows\system32\drivers\RTKVHDA.sys
2010/08/26 23:06:13.0928 intelide (83aa759f3189e6370c30de5dc5590718) C:\Windows\system32\drivers\intelide.sys
2010/08/26 23:06:14.0022 intelppm (224191001e78c89dfa78924c3ea595ff) C:\Windows\system32\DRIVERS\intelppm.sys
2010/08/26 23:06:14.0116 IpFilterDriver (62c265c38769b864cb25b4bcf62df6c3) C:\Windows\system32\DRIVERS\ipfltdrv.sys
2010/08/26 23:06:14.0318 IPMIDRV (b25aaf203552b7b3491139d582b39ad1) C:\Windows\system32\drivers\ipmidrv.sys
2010/08/26 23:06:14.0428 IPNAT (8793643a67b42cec66490b2a0cf92d68) C:\Windows\system32\DRIVERS\ipnat.sys
2010/08/26 23:06:14.0537 IRENUM (109c0dfb82c3632fbd11949b73aeeac9) C:\Windows\system32\drivers\irenum.sys
2010/08/26 23:06:14.0662 isapnp (6c70698a3e5c4376c6ab5c7c17fb0614) C:\Windows\system32\drivers\isapnp.sys
2010/08/26 23:06:14.0771 iScsiPrt (232fa340531d940aac623b121a595034) C:\Windows\system32\DRIVERS\msiscsi.sys
2010/08/26 23:06:14.0864 iteatapi (bced60d16156e428f8df8cf27b0df150) C:\Windows\system32\drivers\iteatapi.sys
2010/08/26 23:06:14.0958 iteraid (06fa654504a498c30adca8bec4e87e7e) C:\Windows\system32\drivers\iteraid.sys
2010/08/26 23:06:15.0067 k57nd60x (eac21e8014c7e6ee341afffb7e2bbd54) C:\Windows\system32\DRIVERS\k57nd60x.sys
2010/08/26 23:06:15.0145 kbdclass (37605e0a8cf00cbba538e753e4344c6e) C:\Windows\system32\DRIVERS\kbdclass.sys
2010/08/26 23:06:15.0176 kbdhid (18247836959ba67e3511b62846b9c2e0) C:\Windows\system32\DRIVERS\kbdhid.sys
2010/08/26 23:06:15.0270 KSecDD (86165728af9bf72d6442a894fdfb4f8b) C:\Windows\system32\Drivers\ksecdd.sys
2010/08/26 23:06:15.0410 lltdio (d1c5883087a0c3f1344d9d55a44901f6) C:\Windows\system32\DRIVERS\lltdio.sys
2010/08/26 23:06:15.0520 LSI_FC (c7e15e82879bf3235b559563d4185365) C:\Windows\system32\drivers\lsi_fc.sys
2010/08/26 23:06:15.0566 LSI_SAS (ee01ebae8c9bf0fa072e0ff68718920a) C:\Windows\system32\drivers\lsi_sas.sys
2010/08/26 23:06:15.0676 LSI_SCSI (912a04696e9ca30146a62afa1463dd5c) C:\Windows\system32\drivers\lsi_scsi.sys
2010/08/26 23:06:15.0785 luafv (8f5c7426567798e62a3b3614965d62cc) C:\Windows\system32\drivers\luafv.sys
2010/08/26 23:06:15.0878 massfilter (f0435fe3c1ec2659d2bbf073ca0752ee) C:\Windows\system32\drivers\massfilter.sys
2010/08/26 23:06:15.0972 mdmxsdk (0cea2d0d3fa284b85ed5b68365114f76) C:\Windows\system32\DRIVERS\mdmxsdk.sys
2010/08/26 23:06:16.0066 megasas (0001ce609d66632fa17b84705f658879) C:\Windows\system32\drivers\megasas.sys
2010/08/26 23:06:16.0190 MegaSR (c252f32cd9a49dbfc25ecf26ebd51a99) C:\Windows\system32\drivers\megasr.sys
2010/08/26 23:06:16.0300 Modem (e13b5ea0f51ba5b1512ec671393d09ba) C:\Windows\system32\drivers\modem.sys
2010/08/26 23:06:16.0409 monitor (0a9bb33b56e294f686abb7c1e4e2d8a8) C:\Windows\system32\DRIVERS\monitor.sys
2010/08/26 23:06:16.0502 mouclass (5bf6a1326a335c5298477754a506d263) C:\Windows\system32\DRIVERS\mouclass.sys
2010/08/26 23:06:16.0596 mouhid (93b8d4869e12cfbe663915502900876f) C:\Windows\system32\DRIVERS\mouhid.sys
2010/08/26 23:06:16.0690 MountMgr (bdafc88aa6b92f7842416ea6a48e1600) C:\Windows\system32\drivers\mountmgr.sys
2010/08/26 23:06:16.0783 mpio (511d011289755dd9f9a7579fb0b064e6) C:\Windows\system32\drivers\mpio.sys
2010/08/26 23:06:16.0892 mpsdrv (22241feba9b2defa669c8cb0a8dd7d2e) C:\Windows\system32\drivers\mpsdrv.sys
2010/08/26 23:06:16.0986 Mraid35x (4fbbb70d30fd20ec51f80061703b001e) C:\Windows\system32\drivers\mraid35x.sys
2010/08/26 23:06:17.0048 MRxDAV (82cea0395524aacfeb58ba1448e8325c) C:\Windows\system32\drivers\mrxdav.sys
2010/08/26 23:06:17.0158 mrxsmb (454341e652bdf5e01b0f2140232b073e) C:\Windows\system32\DRIVERS\mrxsmb.sys
2010/08/26 23:06:17.0282 mrxsmb10 (2a4901aff069944fa945ed5bbf4dcde3) C:\Windows\system32\DRIVERS\mrxsmb10.sys
2010/08/26 23:06:17.0392 mrxsmb20 (28b3f1ab44bdd4432c041581412f17d9) C:\Windows\system32\DRIVERS\mrxsmb20.sys
2010/08/26 23:06:17.0501 msahci (5457dcfa7c0da43522f4d9d4049c1472) C:\Windows\system32\drivers\msahci.sys
2010/08/26 23:06:17.0594 msdsm (4468b0f385a86ecddaf8d3ca662ec0e7) C:\Windows\system32\drivers\msdsm.sys
2010/08/26 23:06:17.0719 Msfs (a9927f4a46b816c92f461acb90cf8515) C:\Windows\system32\drivers\Msfs.sys
2010/08/26 23:06:17.0813 msisadrv (0f400e306f385c56317357d6dea56f62) C:\Windows\system32\drivers\msisadrv.sys
2010/08/26 23:06:17.0922 MSKSSRV (d8c63d34d9c9e56c059e24ec7185cc07) C:\Windows\system32\drivers\MSKSSRV.sys
2010/08/26 23:06:18.0016 MSPCLOCK (1d373c90d62ddb641d50e55b9e78d65e) C:\Windows\system32\drivers\MSPCLOCK.sys
2010/08/26 23:06:18.0109 MSPQM (b572da05bf4e098d4bba3a4734fb505b) C:\Windows\system32\drivers\MSPQM.sys
2010/08/26 23:06:18.0203 MsRPC (b49456d70555de905c311bcda6ec6adb) C:\Windows\system32\drivers\MsRPC.sys
2010/08/26 23:06:18.0281 mssmbios (e384487cb84be41d09711c30ca79646c) C:\Windows\system32\DRIVERS\mssmbios.sys
2010/08/26 23:06:18.0390 MSTEE (7199c1eec1e4993caf96b8c0a26bd58a) C:\Windows\system32\drivers\MSTEE.sys
2010/08/26 23:06:18.0484 Mup (6a57b5733d4cb702c8ea4542e836b96c) C:\Windows\system32\Drivers\mup.sys
2010/08/26 23:06:18.0593 NativeWifiP (85c44fdff9cf7e72a40dcb7ec06a4416) C:\Windows\system32\DRIVERS\nwifi.sys
2010/08/26 23:06:18.0640 NDIS (1357274d1883f68300aeadd15d7bbb42) C:\Windows\system32\drivers\ndis.sys
2010/08/26 23:06:18.0733 NdisTapi (0e186e90404980569fb449ba7519ae61) C:\Windows\system32\DRIVERS\ndistapi.sys
2010/08/26 23:06:18.0827 Ndisuio (d6973aa34c4d5d76c0430b181c3cd389) C:\Windows\system32\DRIVERS\ndisuio.sys
2010/08/26 23:06:18.0920 NdisWan (818f648618ae34f729fdb47ec68345c3) C:\Windows\system32\DRIVERS\ndiswan.sys
2010/08/26 23:06:18.0998 NDProxy (71dab552b41936358f3b541ae5997fb3) C:\Windows\system32\drivers\NDProxy.sys
2010/08/26 23:06:19.0108 NetBIOS (bcd093a5a6777cf626434568dc7dba78) C:\Windows\system32\DRIVERS\netbios.sys
2010/08/26 23:06:19.0186 netbt (ecd64230a59cbd93c85f1cd1cab9f3f6) C:\Windows\system32\DRIVERS\netbt.sys
2010/08/26 23:06:19.0373 NETw5v32 (7269039e216bdd863abf1850a0ffdbaf) C:\Windows\system32\DRIVERS\NETw5v32.sys
2010/08/26 23:06:19.0482 nfrd960 (2e7fb731d4790a1bc6270accefacb36e) C:\Windows\system32\drivers\nfrd960.sys
2010/08/26 23:06:19.0622 Npfs (d36f239d7cce1931598e8fb90a0dbc26) C:\Windows\system32\drivers\Npfs.sys
2010/08/26 23:06:19.0732 nsiproxy (609773e344a97410ce4ebf74a8914fcf) C:\Windows\system32\drivers\nsiproxy.sys
2010/08/26 23:06:19.0841 Ntfs (6a4a98cee84cf9e99564510dda4baa47) C:\Windows\system32\drivers\Ntfs.sys
2010/08/26 23:06:19.0950 NTIDrvr (2757d2ba59aee155209e24942ab127c9) C:\Windows\system32\Drivers\NTIDrvr.sys
2010/08/26 23:06:20.0044 ntrigdigi (e875c093aec0c978a90f30c9e0dfbb72) C:\Windows\system32\drivers\ntrigdigi.sys
2010/08/26 23:06:20.0153 Null (c5dbbcda07d780bda9b685df333bb41e) C:\Windows\system32\drivers\Null.sys
2010/08/26 23:06:20.0262 nvraid (2edf9e7751554b42cbb60116de727101) C:\Windows\system32\drivers\nvraid.sys
2010/08/26 23:06:20.0387 nvstor (abed0c09758d1d97db0042dbb2688177) C:\Windows\system32\drivers\nvstor.sys
2010/08/26 23:06:20.0496 nv_agp (18bbdf913916b71bd54575bdb6eeac0b) C:\Windows\system32\drivers\nv_agp.sys
2010/08/26 23:06:20.0621 ohci1394 (be32da025a0be1878f0ee8d6d9386cd5) C:\Windows\system32\drivers\ohci1394.sys
2010/08/26 23:06:20.0746 Parport (0fa9b5055484649d63c303fe404e5f4d) C:\Windows\system32\drivers\parport.sys
2010/08/26 23:06:20.0855 partmgr (57389fa59a36d96b3eb09d0cb91e9cdc) C:\Windows\system32\drivers\partmgr.sys
2010/08/26 23:06:20.0948 Parvdm (4f9a6a8a31413180d0fcb279ad5d8112) C:\Windows\system32\drivers\parvdm.sys
2010/08/26 23:06:21.0058 pci (941dc1d19e7e8620f40bbc206981efdb) C:\Windows\system32\drivers\pci.sys
2010/08/26 23:06:21.0167 pciide (fc175f5ddab666d7f4d17449a547626f) C:\Windows\system32\drivers\pciide.sys
2010/08/26 23:06:21.0229 pcmcia (e6f3fb1b86aa519e7698ad05e58b04e5) C:\Windows\system32\drivers\pcmcia.sys
2010/08/26 23:06:21.0354 PEAUTH (6349f6ed9c623b44b52ea3c63c831a92) C:\Windows\system32\drivers\peauth.sys
2010/08/26 23:06:21.0541 PptpMiniport (ecfffaec0c1ecd8dbc77f39070ea1db1) C:\Windows\system32\DRIVERS\raspptp.sys
2010/08/26 23:06:21.0635 Processor (2027293619dd0f047c584cf2e7df4ffd) C:\Windows\system32\drivers\processr.sys
2010/08/26 23:06:21.0697 PSched (99514faa8df93d34b5589187db3aa0ba) C:\Windows\system32\DRIVERS\pacer.sys
2010/08/26 23:06:21.0775 PxHelp20 (d86b4a68565e444d76457f14172c875a) C:\Windows\system32\Drivers\PxHelp20.sys
2010/08/26 23:06:21.0916 ql2300 (0a6db55afb7820c99aa1f3a1d270f4f6) C:\Windows\system32\drivers\ql2300.sys
2010/08/26 23:06:22.0025 ql40xx (81a7e5c076e59995d54bc1ed3a16e60b) C:\Windows\system32\drivers\ql40xx.sys
2010/08/26 23:06:22.0134 QWAVEdrv (9f5e0e1926014d17486901c88eca2db7) C:\Windows\system32\drivers\qwavedrv.sys
2010/08/26 23:06:22.0212 RasAcd (147d7f9c556d259924351feb0de606c3) C:\Windows\system32\DRIVERS\rasacd.sys
2010/08/26 23:06:22.0321 Rasl2tp (a214adbaf4cb47dd2728859ef31f26b0) C:\Windows\system32\DRIVERS\rasl2tp.sys
2010/08/26 23:06:22.0415 RasPppoe (509a98dd18af4375e1fc40bc175f1def) C:\Windows\system32\DRIVERS\raspppoe.sys
2010/08/26 23:06:22.0462 RasSstp (2005f4a1e05fa09389ac85840f0a9e4d) C:\Windows\system32\DRIVERS\rassstp.sys
2010/08/26 23:06:22.0571 rdbss (b14c9d5b9add2f84f70570bbbfaa7935) C:\Windows\system32\DRIVERS\rdbss.sys
2010/08/26 23:06:22.0664 RDPCDD (89e59be9a564262a3fb6c4f4f1cd9899) C:\Windows\system32\DRIVERS\RDPCDD.sys
2010/08/26 23:06:22.0711 rdpdr (fbc0bacd9c3d7f6956853f64a66e252d) C:\Windows\system32\drivers\rdpdr.sys
2010/08/26 23:06:22.0820 RDPENCDD (fbb6a39495c0b710019463f6ec87803c) C:\Windows\system32\DRIVERS\RDPENCDD.SYS
2010/08/26 23:06:22.0820 Suspicious file (Forged): C:\Windows\system32\DRIVERS\RDPENCDD.SYS. Real md5: fbb6a39495c0b710019463f6ec87803c, Fake md5: 9d91fe5286f748862ecffa05f8a0710c
2010/08/26 23:06:22.0820 RDPENCDD - detected Rootkit.Win32.TDSS.tdl3 (0)
2010/08/26 23:06:22.0945 RDPWD (30bfbdfb7f95559ede971f9ddb9a00ba) C:\Windows\system32\drivers\RDPWD.sys
2010/08/26 23:06:23.0101 rspndr (9c508f4074a39e8b4b31d27198146fad) C:\Windows\system32\DRIVERS\rspndr.sys
2010/08/26 23:06:23.0179 RTHDMIAzAudService (a95b16ff762ff217847b97e6f05778ee) C:\Windows\system32\drivers\RtHDMIV.sys
2010/08/26 23:06:23.0273 RTSTOR (d97d8259293b7a82cb891f37f997df3f) C:\Windows\system32\drivers\RTSTOR.SYS
2010/08/26 23:06:23.0320 sbp2port (3ce8f073a557e172b330109436984e30) C:\Windows\system32\drivers\sbp2port.sys
2010/08/26 23:06:23.0460 secdrv (90a3935d05b494a5a39d37e71f09a677) C:\Windows\system32\drivers\secdrv.sys
2010/08/26 23:06:23.0554 Serenum (68e44e331d46f0fb38f0863a84cd1a31) C:\Windows\system32\drivers\serenum.sys
2010/08/26 23:06:23.0663 Serial (c70d69a918b178d3c3b06339b40c2e1b) C:\Windows\system32\drivers\serial.sys
2010/08/26 23:06:23.0725 sermouse (8af3d28a879bf75db53a0ee7a4289624) C:\Windows\system32\drivers\sermouse.sys
2010/08/26 23:06:23.0866 sffdisk (3efa810bdca87f6ecc24f9832243fe86) C:\Windows\system32\drivers\sffdisk.sys
2010/08/26 23:06:23.0975 sffp_mmc (e95d451f7ea3e583aec75f3b3ee42dc5) C:\Windows\system32\drivers\sffp_mmc.sys
2010/08/26 23:06:24.0084 sffp_sd (3d0ea348784b7ac9ea9bd9f317980979) C:\Windows\system32\drivers\sffp_sd.sys
2010/08/26 23:06:24.0193 sfloppy (46ed8e91793b2e6f848015445a0ac188) C:\Windows\system32\drivers\sfloppy.sys
2010/08/26 23:06:24.0302 sisagp (1d76624a09a054f682d746b924e2dbc3) C:\Windows\system32\drivers\sisagp.sys
2010/08/26 23:06:24.0443 SiSRaid2 (43cb7aa756c7db280d01da9b676cfde2) C:\Windows\system32\drivers\sisraid2.sys
2010/08/26 23:06:24.0490 SiSRaid4 (a99c6c8b0baa970d8aa59ddc50b57f94) C:\Windows\system32\drivers\sisraid4.sys
2010/08/26 23:06:24.0568 Smb (7b75299a4d201d6a6533603d6914ab04) C:\Windows\system32\DRIVERS\smb.sys
2010/08/26 23:06:24.0677 spldr (7aebdeef071fe28b0eef2cdd69102bff) C:\Windows\system32\drivers\spldr.sys
2010/08/26 23:06:24.0802 srv (0debafcc0e3591fca34f077cab62f7f7) C:\Windows\system32\DRIVERS\srv.sys
2010/08/26 23:06:24.0926 srv2 (6b6f3658e0a58c6c50c5f7fbdf3df633) C:\Windows\system32\DRIVERS\srv2.sys
2010/08/26 23:06:25.0067 srvnet (0c5ab1892ae0fa504218db094bf6d041) C:\Windows\system32\DRIVERS\srvnet.sys
2010/08/26 23:06:25.0160 sscdbus (d5dffeaa1e15d4effabb9d9a3068ac5b) C:\Windows\system32\DRIVERS\sscdbus.sys
2010/08/26 23:06:25.0270 sscdmdfl (8a1be0c347814f482f493aea619d57f6) C:\Windows\system32\DRIVERS\sscdmdfl.sys
2010/08/26 23:06:25.0379 sscdmdm (5ab0b1987f682a59b15b78f84c6ad7d0) C:\Windows\system32\DRIVERS\sscdmdm.sys
2010/08/26 23:06:25.0519 swenum (7ba58ecf0c0a9a69d44b3dca62becf56) C:\Windows\system32\DRIVERS\swenum.sys
2010/08/26 23:06:25.0644 Symc8xx (192aa3ac01df071b541094f251deed10) C:\Windows\system32\drivers\symc8xx.sys
2010/08/26 23:06:25.0675 Sym_hi (8c8eb8c76736ebaf3b13b633b2e64125) C:\Windows\system32\drivers\sym_hi.sys
2010/08/26 23:06:25.0784 Sym_u3 (8072af52b5fd103bbba387a1e49f62cb) C:\Windows\system32\drivers\sym_u3.sys
2010/08/26 23:06:25.0878 SynTP (5c3e900f41426a372de60675afc8aa07) C:\Windows\system32\DRIVERS\SynTP.sys
2010/08/26 23:06:26.0034 Tcpip (48cbe6d53632d0067c2d6b20f90d84ca) C:\Windows\system32\drivers\tcpip.sys
2010/08/26 23:06:26.0174 Tcpip6 (48cbe6d53632d0067c2d6b20f90d84ca) C:\Windows\system32\DRIVERS\tcpip.sys
2010/08/26 23:06:26.0299 tcpipreg (608c345a255d82a6289c2d468eb41fd7) C:\Windows\system32\drivers\tcpipreg.sys
2010/08/26 23:06:26.0393 TDPIPE (5dcf5e267be67a1ae926f2df77fbcc56) C:\Windows\system32\drivers\tdpipe.sys
2010/08/26 23:06:26.0502 TDTCP (389c63e32b3cefed425b61ed92d3f021) C:\Windows\system32\drivers\tdtcp.sys
2010/08/26 23:06:26.0549 tdx (76b06eb8a01fc8624d699e7045303e54) C:\Windows\system32\DRIVERS\tdx.sys
2010/08/26 23:06:26.0642 TermDD (3cad38910468eab9a6479e2f01db43c7) C:\Windows\system32\DRIVERS\termdd.sys
2010/08/26 23:06:26.0783 tssecsrv (dcf0f056a2e4f52287264f5ab29cf206) C:\Windows\system32\DRIVERS\tssecsrv.sys
2010/08/26 23:06:26.0892 tunmp (caecc0120ac49e3d2f758b9169872d38) C:\Windows\system32\DRIVERS\tunmp.sys
2010/08/26 23:06:26.0986 tunnel (300db877ac094feab0be7688c3454a9c) C:\Windows\system32\DRIVERS\tunnel.sys
2010/08/26 23:06:27.0079 uagp35 (7d33c4db2ce363c8518d2dfcf533941f) C:\Windows\system32\drivers\uagp35.sys
2010/08/26 23:06:27.0173 UBHelper (f763e070843ee2803de1395002b42938) C:\Windows\system32\drivers\UBHelper.sys
2010/08/26 23:06:27.0266 udfs (d9728af68c4c7693cb100b8441cbdec6) C:\Windows\system32\DRIVERS\udfs.sys
2010/08/26 23:06:27.0391 uliagpkx (b0acfdc9e4af279e9116c03e014b2b27) C:\Windows\system32\drivers\uliagpkx.sys
2010/08/26 23:06:27.0500 uliahci (9224bb254f591de4ca8d572a5f0d635c) C:\Windows\system32\drivers\uliahci.sys
2010/08/26 23:06:27.0610 UlSata (8514d0e5cd0534467c5fc61be94a569f) C:\Windows\system32\drivers\ulsata.sys
2010/08/26 23:06:27.0703 ulsata2 (38c3c6e62b157a6bc46594fada45c62b) C:\Windows\system32\drivers\ulsata2.sys
2010/08/26 23:06:27.0797 umbus (32cff9f809ae9aed85464492bf3e32d2) C:\Windows\system32\DRIVERS\umbus.sys
2010/08/26 23:06:27.0906 usbccgp (caf811ae4c147ffcd5b51750c7f09142) C:\Windows\system32\DRIVERS\usbccgp.sys
2010/08/26 23:06:27.0953 usbcir (e9476e6c486e76bc4898074768fb7131) C:\Windows\system32\drivers\usbcir.sys
2010/08/26 23:06:28.0046 usbehci (79e96c23a97ce7b8f14d310da2db0c9b) C:\Windows\system32\DRIVERS\usbehci.sys
2010/08/26 23:06:28.0156 usbhub (4673bbcb006af60e7abddbe7a130ba42) C:\Windows\system32\DRIVERS\usbhub.sys
2010/08/26 23:06:28.0249 usbohci (38dbc7dd6cc5a72011f187425384388b) C:\Windows\system32\drivers\usbohci.sys
2010/08/26 23:06:28.0343 usbprint (b51e52acf758be00ef3a58ea452fe360) C:\Windows\system32\drivers\usbprint.sys
2010/08/26 23:06:28.0452 USBSTOR (be3da31c191bc222d9ad503c5224f2ad) C:\Windows\system32\DRIVERS\USBSTOR.SYS
2010/08/26 23:06:28.0561 usbuhci (814d653efc4d48be3b04a307eceff56f) C:\Windows\system32\DRIVERS\usbuhci.sys
2010/08/26 23:06:28.0655 usbvideo (e67998e8f14cb0627a769f6530bcb352) C:\Windows\system32\Drivers\usbvideo.sys
2010/08/26 23:06:28.0780 vga (87b06e1f30b749a114f74622d013f8d4) C:\Windows\system32\DRIVERS\vgapnp.sys
2010/08/26 23:06:28.0873 VgaSave (2e93ac0a1d8c79d019db6c51f036636c) C:\Windows\System32\drivers\vga.sys
2010/08/26 23:06:28.0920 viaagp (5d7159def58a800d5781ba3a879627bc) C:\Windows\system32\drivers\viaagp.sys
2010/08/26 23:06:29.0029 ViaC7 (c4f3a691b5bad343e6249bd8c2d45dee) C:\Windows\system32\drivers\viac7.sys
2010/08/26 23:06:29.0138 viaide (aadf5587a4063f52c2c3fed7887426fc) C:\Windows\system32\drivers\viaide.sys
2010/08/26 23:06:29.0248 volmgr (69503668ac66c77c6cd7af86fbdf8c43) C:\Windows\system32\drivers\volmgr.sys
2010/08/26 23:06:29.0341 volmgrx (23e41b834759917bfd6b9a0d625d0c28) C:\Windows\system32\drivers\volmgrx.sys
2010/08/26 23:06:29.0450 volsnap (147281c01fcb1df9252de2a10d5e7093) C:\Windows\system32\drivers\volsnap.sys
2010/08/26 23:06:29.0544 vsmraid (587253e09325e6bf226b299774b728a9) C:\Windows\system32\drivers\vsmraid.sys
2010/08/26 23:06:29.0669 WacomPen (48dfee8f1af7c8235d4e626f0c4fe031) C:\Windows\system32\drivers\wacompen.sys
2010/08/26 23:06:29.0778 Wanarp (55201897378cca7af8b5efd874374a26) C:\Windows\system32\DRIVERS\wanarp.sys
2010/08/26 23:06:29.0794 Wanarpv6 (55201897378cca7af8b5efd874374a26) C:\Windows\system32\DRIVERS\wanarp.sys
2010/08/26 23:06:29.0918 Wd (78fe9542363f297b18c027b2d7e7c07f) C:\Windows\system32\drivers\wd.sys
2010/08/26 23:06:30.0028 Wdf01000 (b6f0a7ad6d4bd325fbcd8bac96cd8d96) C:\Windows\system32\drivers\Wdf01000.sys
2010/08/26 23:06:30.0215 WmiAcpi (2e7255d172df0b8283cdfb7b433b864e) C:\Windows\system32\DRIVERS\wmiacpi.sys
2010/08/26 23:06:30.0340 WpdUsb (de9d36f91a4df3d911626643debf11ea) C:\Windows\system32\DRIVERS\wpdusb.sys
2010/08/26 23:06:30.0386 ws2ifsl (e3a3cb253c0ec2494d4a61f5e43a389c) C:\Windows\system32\drivers\ws2ifsl.sys
2010/08/26 23:06:30.0496 WUDFRd (ac13cb789d93412106b0fb6c7eb2bcb6) C:\Windows\system32\DRIVERS\WUDFRd.sys
2010/08/26 23:06:30.0589 XAudio (22a08b9faecd6a306868f59b7f03f188) C:\Windows\system32\DRIVERS\XAudio32.sys
2010/08/26 23:06:30.0698 ZTEusbmdm6k (b8b466103280e45e391e876f05122607) C:\Windows\system32\DRIVERS\ZTEusbmdm6k.sys
2010/08/26 23:06:30.0823 ZTEusbnet (911ba85906bc7602c73441502abfb565) C:\Windows\system32\DRIVERS\ZTEusbnet.sys
2010/08/26 23:06:30.0917 ZTEusbnmea (69774b89725ddc4781e0eeb9809f3b20) C:\Windows\system32\DRIVERS\ZTEusbnmea.sys
2010/08/26 23:06:31.0010 ZTEusbser6k (b8b466103280e45e391e876f05122607) C:\Windows\system32\DRIVERS\ZTEusbser6k.sys
2010/08/26 23:06:31.0057 ZTEusbvoice (b8b466103280e45e391e876f05122607) C:\Windows\system32\DRIVERS\ZTEusbvoice.sys
2010/08/26 23:06:31.0104 ================================================================================
2010/08/26 23:06:31.0104 Scan finished
2010/08/26 23:06:31.0104 ================================================================================
2010/08/26 23:06:31.0120 Detected object count: 1
2010/08/26 23:06:41.0962 RDPENCDD (fbb6a39495c0b710019463f6ec87803c) C:\Windows\system32\DRIVERS\RDPENCDD.SYS
2010/08/26 23:06:41.0962 Suspicious file (Forged): C:\Windows\system32\DRIVERS\RDPENCDD.SYS. Real md5: fbb6a39495c0b710019463f6ec87803c, Fake md5: 9d91fe5286f748862ecffa05f8a0710c
2010/08/26 23:06:46.0267 Backup copy not found, trying to cure infected file..
2010/08/26 23:06:46.0267 Cure success, using it..
2010/08/26 23:06:46.0283 C:\Windows\system32\DRIVERS\RDPENCDD.SYS - will be cured after reboot
2010/08/26 23:06:46.0283 Rootkit.Win32.TDSS.tdl3(RDPENCDD) - User select action: Cure
2010/08/26 23:07:25.0205 Deinitialize success

yop,


le rapport est trop long pour être copier coller directement ...


mais l'outil à bien déniché l'infection et semble avoir fait le job ...


cependant il me faut ce rapport complet avant de poursuivre ...


essaye de me le faire parvenir ainsi :

rends toi sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport report.txt qui est sauvegardé ici C:\tdsskiller\report.txt.

Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...

Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....




si cela ne fonctionne toujours pas, archive le avec 7-Zip et fait moi le parvenir par SendSpace ....

http://www.cijoint.fr/cjlink.php?file=cj201008/cijdE7U5...
http://www.cijoint.fr/cjlink.php?file=cj201008/cijevdDm...
http://www.cijoint.fr/cjlink.php?file=cj201008/cijmeGu8...

mon anti-virus me demande une mise à jour, dois-je la faire?

re,


mon anti-virus me demande une mise à jour, dois-je la faire?


oui ... et une fois fait , voilà la suite :


Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<

Ferme tes applications en cours ( ainsi que ton navigateur ) .

DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe.
En effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
> Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...

Tuto ( aide ) ici : http://www.bleepingcomputer.com/combofix/fr/comment-uti...

Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<


Ensuite :
> Clique droit / "executer en tant qu'admin..." sur l'icône "ComboFix.exe" pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


Notes importantes :
-> Ne rien faire avec le PC pendant le scan !
-> N'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Si l'otuil t'anonce qu'un version plus récente de ComboFix est disponible, accepte la mise à jour.
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes .
-> Si après un reboot éventuel , ton antivirus s'affole lorsque travail encore ComboFix , ignore les alertes ! ( ne supprime rien et ne mets rien en quarantaine )

Le rapport sera crée ici : C:\Combofix.txt

Réactive bien tes défenses une fois la procédure terminée.


> Poste le rapport ComboFix pour analyse et attends la suite ...

ComboFix 10-08-26.02 - Corinne 27/08/2010 8:06.1.2 - x86
Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6002.2.1252.33.1036.18.3068.1960 [GMT 2:00]
Lancé depuis: c:\users\Corinne\Desktop\ComboFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\Corinne\AppData\Roaming\Microsoft\Windows\Recent\eb.tmp
c:\users\Corinne\AppData\Roaming\Microsoft\Windows\Recent\hymt.tmp
c:\users\Corinne\AppData\Roaming\Microsoft\Windows\Recent\runddlkey.tmp
c:\users\Corinne\AppData\Roaming\Microsoft\Windows\Recent\sld.tmp

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-07-27 au 2010-08-27 ))))))))))))))))))))))))))))))))))))
.

2010-08-27 06:13 . 2010-08-27 06:13 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-08-27 01:33 . 2010-06-08 17:35 3600768 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-08-27 01:33 . 2010-06-08 17:35 3548040 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-08-27 01:33 . 2010-06-11 16:15 1248768 ----a-w- c:\windows\system32\msxml3.dll
2010-08-27 01:33 . 2010-06-18 15:04 302080 ----a-w- c:\windows\system32\drivers\srv.sys
2010-08-27 01:33 . 2010-06-18 15:04 144896 ----a-w- c:\windows\system32\drivers\srv2.sys
2010-08-27 01:33 . 2010-06-16 16:04 905088 ----a-w- c:\windows\system32\drivers\tcpip.sys
2010-08-26 20:59 . 2010-08-26 21:16 -------- d-----w- C:\tdsskiller
2010-08-26 20:49 . 2010-08-26 20:49 -------- d-----w- c:\program files\CCleaner
2010-08-26 19:37 . 2010-08-26 19:37 -------- d-----w- c:\users\Corinne\AppData\Roaming\Malwarebytes
2010-08-26 19:37 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-26 19:37 . 2010-08-26 19:37 -------- d-----w- c:\programdata\Malwarebytes
2010-08-26 19:37 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-08-26 19:37 . 2010-08-26 19:37 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-08-26 19:16 . 2010-08-26 19:16 2560 ----a-w- c:\windows\_MSRSTRT.EXE
2010-08-26 18:06 . 2010-08-26 18:09 -------- d-----w- c:\program files\Ad-Remover
2010-08-26 17:47 . 2010-08-26 17:58 -------- d---a-w- C:\Navilog1
2010-08-26 15:42 . 2010-08-26 15:42 -------- d-----w- c:\program files\7-Zip
2010-08-26 14:57 . 2010-08-26 14:57 -------- d-----w- c:\users\Corinne\AppData\Roaming\freeCompressor
2010-08-26 14:57 . 2010-08-26 15:47 -------- d-----w- c:\users\Corinne\AppData\Local\freecompressor Air
2010-08-26 14:57 . 2010-08-26 15:48 -------- d-----w- c:\program files\FreeCompressor
2010-08-26 11:28 . 2010-08-26 20:03 -------- d-----w- c:\program files\ZHPDiag
2010-08-16 18:34 . 2010-08-16 19:05 -------- d-----w- c:\program files\Wise Registry Cleaner
2010-08-16 16:03 . 2010-08-16 18:57 -------- d-----w- c:\program files\ESET
2010-08-16 15:39 . 2010-08-16 15:39 -------- d-----w- c:\users\Corinne\FrostWire
2010-08-16 15:39 . 2010-08-16 15:39 -------- d-----w- c:\users\Corinne\.frostwire4.20
2010-08-16 14:15 . 2010-08-16 14:15 -------- d-----w- c:\users\Corinne\AppData\Local\Microsoft Corporation
2010-08-16 14:15 . 2010-08-16 14:15 -------- d-----w- c:\program files\Microsoft Windows 7 Upgrade Advisor
2010-08-12 14:07 . 2010-08-12 14:07 6144 ----a-w- c:\windows\system32\drivers\cbfopbcc.sys
2010-08-12 09:47 . 2010-08-12 09:47 -------- d-----w- c:\users\Corinne\AppData\Roaming\GlarySoft
2010-08-12 09:41 . 2010-08-16 13:22 -------- d-----w- c:\program files\Glary Utilities
2010-08-12 09:03 . 2010-08-12 09:04 -------- d-----w- c:\program files\Microsoft Security Essentials(119)
2010-08-12 07:59 . 2010-08-12 07:59 0 ----a-w- c:\windows\nsreg.dat
2010-08-12 07:55 . 2010-08-16 13:22 -------- d-----w- c:\program files\Common Files\Skype
2010-08-11 13:53 . 2010-08-11 15:00 -------- d-----w- c:\programdata\589e08b
2010-08-11 11:03 . 2010-08-11 11:03 -------- d-----w- c:\users\Corinne\AppData\Local\Mozilla

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-27 05:54 . 2008-01-21 07:23 699726 ----a-w- c:\windows\system32\perfh00C.dat
2010-08-27 05:54 . 2008-01-21 07:23 133720 ----a-w- c:\windows\system32\perfc00C.dat
2010-08-27 05:43 . 2009-03-17 18:42 -------- d-----w- c:\program files\Microsoft Works
2010-08-27 05:39 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-08-26 21:24 . 2010-05-11 11:31 1 ----a-w- c:\users\Corinne\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-08-26 21:08 . 2008-01-21 02:34 6144 ----a-w- c:\windows\system32\drivers\RDPENCDD.sys
2010-08-26 20:54 . 2009-09-24 16:49 -------- d-----w- c:\users\Corinne\AppData\Roaming\Media Player Classic
2010-08-26 20:54 . 2009-11-09 16:07 -------- d-----w- c:\users\Corinne\AppData\Roaming\Azureus
2010-08-26 19:30 . 2009-09-20 06:03 -------- d-----w- c:\programdata\Partner
2010-08-26 10:53 . 2009-09-20 10:28 -------- d-----w- c:\users\Corinne\AppData\Roaming\Skype
2010-08-26 09:50 . 2009-09-20 10:32 -------- d-----w- c:\users\Corinne\AppData\Roaming\skypePM
2010-08-16 15:40 . 2010-07-06 08:59 -------- d-----w- c:\program files\FrostWire
2010-08-16 14:34 . 2009-09-21 08:46 -------- d-----w- c:\users\Corinne\AppData\Roaming\LimeWire
2010-08-16 13:22 . 2009-11-09 16:06 -------- d-----w- c:\program files\Vuze
2010-08-16 13:22 . 2009-09-24 17:09 -------- d-----w- c:\programdata\FLEXnet
2010-08-16 13:22 . 2009-09-20 10:27 -------- d-----r- c:\program files\Skype
2010-08-16 13:22 . 2009-10-12 18:47 -------- d-----w- c:\program files\Messenger Plus! Live
2010-08-12 10:25 . 2010-08-12 10:25 673280 ----a-w- c:\windows\isRS-000.tmp
2010-08-11 15:37 . 2010-05-31 16:50 -------- d-----w- c:\program files\JeffProd(86)
2010-08-09 03:56 . 2010-05-31 16:50 -------- d-----w- c:\program files\JeffProd(85)
2010-07-06 17:06 . 2010-07-06 09:00 -------- d-----w- c:\users\Corinne\AppData\Roaming\FrostWire
2010-06-26 06:05 . 2010-08-27 01:34 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-26 06:02 . 2010-08-27 01:34 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-06-26 06:02 . 2010-08-27 01:34 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-06-26 04:25 . 2010-08-27 01:34 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2010-06-21 13:37 . 2010-08-27 01:34 2037760 ----a-w- c:\windows\system32\win32k.sys
2010-06-18 17:31 . 2010-08-27 01:34 36864 ----a-w- c:\windows\system32\rtutils.dll
2010-06-16 13:48 . 2010-06-13 13:01 427376 ----a-w- c:\users\Corinne\AppData\Roaming\HiYo\Data\hiyo_install.exe
2010-06-11 16:16 . 2010-08-27 01:34 274944 ----a-w- c:\windows\system32\schannel.dll
2010-05-31 16:38 . 2010-05-31 16:38 1854 ----a-w- c:\windows\system32\SpoonUninstall-Objectif Tarot.dat
2010-05-31 16:38 . 2010-05-31 16:38 131584 ----a-w- c:\windows\system32\SpoonUninstall.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
2009-10-15 08:53 165184 ----a-w- c:\program files\Neuf\Kit\SFRNavErrorHelper.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmpcSys"="c:\program files\PACKARD BELL\SetUpMyPC\SmpSys.exe" [2009-03-18 1160736]
"Skype"="c:\program files\Skype\\Phone\Skype.exe" [2010-05-13 26192168]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" [2008-12-12 1840424]
"IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2010-04-26 353736]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"Connexion SFR 9props.exe"="c:\program files\Neuf\Kit\9props.exe" [2009-10-15 959808]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-06-24 30192]
"BackupManagerTray"="c:\program files\NewTech Infosystems\Packard Bell MyBackup\BackupManagerTray.exe" [2009-03-09 250624]
"Acer ePower Management"="c:\program files\Packard Bell\Packard Bell PowerSave Solution\ePowerTray.exe" [2009-03-11 715296]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-02-13 61440]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-02-24 6789664]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-02-06 1430824]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2009-02-12 862728]
"RemoteControl8"="c:\program files\CyberLink\PowerDVD8\PDVD8Serv.exe" [2008-10-17 91432]
"PDVD8LanguageShortcut"="c:\program files\CyberLink\PowerDVD8\Language\Language.exe" [2007-12-14 50472]
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-12-02 2221352]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"Hiyo"="c:\program files\HiYo\bin\HiYo.exe" [2010-04-26 247152]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2010-04-07 2145000]

c:\users\Corinne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Notification de cadeaux MSN.lnk - c:\users\Corinne\AppData\Roaming\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-9-29 135680]
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
hpoddt01.exe.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-4-6 28672]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):af,25,66,f9,9f,3d,ca,01

R2 HsfXAudioService;HsfXAudioService;c:\windows\system32\svchost.exe [2008-01-21 21504]
R3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2010-06-24 30192]
R3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [2008-10-29 7680]
R3 ZTEusbnet;ZTE USB-NDIS miniport;c:\windows\system32\DRIVERS\ZTEusbnet.sys [2008-10-13 110080]
R3 ZTEusbvoice;ZTE VoUSB Port;c:\windows\system32\DRIVERS\ZTEusbvoice.sys [2008-10-15 104960]
S0 AFS;AFS; [x]
S1 ehdrv;ehdrv;c:\windows\system32\DRIVERS\ehdrv.sys [2010-04-07 114984]
S2 eamonm;eamonm;c:\windows\system32\DRIVERS\eamonm.sys [2010-04-07 134024]
S2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2010-04-07 810120]
S2 epfwwfpr;epfwwfpr;c:\windows\system32\DRIVERS\epfwwfpr.sys [2010-04-07 96896]
S2 ePowerSvc;Acer ePower Service;c:\program files\PACKARD BELL\Packard Bell PowerSave Solution\ePowerSvc.exe [2009-03-11 666144]
S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504]
S2 NTI IScheduleSvc;NTI IScheduleSvc;c:\program files\NewTech Infosystems\Packard Bell MyBackup\IScheduleSvc.exe [2009-03-09 44800]
S2 ServiceSFRABCD;Service SFR Gestionnaire Connexion;c:\program files\SFR\Gestionnaire de Connexion SFR\SFRABCDService.exe [2009-09-01 657024]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atipmdag.sys [2009-02-13 4385280]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2009-02-13 93696]
S3 k57nd60x;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60x.sys [2008-09-03 223232]
S3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\NETw5v32.sys [2008-09-24 3666432]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ezSharedSvc
.
Contenu du dossier 'Tâches planifiées'

2010-08-27 c:\windows\Tasks\GlaryInitialize.job
- c:\program files\Glary Utilities\initialize.exe [2010-08-12 09:21]

2010-08-26 c:\windows\Tasks\User_Feed_Synchronization-{C122E955-6A32-400A-B666-38ABEF68A2A2}.job
- c:\windows\system32\msfeedssync.exe [2010-08-27 04:24]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
.
- - - - ORPHELINS SUPPRIMES - - - -

SafeBoot-klmdb.sys



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-27 08:13
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés:

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2010-08-27 08:16:45
ComboFix-quarantined-files.txt 2010-08-27 06:16

Avant-CF: 104 995 823 616 octets libres
Après-CF: 104 839 991 296 octets libres

- - End Of File - - 2512983A40D6053C83B85E456EC8A211

hello,



encore un peut de job ... dans l'ordre :



1- Créer un doc texte sur ton bureau :

Pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

KillAll::

Driver::
AFS

DirLook::
c:\programdata\589e08b

FileLook::
c:\windows\system32\drivers\cbfopbcc.sys
c:\windows\isRS-000.tmp

RegLock::
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]

Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : CFScript puis valide ...



2- Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--> Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

Regarde ici :


Cette manipulation va relancer Combofix !

Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

! Ne touches à rien tant que le scan n'est pas terminé !

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

-> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

Salut,
Lorsque je veux l'enregistrer, il me demande si je veux conserver le format actuel ou au format ODF, je fais quoi?

je vais le faire au format actuel, je pense que tu me l'aurais précisé si c'était au format ODF...je me lance!!!

j'espère que j'me suis pas plantée, voici le rapport :

ComboFix 10-08-26.02 - Corinne 27/08/2010 15:39:34.2.2 - x86
Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6002.2.1252.33.1036.18.3068.1910 [GMT 2:00]
Lancé depuis: c:\users\Corinne\Desktop\ComboFix.exe
Commutateurs utilisés :: c:\users\Corinne\Desktop\CFScript.txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_AFS
-------\Service_AFS


((((((((((((((((((((((((((((( Fichiers créés du 2010-07-27 au 2010-08-27 ))))))))))))))))))))))))))))))))))))
.

2010-08-27 13:44 . 2010-08-27 13:46 -------- d-----w- c:\users\Corinne\AppData\Local\temp
2010-08-27 13:44 . 2010-08-27 13:44 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-08-27 01:33 . 2010-06-08 17:35 3600768 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-08-27 01:33 . 2010-06-08 17:35 3548040 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-08-27 01:33 . 2010-06-11 16:15 1248768 ----a-w- c:\windows\system32\msxml3.dll
2010-08-27 01:33 . 2010-06-18 15:04 302080 ----a-w- c:\windows\system32\drivers\srv.sys
2010-08-27 01:33 . 2010-06-18 15:04 144896 ----a-w- c:\windows\system32\drivers\srv2.sys
2010-08-27 01:33 . 2010-06-16 16:04 905088 ----a-w- c:\windows\system32\drivers\tcpip.sys
2010-08-26 20:59 . 2010-08-26 21:16 -------- d-----w- C:\tdsskiller
2010-08-26 20:49 . 2010-08-26 20:49 -------- d-----w- c:\program files\CCleaner
2010-08-26 19:37 . 2010-08-26 19:37 -------- d-----w- c:\users\Corinne\AppData\Roaming\Malwarebytes
2010-08-26 19:37 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-26 19:37 . 2010-08-26 19:37 -------- d-----w- c:\programdata\Malwarebytes
2010-08-26 19:37 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-08-26 19:37 . 2010-08-26 19:37 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-08-26 19:16 . 2010-08-26 19:16 2560 ----a-w- c:\windows\_MSRSTRT.EXE
2010-08-26 18:06 . 2010-08-26 18:09 -------- d-----w- c:\program files\Ad-Remover
2010-08-26 17:47 . 2010-08-26 17:58 -------- d---a-w- C:\Navilog1
2010-08-26 15:42 . 2010-08-26 15:42 -------- d-----w- c:\program files\7-Zip
2010-08-26 14:57 . 2010-08-26 14:57 -------- d-----w- c:\users\Corinne\AppData\Roaming\freeCompressor
2010-08-26 14:57 . 2010-08-26 15:47 -------- d-----w- c:\users\Corinne\AppData\Local\freecompressor Air
2010-08-26 14:57 . 2010-08-26 15:48 -------- d-----w- c:\program files\FreeCompressor
2010-08-26 11:28 . 2010-08-26 20:03 -------- d-----w- c:\program files\ZHPDiag
2010-08-16 18:34 . 2010-08-16 19:05 -------- d-----w- c:\program files\Wise Registry Cleaner
2010-08-16 16:03 . 2010-08-16 18:57 -------- d-----w- c:\program files\ESET
2010-08-16 15:39 . 2010-08-16 15:39 -------- d-----w- c:\users\Corinne\FrostWire
2010-08-16 15:39 . 2010-08-16 15:39 -------- d-----w- c:\users\Corinne\.frostwire4.20
2010-08-16 14:15 . 2010-08-16 14:15 -------- d-----w- c:\users\Corinne\AppData\Local\Microsoft Corporation
2010-08-16 14:15 . 2010-08-16 14:15 -------- d-----w- c:\program files\Microsoft Windows 7 Upgrade Advisor
2010-08-12 14:07 . 2010-08-12 14:07 6144 ----a-w- c:\windows\system32\drivers\cbfopbcc.sys
2010-08-12 09:47 . 2010-08-12 09:47 -------- d-----w- c:\users\Corinne\AppData\Roaming\GlarySoft
2010-08-12 09:41 . 2010-08-16 13:22 -------- d-----w- c:\program files\Glary Utilities
2010-08-12 09:03 . 2010-08-12 09:04 -------- d-----w- c:\program files\Microsoft Security Essentials(119)
2010-08-12 07:59 . 2010-08-12 07:59 0 ----a-w- c:\windows\nsreg.dat
2010-08-12 07:55 . 2010-08-16 13:22 -------- d-----w- c:\program files\Common Files\Skype
2010-08-11 13:53 . 2010-08-11 15:00 -------- d-----w- c:\programdata\589e08b
2010-08-11 11:03 . 2010-08-11 11:03 -------- d-----w- c:\users\Corinne\AppData\Local\Mozilla

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-27 11:21 . 2010-05-11 11:31 1 ----a-w- c:\users\Corinne\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-08-27 07:10 . 2008-01-21 07:23 699726 ----a-w- c:\windows\system32\perfh00C.dat
2010-08-27 07:10 . 2008-01-21 07:23 133720 ----a-w- c:\windows\system32\perfc00C.dat
2010-08-27 05:43 . 2009-03-17 18:42 -------- d-----w- c:\program files\Microsoft Works
2010-08-27 05:39 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-08-26 21:08 . 2008-01-21 02:34 6144 ----a-w- c:\windows\system32\drivers\RDPENCDD.sys
2010-08-26 20:54 . 2009-09-24 16:49 -------- d-----w- c:\users\Corinne\AppData\Roaming\Media Player Classic
2010-08-26 20:54 . 2009-11-09 16:07 -------- d-----w- c:\users\Corinne\AppData\Roaming\Azureus
2010-08-26 19:30 . 2009-09-20 06:03 -------- d-----w- c:\programdata\Partner
2010-08-26 10:53 . 2009-09-20 10:28 -------- d-----w- c:\users\Corinne\AppData\Roaming\Skype
2010-08-26 09:50 . 2009-09-20 10:32 -------- d-----w- c:\users\Corinne\AppData\Roaming\skypePM
2010-08-16 15:40 . 2010-07-06 08:59 -------- d-----w- c:\program files\FrostWire
2010-08-16 14:34 . 2009-09-21 08:46 -------- d-----w- c:\users\Corinne\AppData\Roaming\LimeWire
2010-08-16 13:22 . 2009-11-09 16:06 -------- d-----w- c:\program files\Vuze
2010-08-16 13:22 . 2009-09-24 17:09 -------- d-----w- c:\programdata\FLEXnet
2010-08-16 13:22 . 2009-09-20 10:27 -------- d-----r- c:\program files\Skype
2010-08-16 13:22 . 2009-10-12 18:47 -------- d-----w- c:\program files\Messenger Plus! Live
2010-08-12 10:25 . 2010-08-12 10:25 673280 ----a-w- c:\windows\isRS-000.tmp
2010-08-11 15:37 . 2010-05-31 16:50 -------- d-----w- c:\program files\JeffProd(86)
2010-08-09 03:56 . 2010-05-31 16:50 -------- d-----w- c:\program files\JeffProd(85)
2010-07-06 17:06 . 2010-07-06 09:00 -------- d-----w- c:\users\Corinne\AppData\Roaming\FrostWire
2010-06-26 06:05 . 2010-08-27 01:34 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-26 06:02 . 2010-08-27 01:34 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-06-26 06:02 . 2010-08-27 01:34 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-06-26 04:25 . 2010-08-27 01:34 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2010-06-21 13:37 . 2010-08-27 01:34 2037760 ----a-w- c:\windows\system32\win32k.sys
2010-06-18 17:31 . 2010-08-27 01:34 36864 ----a-w- c:\windows\system32\rtutils.dll
2010-06-16 13:48 . 2010-06-13 13:01 427376 ----a-w- c:\users\Corinne\AppData\Roaming\HiYo\Data\hiyo_install.exe
2010-06-11 16:16 . 2010-08-27 01:34 274944 ----a-w- c:\windows\system32\schannel.dll
2010-05-31 16:38 . 2010-05-31 16:38 1854 ----a-w- c:\windows\system32\SpoonUninstall-Objectif Tarot.dat
2010-05-31 16:38 . 2010-05-31 16:38 131584 ----a-w- c:\windows\system32\SpoonUninstall.exe
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

--- c:\windows\isRS-000.tmp ---
Company:
File Description: Setup/Uninstall
File Version: 51.46.0.0
Product Name: Inno Setup
Copyright: Copyright (C) 1997-2007 Jordan Russell. Portions Copyright (C) 2000-2007 Martijn Laan.
Original Filename:
File size: 673280
Created time: 2010-08-12 10:25
Modified time: 2010-08-12 10:25
MD5: CE371DFAE6C572648DF9A7458BCDCC81
SHA1: F15CD013591E6F2170846E92BEAAE698F6ECA75E


--- c:\windows\system32\drivers\cbfopbcc.sys ---
Company: Microsoft Corporation
File Description: RDP Miniport
File Version: 6.0.6001.18000 (longhorn_rtm.080118-1840)
Product Name: Microsoft® Windows® Operating System
Copyright: © Microsoft Corporation. All rights reserved.
Original Filename: RDPCDD.SYS
File size: 6144
Created time: 2010-08-12 14:07
Modified time: 2010-08-12 14:07
MD5: 9D91FE5286F748862ECFFA05F8A0710C
SHA1: 5EBB812E9F710FB37FEEADD35ACA69E303BA3151

---- Directory of c:\programdata\589e08b ----

2010-08-11 13:53 . 2010-08-11 15:00 5265 ----a-w- c:\programdata\589e08b\MSSSys\VDAI.ntf


((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
2009-10-15 08:53 165184 ----a-w- c:\program files\Neuf\Kit\SFRNavErrorHelper.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmpcSys"="c:\program files\PACKARD BELL\SetUpMyPC\SmpSys.exe" [2009-03-18 1160736]
"Skype"="c:\program files\Skype\\Phone\Skype.exe" [2010-05-13 26192168]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" [2008-12-12 1840424]
"IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2010-04-26 353736]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"Connexion SFR 9props.exe"="c:\program files\Neuf\Kit\9props.exe" [2009-10-15 959808]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-06-24 30192]
"BackupManagerTray"="c:\program files\NewTech Infosystems\Packard Bell MyBackup\BackupManagerTray.exe" [2009-03-09 250624]
"Acer ePower Management"="c:\program files\Packard Bell\Packard Bell PowerSave Solution\ePowerTray.exe" [2009-03-11 715296]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-02-13 61440]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-02-24 6789664]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-02-06 1430824]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2009-02-12 862728]
"RemoteControl8"="c:\program files\CyberLink\PowerDVD8\PDVD8Serv.exe" [2008-10-17 91432]
"PDVD8LanguageShortcut"="c:\program files\CyberLink\PowerDVD8\Language\Language.exe" [2007-12-14 50472]
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-12-02 2221352]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"Hiyo"="c:\program files\HiYo\bin\HiYo.exe" [2010-04-26 247152]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2010-04-07 2145000]

c:\users\Corinne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Notification de cadeaux MSN.lnk - c:\users\Corinne\AppData\Roaming\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-9-29 135680]
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
hpoddt01.exe.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-4-6 28672]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):af,25,66,f9,9f,3d,ca,01

R2 HsfXAudioService;HsfXAudioService;c:\windows\system32\svchost.exe [2008-01-21 21504]
R3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2010-06-24 30192]
R3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [2008-10-29 7680]
R3 ZTEusbnet;ZTE USB-NDIS miniport;c:\windows\system32\DRIVERS\ZTEusbnet.sys [2008-10-13 110080]
R3 ZTEusbvoice;ZTE VoUSB Port;c:\windows\system32\DRIVERS\ZTEusbvoice.sys [2008-10-15 104960]
S1 ehdrv;ehdrv;c:\windows\system32\DRIVERS\ehdrv.sys [2010-04-07 114984]
S2 eamonm;eamonm;c:\windows\system32\DRIVERS\eamonm.sys [2010-04-07 134024]
S2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2010-04-07 810120]
S2 epfwwfpr;epfwwfpr;c:\windows\system32\DRIVERS\epfwwfpr.sys [2010-04-07 96896]
S2 ePowerSvc;Acer ePower Service;c:\program files\PACKARD BELL\Packard Bell PowerSave Solution\ePowerSvc.exe [2009-03-11 666144]
S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504]
S2 NTI IScheduleSvc;NTI IScheduleSvc;c:\program files\NewTech Infosystems\Packard Bell MyBackup\IScheduleSvc.exe [2009-03-09 44800]
S2 ServiceSFRABCD;Service SFR Gestionnaire Connexion;c:\program files\SFR\Gestionnaire de Connexion SFR\SFRABCDService.exe [2009-09-01 657024]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atipmdag.sys [2009-02-13 4385280]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2009-02-13 93696]
S3 k57nd60x;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60x.sys [2008-09-03 223232]
S3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\NETw5v32.sys [2008-09-24 3666432]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ezSharedSvc
.
Contenu du dossier 'Tâches planifiées'

2010-08-27 c:\windows\Tasks\GlaryInitialize.job
- c:\program files\Glary Utilities\initialize.exe [2010-08-12 09:21]

2010-08-26 c:\windows\Tasks\User_Feed_Synchronization-{C122E955-6A32-400A-B666-38ABEF68A2A2}.job
- c:\windows\system32\msfeedssync.exe [2010-08-27 04:24]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-27 15:48
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés:

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'Explorer.exe'(5164)
c:\program files\PACKARD BELL\Packard Bell PowerSave Solution\SysHook.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\conime.exe
c:\program files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\IoctlSvc.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\Launch Manager\LManager.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\Synaptics\SynTP\SynTPHelper.exe
c:\program files\IncrediMail\Bin\ImApp.exe
c:\users\Corinne\AppData\Local\Temp\RtkBtMnt.exe
c:\program files\Common Files\Nero\Lib\NMIndexingService.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
.
**************************************************************************
.
Heure de fin: 2010-08-27 15:54:15 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-08-27 13:53
ComboFix2.txt 2010-08-27 06:16

Avant-CF: 104 584 253 440 octets libres
Après-CF: 104 426 954 752 octets libres

- - End Of File - - 2B6E5D60D26F6D800BDF0404E2F759FC

hello,


tu ne t'es pas planté ...  


on va reprendre avec un nouveau script :



1- Créer un doc texte sur ton bureau :

Pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

File::
c:\windows\system32\drivers\cbfopbcc.sys

Folder::
c:\programdata\589e08b

Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : CFScript puis valide ...



2- Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--> Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

Regarde ici :


Cette manipulation va relancer Combofix !

Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

! Ne touches à rien tant que le scan n'est pas terminé !

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

-> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

ComboFix 10-08-26.02 - Corinne 27/08/2010 16:53:49.3.2 - x86
Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6002.2.1252.33.1036.18.3068.1896 [GMT 2:00]
Lancé depuis: c:\users\Corinne\Desktop\ComboFix.exe
Commutateurs utilisés :: c:\users\Corinne\Desktop\CFScript.txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

FILE ::
"c:\windows\system32\drivers\cbfopbcc.sys"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programdata\589e08b
c:\programdata\589e08b\MSSSys\VDAI.ntf
c:\windows\system32\drivers\cbfopbcc.sys

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-07-27 au 2010-08-27 ))))))))))))))))))))))))))))))))))))
.

2010-08-27 14:59 . 2010-08-27 14:59 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-08-27 14:59 . 2010-08-27 14:59 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-08-27 13:44 . 2010-08-27 14:59 -------- d-----w- c:\users\Corinne\AppData\Local\temp
2010-08-27 01:33 . 2010-06-08 17:35 3600768 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-08-27 01:33 . 2010-06-08 17:35 3548040 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-08-27 01:33 . 2010-06-11 16:15 1248768 ----a-w- c:\windows\system32\msxml3.dll
2010-08-27 01:33 . 2010-06-18 15:04 302080 ----a-w- c:\windows\system32\drivers\srv.sys
2010-08-27 01:33 . 2010-06-18 15:04 144896 ----a-w- c:\windows\system32\drivers\srv2.sys
2010-08-27 01:33 . 2010-06-16 16:04 905088 ----a-w- c:\windows\system32\drivers\tcpip.sys
2010-08-26 20:59 . 2010-08-26 21:16 -------- d-----w- C:\tdsskiller
2010-08-26 20:49 . 2010-08-26 20:49 -------- d-----w- c:\program files\CCleaner
2010-08-26 19:37 . 2010-08-26 19:37 -------- d-----w- c:\users\Corinne\AppData\Roaming\Malwarebytes
2010-08-26 19:37 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-26 19:37 . 2010-08-26 19:37 -------- d-----w- c:\programdata\Malwarebytes
2010-08-26 19:37 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-08-26 19:37 . 2010-08-26 19:37 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-08-26 19:16 . 2010-08-26 19:16 2560 ----a-w- c:\windows\_MSRSTRT.EXE
2010-08-26 18:06 . 2010-08-26 18:09 -------- d-----w- c:\program files\Ad-Remover
2010-08-26 17:47 . 2010-08-26 17:58 -------- d---a-w- C:\Navilog1
2010-08-26 15:42 . 2010-08-26 15:42 -------- d-----w- c:\program files\7-Zip
2010-08-26 14:57 . 2010-08-26 14:57 -------- d-----w- c:\users\Corinne\AppData\Roaming\freeCompressor
2010-08-26 14:57 . 2010-08-26 15:47 -------- d-----w- c:\users\Corinne\AppData\Local\freecompressor Air
2010-08-26 14:57 . 2010-08-26 15:48 -------- d-----w- c:\program files\FreeCompressor
2010-08-26 11:28 . 2010-08-26 20:03 -------- d-----w- c:\program files\ZHPDiag
2010-08-16 18:34 . 2010-08-16 19:05 -------- d-----w- c:\program files\Wise Registry Cleaner
2010-08-16 16:03 . 2010-08-16 18:57 -------- d-----w- c:\program files\ESET
2010-08-16 15:39 . 2010-08-16 15:39 -------- d-----w- c:\users\Corinne\FrostWire
2010-08-16 15:39 . 2010-08-16 15:39 -------- d-----w- c:\users\Corinne\.frostwire4.20
2010-08-16 14:15 . 2010-08-16 14:15 -------- d-----w- c:\users\Corinne\AppData\Local\Microsoft Corporation
2010-08-16 14:15 . 2010-08-16 14:15 -------- d-----w- c:\program files\Microsoft Windows 7 Upgrade Advisor
2010-08-12 09:47 . 2010-08-12 09:47 -------- d-----w- c:\users\Corinne\AppData\Roaming\GlarySoft
2010-08-12 09:41 . 2010-08-16 13:22 -------- d-----w- c:\program files\Glary Utilities
2010-08-12 09:03 . 2010-08-12 09:04 -------- d-----w- c:\program files\Microsoft Security Essentials(119)
2010-08-12 07:59 . 2010-08-12 07:59 0 ----a-w- c:\windows\nsreg.dat
2010-08-12 07:55 . 2010-08-16 13:22 -------- d-----w- c:\program files\Common Files\Skype
2010-08-11 11:03 . 2010-08-11 11:03 -------- d-----w- c:\users\Corinne\AppData\Local\Mozilla

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-27 14:05 . 2010-05-11 11:31 1 ----a-w- c:\users\Corinne\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-08-27 13:53 . 2008-01-21 07:23 699726 ----a-w- c:\windows\system32\perfh00C.dat
2010-08-27 13:53 . 2008-01-21 07:23 133720 ----a-w- c:\windows\system32\perfc00C.dat
2010-08-27 05:43 . 2009-03-17 18:42 -------- d-----w- c:\program files\Microsoft Works
2010-08-27 05:39 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-08-26 21:08 . 2008-01-21 02:34 6144 ----a-w- c:\windows\system32\drivers\RDPENCDD.sys
2010-08-26 20:54 . 2009-09-24 16:49 -------- d-----w- c:\users\Corinne\AppData\Roaming\Media Player Classic
2010-08-26 20:54 . 2009-11-09 16:07 -------- d-----w- c:\users\Corinne\AppData\Roaming\Azureus
2010-08-26 19:30 . 2009-09-20 06:03 -------- d-----w- c:\programdata\Partner
2010-08-26 10:53 . 2009-09-20 10:28 -------- d-----w- c:\users\Corinne\AppData\Roaming\Skype
2010-08-26 09:50 . 2009-09-20 10:32 -------- d-----w- c:\users\Corinne\AppData\Roaming\skypePM
2010-08-16 15:40 . 2010-07-06 08:59 -------- d-----w- c:\program files\FrostWire
2010-08-16 14:34 . 2009-09-21 08:46 -------- d-----w- c:\users\Corinne\AppData\Roaming\LimeWire
2010-08-16 13:22 . 2009-11-09 16:06 -------- d-----w- c:\program files\Vuze
2010-08-16 13:22 . 2009-09-24 17:09 -------- d-----w- c:\programdata\FLEXnet
2010-08-16 13:22 . 2009-09-20 10:27 -------- d-----r- c:\program files\Skype
2010-08-16 13:22 . 2009-10-12 18:47 -------- d-----w- c:\program files\Messenger Plus! Live
2010-08-12 10:25 . 2010-08-12 10:25 673280 ----a-w- c:\windows\isRS-000.tmp
2010-08-11 15:37 . 2010-05-31 16:50 -------- d-----w- c:\program files\JeffProd(86)
2010-08-09 03:56 . 2010-05-31 16:50 -------- d-----w- c:\program files\JeffProd(85)
2010-07-06 17:06 . 2010-07-06 09:00 -------- d-----w- c:\users\Corinne\AppData\Roaming\FrostWire
2010-06-26 06:05 . 2010-08-27 01:34 916480 ----a-w- c:\windows\system32\wininet.dll
2010-06-26 06:02 . 2010-08-27 01:34 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-06-26 06:02 . 2010-08-27 01:34 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-06-26 04:25 . 2010-08-27 01:34 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2010-06-21 13:37 . 2010-08-27 01:34 2037760 ----a-w- c:\windows\system32\win32k.sys
2010-06-18 17:31 . 2010-08-27 01:34 36864 ----a-w- c:\windows\system32\rtutils.dll
2010-06-16 13:48 . 2010-06-13 13:01 427376 ----a-w- c:\users\Corinne\AppData\Roaming\HiYo\Data\hiyo_install.exe
2010-06-11 16:16 . 2010-08-27 01:34 274944 ----a-w- c:\windows\system32\schannel.dll
2010-05-31 16:38 . 2010-05-31 16:38 1854 ----a-w- c:\windows\system32\SpoonUninstall-Objectif Tarot.dat
2010-05-31 16:38 . 2010-05-31 16:38 131584 ----a-w- c:\windows\system32\SpoonUninstall.exe
.

((((((((((((((((((((((((((((( SnapShot@2010-08-27_06.13.48 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-01-21 01:58 . 2010-08-27 07:06 65956 c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
- 2006-11-02 13:02 . 2010-08-27 05:49 83746 c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2006-11-02 13:02 . 2010-08-27 13:47 83746 c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2009-09-20 07:11 . 2010-08-27 13:47 12246 c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1796706564-3615554941-2722771942-1000_UserData.bin
+ 2009-09-20 12:58 . 2010-08-27 14:08 98304 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-09-20 12:58 . 2010-08-27 05:47 98304 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2010-08-27 06:14 . 2010-08-27 06:14 37888 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Windows.Pres#\f393e672479ce6ba2f7dfb5e4f3116b7\System.Windows.Presentation.ni.dll
+ 2010-08-27 06:14 . 2010-08-27 06:14 36864 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Web.DynamicD#\c5cd985c876a7bffc61898614694059c\System.Web.DynamicData.Design.ni.dll
+ 2010-08-27 06:14 . 2010-08-27 06:14 55296 c:\windows\assembly\NativeImages_v2.0.50727_32\Microsoft.Vsa\c648ec7ca268d909186339d7002c0810\Microsoft.Vsa.ni.dll
- 2010-08-27 05:47 . 2010-08-27 05:47 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2010-08-27 13:45 . 2010-08-27 13:45 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2010-08-27 13:45 . 2010-08-27 13:45 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2010-08-27 05:47 . 2010-08-27 05:47 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2006-11-02 10:33 . 2010-08-27 05:54 596566 c:\windows\System32\perfh009.dat
+ 2006-11-02 10:33 . 2010-08-27 13:53 596566 c:\windows\System32\perfh009.dat
+ 2006-11-02 10:33 . 2010-08-27 13:53 110254 c:\windows\System32\perfc009.dat
- 2006-11-02 10:33 . 2010-08-27 05:54 110254 c:\windows\System32\perfc009.dat
+ 2009-09-23 06:48 . 2010-08-27 14:08 262144 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
- 2009-09-23 06:48 . 2010-08-27 05:47 262144 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat
- 2009-09-20 12:58 . 2010-08-27 05:47 917504 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-09-20 12:58 . 2010-08-27 14:08 917504 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-09-20 12:58 . 2010-08-27 14:08 114688 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2009-09-20 12:58 . 2010-08-27 05:47 114688 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-08-27 06:14 . 2010-08-27 06:14 321536 c:\windows\assembly\NativeImages_v2.0.50727_32\WsatConfig\96e88a5f9dbbcfdb736568e69d43cff9\WsatConfig.ni.exe
+ 2010-08-27 06:14 . 2010-08-27 06:14 240128 c:\windows\assembly\NativeImages_v2.0.50727_32\WindowsFormsIntegra#\60ecc5c53d5ba77c9c40d01e5af58246\WindowsFormsIntegration.ni.dll
+ 2010-08-27 06:14 . 2010-08-27 06:14 447488 c:\windows\assembly\NativeImages_v2.0.50727_32\UIAutomationClient\a45d53185f7690a65a8c1bb758f14d40\UIAutomationClient.ni.dll
+ 2010-08-27 06:14 . 2010-08-27 06:14 235520 c:\windows\assembly\NativeImages_v2.0.50727_32\TaskScheduler\282b33969e987f3c2dafaa2e5c5f728b\TaskScheduler.ni.dll
+ 2010-08-27 06:14 . 2010-08-27 06:14 400896 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Xml.Linq\5fc514748fdde7be8871044e0102f208\System.Xml.Linq.ni.dll
+ 2010-08-27 06:14 . 2010-08-27 06:14 129536 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Web.Routing\07efa566dfb7e3367085d310e55f677f\System.Web.Routing.ni.dll
+ 2010-08-27 06:14 . 2010-08-27 06:14 859648 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Web.Extensio#\cb9bb30db142c3f856202fae6efd755d\System.Web.Extensions.Design.ni.dll
+ 2010-08-27 06:14 . 2010-08-27 06:14 328704 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Web.Entity\309dc95f10521331d7813e54946d164d\System.Web.Entity.ni.dll
+ 2010-08-27 06:14 . 2010-08-27 06:14 301056 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Web.Entity.D#\3bbf6be655c227fed53b4d7c1758b741\System.Web.Entity.Design.ni.dll
+ 2010-08-27 06:14 . 2010-08-27 06:14 547328 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Web.DynamicD#\2598e27d1f0d6cf86b1f2ea605379b49\System.Web.DynamicData.ni.dll
+ 2010-08-27 06:14 . 2010-08-27 06:14 141312 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Web.Abstract#\371304d76734059d69e93c7c7c5f3f87\System.Web.Abstractions.ni.dll
+ 2010-08-27 06:14 . 2010-08-27 06:14 621056 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Net\a151e0db5d00543aecc4eaae05d8c7b1\System.Net.ni.dll
+ 2010-08-27 06:13 . 2010-08-27 06:13 998400 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Management\7187abb11454f0dece04ed04dea43929\System.Management.ni.dll
+ 2010-08-27 06:13 . 2010-08-27 06:13 330752 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Management.I#\4aead7d6a1a6ab1c9e73c6c5f0dc8c1b\System.Management.Instrumentation.ni.dll
+ 2010-08-27 06:13 . 2010-08-27 06:13 381440 c:\windows\assembly\NativeImages_v2.0.50727_32\System.IO.Log\937481e0aef42993453207c3a0f8bc55\System.IO.Log.ni.dll
+ 2010-08-27 06:14 . 2010-08-27 06:14 232448 c:\windows\assembly\NativeImages_v2.0.50727_32\sysglobl\aa85f92b421a8ca0af79b376f37e51fb\sysglobl.ni.dll
- 2006-11-02 10:22 . 2010-08-27 05:57 6291456 c:\windows\System32\SMI\Store\Machine\schema.dat
+ 2006-11-02 10:22 . 2010-08-27 06:50 6291456 c:\windows\System32\SMI\Store\Machine\schema.dat
+ 2010-08-27 06:14 . 2010-08-27 06:14 1049600 c:\windows\assembly\NativeImages_v2.0.50727_32\UIAutomationClients#\0f599411410c58b574703eb522bc318e\UIAutomationClientsideProviders.ni.dll
+ 2010-08-27 06:14 . 2010-08-27 06:14 1356288 c:\windows\assembly\NativeImages_v2.0.50727_32\System.WorkflowServ#\c2f18081b5d836e6231fd79b684a6f86\System.WorkflowServices.ni.dll
+ 2010-08-27 06:14 . 2010-08-27 06:14 2209280 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Web.Mobile\7f1540fb7e3f32852e885e54e032d3cb\System.Web.Mobile.ni.dll
+ 2010-08-27 06:14 . 2010-08-27 06:14 2403328 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Web.Extensio#\1092e6f0382fd93a027cd450466971b1\System.Web.Extensions.ni.dll
+ 2010-08-27 06:14 . 2010-08-27 06:14 1917952 c:\windows\assembly\NativeImages_v2.0.50727_32\System.Speech\f030a2f4334cf1d2cd15f6f0c79985ae\System.Speech.ni.dll
+ 2010-08-27 06:14 . 2010-08-27 06:14 1705984 c:\windows\assembly\NativeImages_v2.0.50727_32\System.ServiceModel#\cf2b1dc50e5b12378dcc342ecb1f4624\System.ServiceModel.Web.ni.dll
+ 2010-08-27 06:13 . 2010-08-27 06:13 2332160 c:\windows\assembly\NativeImages_v2.0.50727_32\Microsoft.JScript\bca1f9fffa3059a8c36db7c1cd78ba8e\Microsoft.JScript.ni.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8}]
2009-10-15 08:53 165184 ----a-w- c:\program files\Neuf\Kit\SFRNavErrorHelper.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmpcSys"="c:\program files\PACKARD BELL\SetUpMyPC\SmpSys.exe" [2009-03-18 1160736]
"Skype"="c:\program files\Skype\\Phone\Skype.exe" [2010-05-13 26192168]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" [2008-12-12 1840424]
"IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2010-04-26 353736]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"Connexion SFR 9props.exe"="c:\program files\Neuf\Kit\9props.exe" [2009-10-15 959808]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-06-24 30192]
"BackupManagerTray"="c:\program files\NewTech Infosystems\Packard Bell MyBackup\BackupManagerTray.exe" [2009-03-09 250624]
"Acer ePower Management"="c:\program files\Packard Bell\Packard Bell PowerSave Solution\ePowerTray.exe" [2009-03-11 715296]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-02-13 61440]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-02-24 6789664]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-02-06 1430824]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2009-02-12 862728]
"RemoteControl8"="c:\program files\CyberLink\PowerDVD8\PDVD8Serv.exe" [2008-10-17 91432]
"PDVD8LanguageShortcut"="c:\program files\CyberLink\PowerDVD8\Language\Language.exe" [2007-12-14 50472]
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-12-02 2221352]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"Hiyo"="c:\program files\HiYo\bin\HiYo.exe" [2010-04-26 247152]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2010-04-07 2145000]

c:\users\Corinne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Notification de cadeaux MSN.lnk - c:\users\Corinne\AppData\Roaming\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-9-29 135680]
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
hpoddt01.exe.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-4-6 28672]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):af,25,66,f9,9f,3d,ca,01

R2 HsfXAudioService;HsfXAudioService;c:\windows\system32\svchost.exe [2008-01-21 21504]
R3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2010-06-24 30192]
R3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [2008-10-29 7680]
R3 ZTEusbnet;ZTE USB-NDIS miniport;c:\windows\system32\DRIVERS\ZTEusbnet.sys [2008-10-13 110080]
R3 ZTEusbvoice;ZTE VoUSB Port;c:\windows\system32\DRIVERS\ZTEusbvoice.sys [2008-10-15 104960]
S1 ehdrv;ehdrv;c:\windows\system32\DRIVERS\ehdrv.sys [2010-04-07 114984]
S2 eamonm;eamonm;c:\windows\system32\DRIVERS\eamonm.sys [2010-04-07 134024]
S2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2010-04-07 810120]
S2 epfwwfpr;epfwwfpr;c:\windows\system32\DRIVERS\epfwwfpr.sys [2010-04-07 96896]
S2 ePowerSvc;Acer ePower Service;c:\program files\PACKARD BELL\Packard Bell PowerSave Solution\ePowerSvc.exe [2009-03-11 666144]
S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504]
S2 NTI IScheduleSvc;NTI IScheduleSvc;c:\program files\NewTech Infosystems\Packard Bell MyBackup\IScheduleSvc.exe [2009-03-09 44800]
S2 ServiceSFRABCD;Service SFR Gestionnaire Connexion;c:\program files\SFR\Gestionnaire de Connexion SFR\SFRABCDService.exe [2009-09-01 657024]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atipmdag.sys [2009-02-13 4385280]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2009-02-13 93696]
S3 k57nd60x;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60x.sys [2008-09-03 223232]
S3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\NETw5v32.sys [2008-09-24 3666432]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ezSharedSvc
.
Contenu du dossier 'Tâches planifiées'

2010-08-27 c:\windows\Tasks\GlaryInitialize.job
- c:\program files\Glary Utilities\initialize.exe [2010-08-12 09:21]

2010-08-27 c:\windows\Tasks\User_Feed_Synchronization-{C122E955-6A32-400A-B666-38ABEF68A2A2}.job
- c:\windows\system32\msfeedssync.exe [2010-08-27 04:24]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-08-27 16:59
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés:

**************************************************************************
.
Heure de fin: 2010-08-27 17:02:54
ComboFix-quarantined-files.txt 2010-08-27 15:02
ComboFix2.txt 2010-08-27 13:54
ComboFix3.txt 2010-08-27 06:16

Avant-CF: 104 397 438 976 octets libres
Après-CF: 104 363 962 368 octets libres

- - End Of File - - 58024CC3564A1A014D6F14FA4896A2DA

Impec ...



dis moi comment va le PC maintenant ... du mieux ?


puis fais ceci pour voir ce qui reste à faire :


Refais un scan ZHPDiag "en tant qu'admin...".

* Coche bien toutes les options ( sauf les 045 et 061 )

* Au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

franchement, plus rien à voir, c'est plus que mieux!!!

http://www.sendspace.com/file/6vwqhd


j'espère que c'est bon, je commence à faire les manip presque sans réfléchir!!!

Ok pour le rapport ZHPDiag ,

mais j'aimerai que tu essayes de me le faire parvenir ainsi pour voir ( autrement que par SenSpace ) :


> Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .

Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...

Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

Salut, je crois que c'est celui là :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijrZPUc...

hello,



fait ce qui suit dans l'ordre ( si le dernier rapport est clean , on pourra finaliser ) :



( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


1- Utilisation de l'outil ZHPFix :

> Lance ZHPFix ( "entant qu'admin..." ) depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert :

!! ferme tes autres applications en cours !!


A- Clique sur le bouton " Nettoyeur de tools " . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

> Là tu décoches la case devant ZHPDiag !


> Enfin clique en bas sur .


Laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

-> Copie/colle le contenu de ce rapport pour analyse ...

( il est également sauvegardé ici : C:\Program files\ZHPFix\ZHPFixReport.txt )

Note : si il t'est demandé de redémarrer le PC pour finir le nettoyage, fait le !



B- Clique sur le bouton en haut à droite " Vider la quarantaine "

Au message de confirmation , clique sur "Ok" .


Puis ferme ZHPFix ...


=====================

2- Refais un coup de CCleaner ( registre compris ) .


=====================

3- Télécharge et installe le logiciel HijackThis :

ici http://www.trendsecure.com/portal/en-US/_download/HJTIn...
ou ici http://www.commentcamarche.net/telecharger/telecharger-...

> Clique droit / "executer entant qu'admin..." sur le setup pour lancer l'installe :
* laisse toi guider et ne modifie pas les paramètres d'installation .
* A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .

Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
C:\program files\Trend Micro\HijackThis\HijackThis.exe .

( ne fais pas de scan pour le moment )

=====================

4- Important :
Purge de la restauration système
-->Désactive ta restauration :
Dans démarrer, clique droit sur ordinateur/propriétés/protection du système : décoche la case devant ton disk dur maitre ( pour toi -> C ) , valide, applique et OK
Redémarre ton PC ...

-->Réactive ta restauration :
Clique droit sur ordinateur/propriétés/protection du système : coche la case devant ton disk dur maitre , valide, applique et OK
Redémarre ton PC ...

( tuto : http://www.commentcamarche.net/faq/sujet-13214-desactiv... )

=====================

5- Fais ce scan en ligne pour vérifier :

( ne rien faire d'autre avec le PC durant le scan ! )

Fais un scan en ligne avec " Panda " :

> http://www.pandasecurity.com/homeusers/solutions/active...
( clique sur "scan your PC now" )

tuto :
http://www.malekal.com/scan_Av_en_ligne.php#mozTocId237...


poste moi le rapport obtenu pour analyse ...