Infection Win32:Rootkit-gen [Rtk]

Babycraft · le 08 Mar 2010 16:29

Et oui une enième turbulence de Win32:Rootkit-gen [Rtk].
Avast (V5) me le détecte en boucle sans pouvoir le supprimer.

Je poste le rapport d'hijackthis et j'attends votre coup de main.
Merci d'avance!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:59:46, on 08/03/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\Program Files\pdfforge Toolbar\SearchSettings.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Epson Software\FAX Utility\FUFAXSTM.exe
C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Calendrier\Cld2000.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\iTunes\iTunes.exe
C:\Program Files\Java\jre6\bin\jucheck.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Skype\Toolbars\Shared\SkypeNames.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Pan-Pan\Bureau\Bichette.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duxet.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll
F3 - REG:win.ini: load=System
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe check
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\pdfforge Toolbar\SearchSettings.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [FUFAXSTM] "C:\Program Files\Epson Software\FAX Utility\FUFAXSTM.exe"
O4 - HKLM\..\Run: [EEventManager] C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fsc-reminder.exe] C:\WINDOWS\reminder\fsc-reminder.exe 2454048 14
O4 - HKCU\..\Run: [Cld2000.exe] C:\Program Files\Calendrier\Cld2000.exe
O4 - HKCU\..\Run: [OM_Monitor] C:\Documents and Settings\Pan-Pan\Bureau\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WinUsr] C:\Program Files\Winsudate\gibusr.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [EPSON PX810FW Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFRE.EXE /FU "C:\WINDOWS\TEMP\E_SAE.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [Epson Stylus Photo PX810FW(Réseau)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFRE.EXE /FU "C:\WINDOWS\TEMP\E_SB1.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\Pan-Pan\LOCALS~1\Temp\herss.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O15 - Trusted Zone: http://logicielsgratuits.orange.fr
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/200 ... oader5.cab
O16 - DPF: {5A779DC0-837B-4590-AC42-C7C0847478C5} (OrangeInstaller_ModuleIE Control) - http://logicielsgratuits.orange.fr/down ... taller.cab
O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/Fac ... oader3.cab
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/Fac ... loader.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/200 ... ader55.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: EpsonBidirectionalService - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: ESRI License Manager - Unknown owner - C:\Documents and Settings\Pan-Pan\Bureau\Arc_lic\ESRI.ArcGis.83.desktop.crack.(work)\lmgrd.exe (file missing)
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

--
End of file - 13506 bytes

bernard53 · le 08 Mar 2010 19:50

Bonsoir.

Relance HijackThis >puis : Do a system scan only > coche ces lignes: ensuite valides sur Fix checked

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll
F3 - REG:win.ini: load=System
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\pdfforge Toolbar\SearchSettings.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [FUFAXSTM] "C:\Program Files\Epson Software\FAX Utility\FUFAXSTM.exe"
O4 - HKLM\..\Run: [EEventManager] C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WinUsr] C:\Program Files\Winsudate\gibusr.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [EPSON PX810FW Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFRE.EXE /FU "C:\WINDOWS\TEMP\E_SAE.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [Epson Stylus Photo PX810FW(Réseau)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFRE.EXE /FU "C:\WINDOWS\TEMP\E_SB1.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\Pan-Pan\LOCALS~1\Temp\herss.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O23 - Service: ESRI License Manager - Unknown owner - C:\Documents and Settings\Pan-Pan\Bureau\Arc_lic\ESRI.ArcGis.83.desktop.crack.(work)\lmgrd.exe (file missing)

Puis::

** Télécharge ToolBar-S&D (D'Angeldark, Sham_Rock & XmichouX) sur ton bureau.

Double-clique sur l'icône

afin de lancer l’installation.

Une fois installé, un raccourci

sera ajouté sur le Bureau. Double-clique dessus pour démarrer l’outil.

dans la fenêtre qui s'ouvre, pour le langue tape "F" >> Appuis un fois sur la touche "entrer"
dans la fenêtre qui s'ouvre fais le choix N°2 (Suppression) >> Appuis une fois sur la touche "entrer"

Patiente jusqu'à la fin de la recherche >> Sauvegarde le rapport qui s'ouvre à la fin du scan sur ton bureau et poste le dans ta prochaine réponse stp...

** Poste le rapport généré : (C:\TB.txt)

Puis::

Télécharge >>OTM<< (de Old_Timer) sur ton Bureau.

>> Pour VISTA : Clic-droit et choisis "Exécuter en tant qu'administrateur".

>> AVAST reconnait ce logiciel comme un intrus, donc le désactiver le temps des manipulations.

Double-clique sur OTM pour le lancer.

Copie la liste qui se trouve en citation ci-dessous:

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"WinUsr"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"cdoosoft"=-

:Files
c:\program files\winsudate
c:\documents and settings\pan-pan\locals~1\temp\herss.exe

:Commands
[purity]
[emptytemp]
[Reboot]

et colle-la dans le cadre de gauche de OTM sous ceci:

Clique sur

pour lancer la suppression.
attendre la fin du travail de l'outil puis fermer OTM

Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTM\MovedFiles\06092009_130526.log "Exemple"

NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Oui/Yes.

Puis::

Télécharge USBFix depuis ce lien : <<ICI>>

Place l'icône d'installation sur le bureau

Double-cliquez sur l'icône USBFix.exe pour le lancer.

Choisi option 2
Une fois l'analyse terminée, un rapport de scan vous est proposé... appuyez sur une touche pour ouvrir ce rapport.

CTRL+A pour tout sélectionner
CTRL+C pour copier
CTRL+V pour coller dans la réponse

Remets ici le rapport qui s'affichera.

Babycraft · le 10 Mar 2010 14:28

Bonjour

Voici le rapport de ToolBar

-----------\\ ToolBar S&D 1.2.9 XP/Vista

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU T5600 @ 1.83GHz )
BIOS : Ver 1.00PARTTBL
USER : Pan-Pan ( Administrator )
BOOT : Normal boot
Antivirus : avast! Antivirus 5.0.83886542 (Activated)
C:\ (Local Disk) - NTFS - Total:111 Go (Free:4 Go)
D:\ (CD or DVD)

"C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
Option : [2] ( 10/03/2010|14:21 )

-----------\\ SUPPRESSION

Supprime! - C:\DOCUME~1\Pan-Pan\APPLIC~1\Search Settings\kb128
Supprime! - C:\DOCUME~1\Pan-Pan\APPLIC~1\Search Settings

-----------\\ Recherche de Fichiers / Dossiers ...

-----------\\ Extensions

(Pan-Pan) - {20a82645-c095-46ed-80e3-08825760534b} => chrome_user

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="http://www.google.fr/"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"SearchMigratedDefaultURL"="http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7"
"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"
"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="http://www.msn.com/"

--------------------\\ Recherche d'autres infections

--------------------\\ Cracks & Keygens ..

C:\DOCUME~1\Pan-Pan\Bureau\Logiciels\Arc_lic\ESRI.ArcGis.83.desktop.crack.(work)
C:\DOCUME~1\Pan-Pan\Bureau\Logiciels\Arc_lic\ESRI.ArcGis.83.desktop.crack.(work)\esri.dat
C:\DOCUME~1\Pan-Pan\Bureau\Logiciels\Arc_lic\ESRI.ArcGis.83.desktop.crack.(work)\ESRI.EXE
C:\DOCUME~1\Pan-Pan\Bureau\Logiciels\Arc_lic\ESRI.ArcGis.83.desktop.crack.(work)\How To Crack.doc
C:\DOCUME~1\Pan-Pan\Bureau\Logiciels\Arc_lic\ESRI.ArcGis.83.desktop.crack.(work)\lmgrd.exe
C:\DOCUME~1\Pan-Pan\Bureau\Logiciels\Arc_lic\ESRI.ArcGis.83.desktop.crack.(work)\lmgrd.log
C:\DOCUME~1\Pan-Pan\Bureau\Logiciels\Arc_lic\ESRI.ArcGis.83.desktop.crack.(work)\lmtools.exe
C:\DOCUME~1\Pan-Pan\Recent\The Elder Scrolls III - Morrowind NoCD Crack.lnk

1 - "C:\ToolBar SD\TB_1.txt" - 10/03/2010|14:25 - Option : [2]

-----------\\ Fin du rapport a 14:25:26,20

Babycraft · le 10 Mar 2010 14:42

Bonjour

J'ai eu 2 rapports pour 0TM

Le 1er

Files moved on Reboot...
File C:\Documents and Settings\Pan-Pan\Local Settings\Temp\~DFE157.tmp not found!
File C:\Documents and Settings\Pan-Pan\Local Settings\Temp\~DFE1A3.tmp not found!
File C:\Documents and Settings\Pan-Pan\Local Settings\Temp\~DFE204.tmp not found!
File C:\Documents and Settings\Pan-Pan\Local Settings\Temp\~DFE250.tmp not found!
File C:\Documents and Settings\Pan-Pan\Local Settings\Temp\~DFE28D.tmp not found!
File C:\Documents and Settings\Pan-Pan\Local Settings\Temp\~DFE2D9.tmp not found!

Registry entries deleted on Reboot...

Le second

All processes killed
Error: Unable to interpret <[emptytemp] > in the current context!
Error: Unable to interpret <[Reboot]> in the current context!

OTM by OldTimer - Version 3.1.10.0 log created on 03102010_143255

Babycraft · le 10 Mar 2010 15:12

Bonjour voici le dernier rapport, celui d'UsbFix.txt

############################## | UsbFix V6.099 |

User : Pan-Pan (Administrateurs) # PUTOIS-BLAGUEUR
Update on 09/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 14:47:48 | 10/03/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 CPU T5600 @ 1.83GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : avast! Antivirus 5.0.83886542 [ Enabled | Updated ]

C:\ -> Disque fixe local # 111,79 Go (5,09 Go free) [Sephirot] # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local # 298,02 Go (3,15 Go free) [My Passport] # FAT32

################## | Elements infectieux |

Supprimé ! C:\WINDOWS\AhnRpta.exe
Supprimé ! C:\WINDOWS\System32\e8main0.dll
C:\autorun.inf -> fichier appelé : "C:\2u923g01.exe" ( Absent ! )
Supprimé ! C:\autorun.inf
Supprimé ! C:\0fkk02x.exe
Supprimé ! C:\1a1dndah.exe
Supprimé ! C:\1di1w.exe
Supprimé ! C:\2sm66r.exe
Supprimé ! C:\31lyx.exe
Supprimé ! C:\3exi.exe
Supprimé ! C:\3j2h0tf.bat
Supprimé ! C:\3n8awsyg.exe
Supprimé ! C:\6phx.com
Supprimé ! C:\6ruaqx.exe
Supprimé ! C:\8paf1d.com
Supprimé ! C:\8xcrbho6.exe
Supprimé ! C:\9b9w3.exe
Supprimé ! C:\9jyhdim8.exe
Supprimé ! C:\a2g21.exe
Supprimé ! C:\anoataly.exe
Supprimé ! C:\aphqg.exe
Supprimé ! C:\b.bat
Supprimé ! C:\b00ijwpu.exe
Supprimé ! C:\cahpcg.cmd
Supprimé ! C:\cfrdbyrp.bat
Supprimé ! C:\cj3k.exe
Supprimé ! C:\ctu8r.exe
Supprimé ! C:\d9c.bat
Supprimé ! C:\e9naq.exe
Supprimé ! C:\eexyv.exe
Supprimé ! C:\f2kmj.exe
Supprimé ! C:\fk.exe
Supprimé ! C:\g12g.exe
Supprimé ! C:\g8k.exe
Supprimé ! C:\gclwpivc.cmd
Supprimé ! C:\h0.exe
Supprimé ! C:\hjvjte.exe
Supprimé ! C:\hl80c6b1.com
Supprimé ! C:\j.cmd
Supprimé ! C:\j60osk9.cmd
Supprimé ! C:\k1d.exe
Supprimé ! C:\kmj.exe
Supprimé ! C:\l61yyp.exe
Supprimé ! C:\lcw.exe
Supprimé ! C:\lhh3v.exe
Supprimé ! C:\m.com
Supprimé ! C:\mje12tni.exe
Supprimé ! C:\mjafm.exe
Supprimé ! C:\mwfubaob.exe
Supprimé ! C:\nds0q.exe
Supprimé ! C:\pbudsara.exe
Supprimé ! C:\ph.exe
Supprimé ! C:\pkkwng.exe
Supprimé ! C:\q1alx.exe
Supprimé ! C:\q9.cmd
Supprimé ! C:\qbr2q.exe
Supprimé ! C:\rg9g9bgq.exe
Supprimé ! C:\s1.exe
Supprimé ! C:\se12ydam.exe
Supprimé ! C:\sp1jensi.exe
Supprimé ! C:\srgo.exe
Supprimé ! C:\t2hjo0.exe
Supprimé ! C:\uqgvf.exe
Supprimé ! C:\uvsqfgwd.cmd
Supprimé ! C:\v1cbvsmq.exe
Supprimé ! C:\wcgswa.exe
Supprimé ! C:\x8sigm.exe
Supprimé ! C:\xbvv6o.com
Supprimé ! C:\xhah66s.cmd
Supprimé ! C:\y.bat
Supprimé ! C:\y6yol.exe
Supprimé ! C:\Recycler\S-1-5-21-3203953188-3177653568-2266659865-1007
Supprimé ! C:\Recycler\S-1-5-21-3987029497-3685803316-893795040-1003
E:\autorun.inf -> fichier appelé : "E:\2u923g01.exe" ( Absent ! )
Supprimé ! E:\autorun.inf
Supprimé ! E:\1di1w.exe
Supprimé ! E:\3j2h0tf.bat
Supprimé ! E:\6phx.com
Supprimé ! E:\6ruaqx.exe
Supprimé ! E:\8paf1d.com
Supprimé ! E:\8xcrbho6.exe
Supprimé ! E:\a2h2.com
Supprimé ! E:\cahpcg.cmd
Supprimé ! E:\ctu8r.exe
Supprimé ! E:\e9naq.exe
Supprimé ! E:\g8k.exe
Supprimé ! E:\gclwpivc.cmd
Supprimé ! E:\h0.exe
Supprimé ! E:\hl80c6b1.com
Supprimé ! E:\j.cmd
Supprimé ! E:\j60osk9.cmd
Supprimé ! E:\k1d.exe
Supprimé ! E:\kmj.exe
Supprimé ! E:\m.com
Supprimé ! E:\mje12tni.exe
Supprimé ! E:\pkkwng.exe
Supprimé ! E:\q1alx.exe
Supprimé ! E:\q9.cmd
Supprimé ! E:\qbr2q.exe
Supprimé ! E:\rbj9jn1n.bat
Supprimé ! E:\s1.exe
Supprimé ! E:\sm.exe
Supprimé ! E:\tmf3w3g0.com
Supprimé ! E:\uvsqfgwd.cmd
Supprimé ! E:\vlvtdflx.exe
Supprimé ! E:\wcgswa.exe
Supprimé ! E:\yh.cmd

################## | Registre |

Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{BB4C402F-882A-4526-8C08-51278EA437C1}"
Supprimé ! [HKCR\CLSID\{bb4c402f-882a-4526-8c08-51278ea437c1}]

################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\C\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{02e09206-8ec2-11dc-a39d-0011e2fd7d70}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{0aebb82e-e2ae-11db-a2ad-001636840fea}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{0b15bb19-efae-11dc-a489-001636840fea}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{0b15bb1c-efae-11dc-a489-001636840fea}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{0b15bb1d-efae-11dc-a489-001636840fea}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{202aaee2-0b6d-11dc-a2e8-001636840fea}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{2437d925-f92c-11dd-a66c-001636840fea}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{2f9e5453-2932-11dc-a301-001636840fea}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{33f1d28e-4482-11dd-a556-0011e2fd7d70}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{3638c056-787a-11db-a1ee-001636840fea}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{3ad5b0a4-f81e-11dc-a49a-0011e2fd7d70}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{3dc0a27e-2278-11dd-a514-001636840fea}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{3fdad59f-13fb-11de-a682-001636840fea}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{3fdad5a0-13fb-11de-a682-001636840fea}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{45fb10d6-6949-11dd-a596-001636840fea}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{4d1833f6-fe02-11dc-a4ad-001636840fea}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{502b3881-b212-11dc-a400-001636840fea}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{5036ad80-a7ea-11dc-a3e8-001636840fea}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{5206e4ca-b885-11db-a25b-001636840fea}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{67182e0c-867c-11dd-a5d3-001636840fea}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{746f3255-86d9-11db-a205-001636840fea}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{7fd8d0dc-f2a7-11db-a2bd-001636840fea}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{815fdc33-ff3b-11dc-a4b1-001636840fea}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{8849c98c-0e13-11dd-a4e2-001636840fea}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{8849c98d-0e13-11dd-a4e2-001636840fea}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{8849c98e-0e13-11dd-a4e2-001636840fea}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{8849c98f-0e13-11dd-a4e2-001636840fea}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{8add74e8-ff6b-11dc-a4b3-0011e2fd7d70}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{8ca5f548-ea35-11dc-a477-0011e2fd7d70}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{8cc71d2e-7471-11dd-a5b0-001636840fea}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{8e7b1fd4-8d43-11dc-a397-001636840fea}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{9796b632-f0d4-11db-a2b8-001636840fea}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{98c7ae64-c11b-11db-a26b-001636840fea}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{9ee5cc57-b2d8-11dc-a401-001636840fea}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{a003c3a1-6ea6-11dc-a347-001636840fea}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{c0a0d714-def1-11db-a2aa-001636840fea}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{c987f4f5-70ae-11db-a1e0-001636840fea}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{cc8f1677-9e76-11dc-a3c7-001636840fea}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{f39d23ce-434d-11dd-a555-0011e2fd7d70}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{fd2a9602-ca2c-11dd-a63c-001636840fea}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[02/05/2000 13:00|--a------|1209] C:\868000464884.dat
[13/10/2006 17:39|--a------|0] C:\AUTOEXEC.BAT
[08/11/2006 17:25|-rahs----|216] C:\boot.ini
[05/08/2004 13:00|-rahs----|4952] C:\Bootfont.bin
[13/10/2006 17:39|--a------|0] C:\CONFIG.SYS
[08/11/2006 17:26|--a------|27] C:\expand.txt
[?|?|?] C:\hiberfil.sys
[13/10/2006 17:39|-rahs----|0] C:\IO.SYS
[11/10/2004 06:18|--a------|19] C:\LANG.TXT
[09/04/2003 09:44|--a------|10] C:\Language.txt
[09/01/2010 16:31|-r-hs----|120832] C:\ljy.exe
[26/05/2009 18:04|-r-h-----|276] C:\MSDOS.SYS
[05/08/2004 13:00|-rahs----|47564] C:\NTDETECT.COM
[21/10/2008 19:55|-rahs----|252240] C:\ntldr
[04/08/2004 13:00|--a------|2] C:\oem.tag
[29/02/2004 16:44|--a------|52576] C:\orange.bmp
[?|?|?] C:\pagefile.sys
[02/05/2000 13:00|---h-----|19455] C:\Prodlog.txt
[10/03/2010 14:25|--a------|2656] C:\TB.txt
[10/03/2010 15:07|--a------|9315] C:\UsbFix.txt
[10/08/2008 15:04|--ah-----|4096] E:\._.Trashes
[12/07/2009 14:49|--ah-----|15364] E:\.DS_Store
[15/08/2008 14:25|--a------|530924629] E:\Metin2_20080206.exe
[01/01/2004 00:00|--a------|854855] E:\P1013401.JPG
[11/09/2008 22:09|--ah-----|162] E:\~$‚moire.doc
[31/10/2008 19:10|--a------|26464] E:\subscription-form.pdf
[02/10/2008 12:00|--a------|67049] E:\CTTmp0
[02/10/2008 12:00|--a------|2631] E:\CTTmp1
[02/10/2008 12:00|--a------|457] E:\CTTmp2
[02/10/2008 12:00|--a------|57092] E:\CTTmp3
[02/10/2008 13:12|--a------|57509] E:\CTTmp4
[02/10/2008 13:12|--a------|2281] E:\CTTmp5
[02/10/2008 13:13|--a------|56675] E:\CTTmp6
[02/10/2008 13:13|--a------|2281] E:\CTTmp7
[02/10/2008 13:14|--a------|2140] E:\CTTmp8
[02/10/2008 13:14|--a------|57589] E:\CTTmp9
[19/11/2008 20:39|--a------|14336] E:\profils_du_haut_fond.xls
[01/01/2004 00:00|--a------|794449] E:\Ruine mystŠre.JPG
[13/09/2009 04:52|--a------|991670674] E:\Catalogue chauss‚e version final.pdf
[13/09/2009 04:35|--a------|24675840] E:\Volume texte. Ponts et chauss‚es en contexte insulaire et continental.doc
[13/09/2009 15:03|--a------|4099633] E:\Volume texte. Ponts et chauss‚es en contexte insulaire et continental.pdf
[05/08/2007 13:45|--a------|2684845568] E:\NVECapture.0001.avi
[14/06/2008 18:26|---hs----|82] E:\desktop.ini
[10/12/2009 23:02|--ahs----|167936] E:\Thumbs.db

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# E:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PUTOIS-BLAGUEUR.zip : http://chiquitine.changelog.fr/Sample/Upload.php
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.099 ! |

bernard53 · le 10 Mar 2010 19:45

Très bien fait ceci.

Relance OTM puis:
Copie la liste qui se trouve en citation ci-dessous:

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"SearchMigratedDefaultURL"=-

:Commands
[purity]
[emptytemp]

[Reboot]

et colle-la dans le cadre de gauche de OTM sous ceci:

Clique sur

pour lancer la suppression.
attendre la fin du travail de l'outil puis fermer OTM

Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTM\MovedFiles\06092009_130526.log "Exemple"

NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Oui/Yes.

Ensuite:

Installe Malewarebytes' Antimalware,
Téléchargement et tuto

*** Met-le à jour puis choisi, Exécuter un examen complet

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

Poste le rapport final.
*** il est conseillé de désactivé Tea-Timer si tu as Spybot-S&D juste le temps du scan.

Voici comment faire: Lancez Spybot-S&D, passez en Mode avancé via le Menu Mode (en haut) → cliquez sur Oui--> choisissez Outils dans la barre de navigation sur la gauche -->Résident et là vous pouvez décocher les cases situées devant les deux outils.

Babycraft · le 10 Mar 2010 21:35

Le rapport d'OTM

All processes killed
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\SearchMigratedDefaultURL deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Pan-Pan
->Temp folder emptied: 456268 bytes
->Temporary Internet Files folder emptied: 82830059 bytes
->Java cache emptied: 67871629 bytes
->FireFox cache emptied: 93410048 bytes
->Flash cache emptied: 31005 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 6717952 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 863706 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 23963164 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 34313 bytes
RecycleBin emptied: 6009 bytes

Total Files Cleaned = 264,00 mb

OTM by OldTimer - Version 3.1.10.0 log created on 03102010_212720

Files moved on Reboot...
File C:\Documents and Settings\Pan-Pan\Local Settings\Temp\~DF960A.tmp not found!
File C:\Documents and Settings\Pan-Pan\Local Settings\Temp\~DF961C.tmp not found!
File C:\Documents and Settings\Pan-Pan\Local Settings\Temp\~DF967D.tmp not found!
File C:\Documents and Settings\Pan-Pan\Local Settings\Temp\~DF968F.tmp not found!
File C:\Documents and Settings\Pan-Pan\Local Settings\Temp\~DF96CC.tmp not found!
File C:\Documents and Settings\Pan-Pan\Local Settings\Temp\~DF96DE.tmp not found!
C:\Documents and Settings\Pan-Pan\Local Settings\Temporary Internet Files\Content.IE5\Z536JDGH\ads[1].htm moved successfully.
C:\Documents and Settings\Pan-Pan\Local Settings\Temporary Internet Files\Content.IE5\D1415U5H\ads[2].htm moved successfully.
C:\Documents and Settings\Pan-Pan\Local Settings\Temporary Internet Files\Content.IE5\6U92HKGQ\infection-win32rootkit-gen-rtk-vt-50031[1].html moved successfully.
C:\Documents and Settings\Pan-Pan\Local Settings\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully.
File move failed. C:\WINDOWS\temp\_avast5_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...

Babycraft · le 11 Mar 2010 12:21

Et enfin le rapport de Malwarebyte's Anti-Malware

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3849
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11/03/2010 00:51:28
mbam-log-2010-03-11 (00-51-28).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 288719
Temps écoulé: 1 hour(s), 32 minute(s), 54 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\NOD32KVBIT (Trojan.Frethog) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{591E7F64-44C7-44E6-A4BA-47E3E595624D}\RP494\A0169137.exe (Adware.Gibmedia) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{591E7F64-44C7-44E6-A4BA-47E3E595624D}\RP494\A0169138.exe (Adware.Gibmedia) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{591E7F64-44C7-44E6-A4BA-47E3E595624D}\RP494\A0169139.dll (Adware.Gibmedia) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{591E7F64-44C7-44E6-A4BA-47E3E595624D}\RP494\A0169140.dll (Adware.Gibmedia) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{591E7F64-44C7-44E6-A4BA-47E3E595624D}\RP494\A0169141.exe (Adware.Gibmedia) -> Quarantined and deleted successfully.

bernard53 · le 11 Mar 2010 12:35

Très bien comment va ton pc maintenant!

Babycraft · le 11 Mar 2010 12:58

Il n'a jamais été aussi propre! :wink:

Un grand merci pour votre aide très professionnelle!
Cela va m'inciter à revenir sur ce forum pour rechercher des conseils et trouver des solutions à mes futurs problèmes (Je toûche du bois).

Longue vie aux solutionneurs!

bernard53 · le 11 Mar 2010 19:54

Super fait juste ceci pour terminer.

Fait ceci pour supprimer les logiciels qui ont servis à cette désinfection.

>> Télécharge ToolsCleaner (de A.Rothstein & dj QUIOU) http://pc-system.fr/TC/ToolsCleaner2.exe

>> Double-clique dessus pour lancer le programme

>> Clique sur Recherche et laisse le scan se terminer (il peut durer une dizaine de minutes au maximum).

>> Une fois la recherche lancée, ne clique pas dans la fenêtre, cela provoquerait un léger bug du programme.

>> Si toutes fois la mention (ne réponds pas) apparaissait dans le titre de la fenêtre ToolsCleaner, ne t'en occupes pas et laisse quand même le programme terminer son travail

** Clique sur Suppression pour finaliser.

• Tu peux, si tu le souhaites, te servir des Options facultatives.

**Poste-moi le rapport qui apparait

PUIS::

Maintenant on va mettre la restauration du système propre.
Pour cela:
1- Valides les touches Windows et Pause en même temps.
Sur cette fenêtre coche cette case :

Valide cela par l’onglet APPLIQUER et acceptes la demande sur la fenêtre que vas s’afficher.

Après quelques instants décoche cette même case et valides cela par l’onglet APPLIQUER .

Il te faut donc maintenant recrée un nouveau point de restauration.

2-Démarrer >exécuter et tapes.
Restore/rstrui.exe

Valides dans la fenêtre qui apparait : Créer un point de restauration

Puis Suivant et donne un nom au nouveau point de restauration : Valide :

L'écran suivant doit vous prévenir que le point de restauration a été créé avec succès.
Cliquez sur "Fermer" dans la prochaine fenêtre pour sortir de l'utilitaire.

Babycraft · le 11 Mar 2010 21:41

Le dernier rapport

C:\Toolbar SD: trouvé !
C:\UsbFix: trouvé !
C:\Documents and Settings\Pan-Pan\Bureau\OTM.exe: trouvé !
C:\Documents and Settings\Pan-Pan\Bureau\ToolBarSD.exe: trouvé !
C:\Documents and Settings\Pan-Pan\Bureau\hijackthis.log: trouvé !
C:\Documents and Settings\Pan-Pan\Bureau\UsbFix.exe: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\Pan-Pan\Bureau\OTM.exe: supprimé !
C:\Documents and Settings\Pan-Pan\Bureau\ToolBarSD.exe: supprimé !
C:\TB.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\Pan-Pan\Bureau\hijackthis.log: supprimé !
C:\Documents and Settings\Pan-Pan\Bureau\UsbFix.exe: supprimé !
C:\_OTM: supprimé !
C:\Toolbar SD: supprimé !
C:\UsbFix: supprimé !

Il y a t-il d'autres nettyages à réaliser?

Sinon merci encore!!

bernard53 · le 11 Mar 2010 21:56

non si tu sa fait mes deux demandes plus rien à faire.

Bon Weekend avec un jour d'avance :lol:

Infection Win32:Rootkit-gen [Rtk]

Infection Win32:Rootkit-gen [Rtk]

Re: Infection Win32:Rootkit-gen [Rtk]

Re: Infection Win32:Rootkit-gen [Rtk]

Re: Infection Win32:Rootkit-gen [Rtk]

Re: Infection Win32:Rootkit-gen [Rtk]

Re: Infection Win32:Rootkit-gen [Rtk]

Re: Infection Win32:Rootkit-gen [Rtk]

Re: Infection Win32:Rootkit-gen [Rtk]

Re: Infection Win32:Rootkit-gen [Rtk]

Re: Infection Win32:Rootkit-gen [Rtk]

Re: Infection Win32:Rootkit-gen [Rtk]

Re: Infection Win32:Rootkit-gen [Rtk]

Re: Infection Win32:Rootkit-gen [Rtk]

Sujets similaires

Qui est en ligne