Internet, Virus, Instalation XP SP3 -- Aidez moi !

arnomalf · Octobre 26, 2009, 7:29

Bonjour,

J’ai un gros problème de virus… Internet est super ralenti e mon pc n’arrête pas de planter (Dell - AMD - Windows XP SP2)
Je veux installer le SP3 XP mais j’ai ce message : C\windows\system32\services.exe est utilisé par une autre application… mais tout est éteint !!!
Je vous laisse voir si vous pouvez m’aider avant que je fasse un format c:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:13:32, on 26/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\Program Files\iolo\common\lib\ioloServiceManager.exe
C:\Program Files\iolo\System Mechanic\IoloSGCtrl.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Arnaud\gby.exe
C:\WINDOWS\Explorer.EXE
C:\DOCUME~1\Arnaud\LOCALS~1\Temp\b .exe
C:\DOCUME~1\Arnaud\LOCALS~1\Temp\b .exe
C:\WINDOWS\msa.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\restorer64_a.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Documents and Settings\Arnaud\restorer64_a.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\iolo\System Mechanic\SystemGuardAlerter .exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\Arnaud\LOCALS~1\Temp\ctv123.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = g.msn.fr…
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.yahoo.fr…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = recherche.neuf.fr…
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Arnaud\gby.exe \s
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: solution Class - {99C6D1BB-7555-474C-91DA-D8FB62A9CC75} - (no file)
O4 - HKLM…\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM…\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM…\Run: [ATICCC] “C:\Program Files\ATI Technologies\ATI.ACE\cli.exe” runtime -Delay
O4 - HKLM…\Run: [RoxioEngineUtility] “C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe”
O4 - HKLM…\Run: [Adobe Photo Downloader] “C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe”
O4 - HKLM…\Run: [NBKeyScan] “C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe”
O4 - HKLM…\Run: [SystemGuardAlerter] C:\Program Files\iolo\System Mechanic\SystemGuardAlerter.exe
O4 - HKLM…\Run: [AVP] “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe”
O4 - HKLM…\Run: [iTunesHelper] “C:\Program Files\iTunes\iTunesHelper.exe”
O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM…\Run: [ogud] C:\WINDOWS\system32\ogud.exe \u
O4 - HKLM…\Run: [restorer64_a] C:\WINDOWS\system32\restorer64_a.exe
O4 - HKLM…\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] “C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe”
O4 - HKCU…\Run: [TomTomHOME.exe] “C:\Program Files\TomTom HOME 2\HOMERunner.exe”
O4 - HKCU…\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU…\Run: [kava] C:\WINDOWS\system32\kavo.exe
O4 - HKCU…\Run: [PopRock] C:\DOCUME~1\Arnaud\LOCALS~1\Temp\b .exe
O4 - HKCU…\Run: [restorer64_a] C:\Documents and Settings\Arnaud\restorer64_a.exe
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS\S-1-5-18…\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9e.exe (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)
O4 - HKUS.DEFAULT…\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9e.exe (User ‘Default user’)
O8 - Extra context menu item: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE…
O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\12238984.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\12238984.dll
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - upload.facebook.com…
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - webmail.giorgioarmani.fr…
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - www.cg14.fr…
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - download.divx.com…
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - www.update.microsoft.com…
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - www.moncalendrierphoto.fr…
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - www.sibelius.com…
O17 - HKLM\System\CCS\Services\Tcpip…{1AE25FB5-0DC2-46C9-BF6A-B2A0CA53A571}: NameServer = 208.43.124.20,208.43.124.21
O17 - HKLM\System\CCS\Services\Tcpip…{3AC7F1B7-0172-4A29-8BA8-77EBFD2E5AAD}: NameServer = 208.43.124.20,208.43.124.21
O17 - HKLM\System\CCS\Services\Tcpip…{3D0C7974-48B0-4D65-9606-351F5000D9AD}: NameServer = 208.43.124.20,208.43.124.21
O17 - HKLM\System\CCS\Services\Tcpip…{7A3B49B6-32E0-4E59-B0E2-1FB66E44CEF6}: NameServer = 208.43.124.20,208.43.124.21
O17 - HKLM\System\CCS\Services\Tcpip…{99197508-3A00-480E-8905-29048CAB41CF}: NameServer = 208.43.124.20,208.43.124.21
O17 - HKLM\System\CS1\Services\Tcpip…{1AE25FB5-0DC2-46C9-BF6A-B2A0CA53A571}: NameServer = 208.43.124.20,208.43.124.21
O17 - HKLM\System\CS2\Services\Tcpip…{1AE25FB5-0DC2-46C9-BF6A-B2A0CA53A571}: NameServer = 208.43.124.20,208.43.124.21
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O21 - SSODL: UIaAyALJ - {6C7A60FD-C6D0-CA57-EA63-898A7FD33350} - C:\WINDOWS\System32\bhuo.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: iolo FileInfoList Service (ioloFileInfoList) - Unknown owner - C:\Program Files\iolo\common\lib\ioloServiceManager.exe
O23 - Service: iolo System Service (ioloSystemService) - Unknown owner - C:\Program Files\iolo\common\lib\ioloServiceManager.exe
O23 - Service: iolo System Guard (IOLO_SRV) - Unknown owner - C:\Program Files\iolo\System Mechanic\IoloSGCtrl.exe
O23 - Service: Service de liPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

–
End of file - 11253 bytes

Senosen · Octobre 26, 2009, 10:02

:hello:

avoir un ordi connecté sur le net sans antivirus et parefeu … il ne faut pas s’étonner de choper des merdes

Passe en “mode sans échec avec prise en compte du réseau” tu auras accès à internet.

Télécharge, mets à jour Malwarebytes Anti-Malware que tu trouveras ici (pour les intimes il se nomme MBAM), mets le sur ton bureau

va dans l’onglet “Recherche”, coche “Exécuter un examen complet” puis “Rechercher”

Sélectionnes tes disques durs puis clique sur “Lancer lexamen”

A la fin du scan, clique sur Afficher les résultats , sélectionne tous les éléments trouvés puis
cliques sur Supprimer la sélection==>Important à faire

S’il t’ es demandé de redémarrer, clique sur "oui "

après la suppression(s) de ou des infections trouvées --> poste le rapport ici

Télécharge Antivir ici

installe le, mets le à jour, scanne ton ordi avec, place tout ce qui est trouvé en quarantaine, poste le rapport qui se trouve dans l’onglet Rapport …

Clique [ici](http://www.genproc.com/GenProc.exe) pour télécharger [b]GenProc[/b] sur le bureau


=> lance le et laisse le travailler
=> Enregistre le rapport sur le bureau

dans ta prochaine réponse poste:

le rapport MBAM
le rapport Antivir
le rapport Genproc

arnomalf · Octobre 26, 2009, 11:35

J’ai tout désactivé car je pensais que cela aurait été un pb avec l’installation de XP SP3
J’ai installé MBAM en mode sans échec mais le logiciel ne se lance pas…

arnomalf · Octobre 26, 2009, 1:06

Personne pour me dire quoi faire ???

Senosen · Octobre 26, 2009, 1:49

Re,

en mode normal il se lance ???

arnomalf · Octobre 26, 2009, 2:06

Non plus… j’ai bcp de mal avec plusieurs logiciels anti virus (kasperspy…)

Senosen · Octobre 26, 2009, 2:10

ok,

lance Genproc

arnomalf · Octobre 26, 2009, 2:27

Genproc a donné cela

Rapport GenProc 2.640 [1] - 26/10/2009 à 14:24:26
@ Windows XP Service Pack 2 - Mode normal
@ Internet Explorer (8.0.6001.18702) [Navigateur par défaut]

~~ CM DISK ERROR ~~

Dans CCleaner, clique sur “Options”, “Avancé” et décoche la case “Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures” ; par la suite, laisse-le avec ses réglages par défaut. C’est tout.

Etape 1/ Télécharge :

SmitfraudFix siri.urz.free.fr… (S!Ri) sur le Bureau.
ComboFix download.bleepingcomputer.com… (sUBs) sur ton Bureau.
Désactive ton antivirus, ton pare-feu et ferme tes programmes en cours. Lance combofix.exe et accepte les termes en cliquant sur OUI. Patiente. Au message “ComboFix a détecté que la ‘console de récupération Windows’ n’existe pas sur ce PC”, clique sur oui puis sur OK, puis patiente. Valide le CLUF Microsoft. Au message “La console de récupération a été installée avec succès”, clique impérativement sur NON pour quitter le programme (ferme également le rapport CF-RC.txt qui s’est ouvert)

Redémarre en mode sans échec comme indiqué ici www.pcloisirs.eu… ; Choisis ta session courante *** Arnaud *** (pour retrouver le rapport, clique sur le raccourci “Rapport GenProc[1]” sur ton bureau).

Etape 2/

Double-clique sur le fichier “SmitfraudFix.exe” et choisis l’option 2, réponds oui à tout et laisse-le procéder. Sauvegarde le rapport sur ton bureau.

Etape 3/

Double clique sur combofix.exe et suis les instructions. Attention de ne pas utiliser ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne au risque de figer l’ordinateur.

Etape 4/

Lance CCleaner : “Nettoyeur”/“lancer le nettoyage” et c’est tout.

Etape 5/

Redémarre normalement et poste, dans la même réponse :

Le contenu du rapport rapport.txt situé sur le Bureau ;
Le contenu du rapport Combofix.txt situé dans C:\ ;
Un nouveau rapport HijackThis forums.cnetfrance.fr… ;
Un nouveau rapport GenProc ;

Précise les difficultés que tu as eu (ce que tu n’as pas pu faire…) ainsi que l’évolution de la situation.

~~ Arguments de la procédure ~~

Détections [1] GenProc 2.640 26/10/2009 à 14:24:40

Smitfraud:le 26/10/2009 à 14:24:53 “C:\WINDOWS\System32\msxml71.dll”
TDSS:le 26/10/2009 à 14:24:55 HKLM…\Services : “GXVXCSERV.SYS”

Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com

~~ Fin à 14:25:06 ~~

Senosen · Octobre 26, 2009, 3:21

Re,

Genproc vient de te donner une procédure …enregistre la sur ton bureau et suis la à la lettre et dans l’ordre …;

si problème pendant l’exécution de celle-çi poste un message ici … sinon poste les rapports demandés

arnomalf · Octobre 26, 2009, 6:35

Bon voici ce que cela donne :

Rapport.txt du brureau /

SmitFraudFix v2.424

Rapport fait à 15:48:01,53, 26/10/2009
Executé à partir de C:\Documents and Settings\Arnaud\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler’s .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri’s WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\autorun.inf supprimé
C:\WINDOWS\Tasks\At?.job supprimé
C:\WINDOWS\Tasks\At??.job supprimé
C:\WINDOWS\system32\msxml71.dll supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip…{1AE25FB5-0DC2-46C9-BF6A-B2A0CA53A571}: NameServer=208.43.124.20,208.43.124.21
HKLM\SYSTEM\CCS\Services\Tcpip…{3AC7F1B7-0172-4A29-8BA8-77EBFD2E5AAD}: NameServer=208.43.124.20,208.43.124.21
HKLM\SYSTEM\CCS\Services\Tcpip…{3D0C7974-48B0-4D65-9606-351F5000D9AD}: NameServer=208.43.124.20,208.43.124.21
HKLM\SYSTEM\CCS\Services\Tcpip…{6A32839B-226A-4686-B9C3-677F97768B60}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip…{7A3B49B6-32E0-4E59-B0E2-1FB66E44CEF6}: NameServer=208.43.124.20,208.43.124.21
HKLM\SYSTEM\CCS\Services\Tcpip…{98E6E2E4-3FB5-4763-A1BC-54BA983B5591}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip…{99197508-3A00-480E-8905-29048CAB41CF}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip…{99197508-3A00-480E-8905-29048CAB41CF}: NameServer=208.43.124.20,208.43.124.21
HKLM\SYSTEM\CS1\Services\Tcpip…{1AE25FB5-0DC2-46C9-BF6A-B2A0CA53A571}: NameServer=208.43.124.20,208.43.124.21
HKLM\SYSTEM\CS1\Services\Tcpip…{3AC7F1B7-0172-4A29-8BA8-77EBFD2E5AAD}: NameServer=208.43.124.20,208.43.124.21
HKLM\SYSTEM\CS1\Services\Tcpip…{3D0C7974-48B0-4D65-9606-351F5000D9AD}: NameServer=208.43.124.20,208.43.124.21
HKLM\SYSTEM\CS1\Services\Tcpip…{6A32839B-226A-4686-B9C3-677F97768B60}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip…{7A3B49B6-32E0-4E59-B0E2-1FB66E44CEF6}: NameServer=208.43.124.20,208.43.124.21
HKLM\SYSTEM\CS1\Services\Tcpip…{98E6E2E4-3FB5-4763-A1BC-54BA983B5591}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip…{99197508-3A00-480E-8905-29048CAB41CF}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip…{99197508-3A00-480E-8905-29048CAB41CF}: NameServer=208.43.124.20,208.43.124.21
HKLM\SYSTEM\CS2\Services\Tcpip…{1AE25FB5-0DC2-46C9-BF6A-B2A0CA53A571}: NameServer=208.43.124.20,208.43.124.21
HKLM\SYSTEM\CS2\Services\Tcpip…{3AC7F1B7-0172-4A29-8BA8-77EBFD2E5AAD}: NameServer=208.43.124.20,208.43.124.21
HKLM\SYSTEM\CS2\Services\Tcpip…{3D0C7974-48B0-4D65-9606-351F5000D9AD}: NameServer=208.43.124.20,208.43.124.21
HKLM\SYSTEM\CS2\Services\Tcpip…{6A32839B-226A-4686-B9C3-677F97768B60}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip…{7A3B49B6-32E0-4E59-B0E2-1FB66E44CEF6}: NameServer=208.43.124.20,208.43.124.21
HKLM\SYSTEM\CS2\Services\Tcpip…{98E6E2E4-3FB5-4763-A1BC-54BA983B5591}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip…{99197508-3A00-480E-8905-29048CAB41CF}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip…{99197508-3A00-480E-8905-29048CAB41CF}: NameServer=208.43.124.20,208.43.124.21
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

“System”=""

»»»»»»»»»»»»»»»»»»»»»»»» RK.2

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler’s .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Combofix.txt situé dans C:\ --> Non réalisé suite à 3 plantages malgré les récommandations
Un nouveau HijackThis/

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:25:27, on 26/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\Program Files\iolo\common\lib\ioloServiceManager.exe
C:\Program Files\iolo\System Mechanic\IoloSGCtrl.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\iolo\System Mechanic\SystemGuardAlerter .exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.yahoo.fr…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com…
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM…\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM…\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM…\Run: [ATICCC] “C:\Program Files\ATI Technologies\ATI.ACE\cli.exe” runtime -Delay
O4 - HKLM…\Run: [RoxioEngineUtility] “C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe”
O4 - HKLM…\Run: [Adobe Photo Downloader] “C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe”
O4 - HKLM…\Run: [NBKeyScan] “C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe”
O4 - HKLM…\Run: [SystemGuardAlerter] C:\Program Files\iolo\System Mechanic\SystemGuardAlerter.exe
O4 - HKLM…\Run: [iTunesHelper] “C:\Program Files\iTunes\iTunesHelper.exe”
O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM…\Run: [ogud] C:\WINDOWS\system32\ogud.exe \u
O4 - HKLM…\Run: [restorer64_a] C:\WINDOWS\system32\restorer64_a.exe
O4 - HKCU…\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] “C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe”
O4 - HKCU…\Run: [TomTomHOME.exe] “C:\Program Files\TomTom HOME 2\HOMERunner.exe”
O4 - HKCU…\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS\S-1-5-18…\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9e.exe (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)
O4 - HKUS.DEFAULT…\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9e.exe (User ‘Default user’)
O8 - Extra context menu item: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE…
O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - upload.facebook.com…
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - ushousecall02.trendmicro.com…
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - webmail.giorgioarmani.fr…
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - www.cg14.fr…
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - www.update.microsoft.com…
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - www.moncalendrierphoto.fr…
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - www.sibelius.com…
O17 - HKLM\System\CCS\Services\Tcpip…{1AE25FB5-0DC2-46C9-BF6A-B2A0CA53A571}: NameServer = 208.43.124.20,208.43.124.21
O17 - HKLM\System\CCS\Services\Tcpip…{3AC7F1B7-0172-4A29-8BA8-77EBFD2E5AAD}: NameServer = 208.43.124.20,208.43.124.21
O17 - HKLM\System\CCS\Services\Tcpip…{3D0C7974-48B0-4D65-9606-351F5000D9AD}: NameServer = 208.43.124.20,208.43.124.21
O17 - HKLM\System\CCS\Services\Tcpip…{7A3B49B6-32E0-4E59-B0E2-1FB66E44CEF6}: NameServer = 208.43.124.20,208.43.124.21
O17 - HKLM\System\CCS\Services\Tcpip…{99197508-3A00-480E-8905-29048CAB41CF}: NameServer = 208.43.124.20,208.43.124.21
O17 - HKLM\System\CS1\Services\Tcpip…{1AE25FB5-0DC2-46C9-BF6A-B2A0CA53A571}: NameServer = 208.43.124.20,208.43.124.21
O17 - HKLM\System\CS2\Services\Tcpip…{1AE25FB5-0DC2-46C9-BF6A-B2A0CA53A571}: NameServer = 208.43.124.20,208.43.124.21
O21 - SSODL: UIaAyALJ - {6C7A60FD-C6D0-CA57-EA63-898A7FD33350} - C:\WINDOWS\system32\bhuo.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: iolo FileInfoList Service (ioloFileInfoList) - Unknown owner - C:\Program Files\iolo\common\lib\ioloServiceManager.exe
O23 - Service: iolo System Service (ioloSystemService) - Unknown owner - C:\Program Files\iolo\common\lib\ioloServiceManager.exe
O23 - Service: iolo System Guard (IOLO_SRV) - Unknown owner - C:\Program Files\iolo\System Mechanic\IoloSGCtrl.exe
O23 - Service: Service de liPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

–
End of file - 9869 bytes

Et enfin / nouveau GenProc/

Rapport GenProc 2.640 [2] - 26/10/2009 à 18:32:21
@ Windows XP Service Pack 2 - Mode normal
@ Internet Explorer (8.0.6001.18702) [Navigateur par défaut]

~~ “C:\WINDOWS\sed.exe” a été renommé sed.exe_RenameGenProc ~~
~~ “C:\WINDOWS\grep.exe” a été renommé grep.exe_RenameGenProc ~~
~~ CM DISK ERROR ~~

GenProc n’a détecté aucune infection caractéristique et suggère de suivre la procédure suivante :

Etape 1/ Télécharge :

ToolsCleaner! pc-system.fr… (A.Rothstein & Dj QUIOU) sur ton Bureau.

Etape 2/

Double-clique sur ToolsCleaner2.exe pour le lancer.
Clique sur Recherche et laisse le scan agir.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options Facultatives.
Clique sur Quitter pour obtenir le rapport C:\TCleaner.txt

Etape 3/

Poste un rapport Nod32 www.eset-nod32.fr… (il faut utiliser Internet Explorer)

coche toutes les cases à chaque fois, et lorsque c’est terminé, colle le rapport :
C:\Program Files\EsetOnlineScanner\log.txt

~~~~ INFORMATION COMPLEMENTAIRE ~~~~

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:33:02, on 26/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\Program Files\iolo\common\lib\ioloServiceManager.exe
C:\Program Files\iolo\System Mechanic\IoloSGCtrl.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\iolo\System Mechanic\SystemGuardAlerter .exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\GenProc\outil\Arnaud_GenProc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.yahoo.fr…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com…
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM…\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM…\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM…\Run: [ATICCC] “C:\Program Files\ATI Technologies\ATI.ACE\cli.exe” runtime -Delay
O4 - HKLM…\Run: [RoxioEngineUtility] “C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe”
O4 - HKLM…\Run: [Adobe Photo Downloader] “C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe”
O4 - HKLM…\Run: [NBKeyScan] “C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe”
O4 - HKLM…\Run: [SystemGuardAlerter] C:\Program Files\iolo\System Mechanic\SystemGuardAlerter.exe
O4 - HKLM…\Run: [iTunesHelper] “C:\Program Files\iTunes\iTunesHelper.exe”
O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM…\Run: [ogud] C:\WINDOWS\system32\ogud.exe \u
O4 - HKLM…\Run: [restorer64_a] C:\WINDOWS\system32\restorer64_a.exe
O4 - HKCU…\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] “C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe”
O4 - HKCU…\Run: [TomTomHOME.exe] “C:\Program Files\TomTom HOME 2\HOMERunner.exe”
O4 - HKCU…\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS\S-1-5-18…\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9e.exe (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)
O4 - HKUS.DEFAULT…\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9e.exe (User ‘Default user’)
O8 - Extra context menu item: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE…
O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - upload.facebook.com…
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - ushousecall02.trendmicro.com…
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - webmail.giorgioarmani.fr…
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - www.cg14.fr…
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - www.update.microsoft.com…
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - www.moncalendrierphoto.fr…
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - www.sibelius.com…
O17 - HKLM\System\CCS\Services\Tcpip…{1AE25FB5-0DC2-46C9-BF6A-B2A0CA53A571}: NameServer = 208.43.124.20,208.43.124.21
O17 - HKLM\System\CCS\Services\Tcpip…{3AC7F1B7-0172-4A29-8BA8-77EBFD2E5AAD}: NameServer = 208.43.124.20,208.43.124.21
O17 - HKLM\System\CCS\Services\Tcpip…{3D0C7974-48B0-4D65-9606-351F5000D9AD}: NameServer = 208.43.124.20,208.43.124.21
O17 - HKLM\System\CCS\Services\Tcpip…{7A3B49B6-32E0-4E59-B0E2-1FB66E44CEF6}: NameServer = 208.43.124.20,208.43.124.21
O17 - HKLM\System\CCS\Services\Tcpip…{99197508-3A00-480E-8905-29048CAB41CF}: NameServer = 208.43.124.20,208.43.124.21
O17 - HKLM\System\CS1\Services\Tcpip…{1AE25FB5-0DC2-46C9-BF6A-B2A0CA53A571}: NameServer = 208.43.124.20,208.43.124.21
O17 - HKLM\System\CS2\Services\Tcpip…{1AE25FB5-0DC2-46C9-BF6A-B2A0CA53A571}: NameServer = 208.43.124.20,208.43.124.21
O21 - SSODL: UIaAyALJ - {6C7A60FD-C6D0-CA57-EA63-898A7FD33350} - C:\WINDOWS\system32\bhuo.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: iolo FileInfoList Service (ioloFileInfoList) - Unknown owner - C:\Program Files\iolo\common\lib\ioloServiceManager.exe
O23 - Service: iolo System Service (ioloSystemService) - Unknown owner - C:\Program Files\iolo\common\lib\ioloServiceManager.exe
O23 - Service: iolo System Guard (IOLO_SRV) - Unknown owner - C:\Program Files\iolo\System Mechanic\IoloSGCtrl.exe
O23 - Service: Service de liPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

–
End of file - 9992 bytes

Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com

~~ Fin à 18:33:11 ~~

Voilà rien sinon on m’a parlé de rootkit et le log FIND3M a planté 3 fois…

Merci

cricri58 · Octobre 26, 2009, 8:11

Salut arnomalf

je ne m incruste pas

Salut L ami Senosen :hello:

arnomalf ==>tu dois faire Malawrebytes démandé par Senosen

O4 - HKLM…\Run: [restorer64_a] C:\WINDOWS\system32\restorer64_a.exe

restorer64_a exe / Backdoor Win 32

et Senosen te donne Un Combofix à faire

cricri58 :hello:

Senosen · Octobre 27, 2009, 8:51

Re,

:hello: Cricri

Télécharge, mets à jour Malwarebytes Anti-Malware que tu trouveras ici (pour les intimes il se nomme MBAM)

Passe en mode sans échec:
www.inforumatique.fr…

En préférant la méthode F8

va dans l’onglet “Recherche”, coche “Exécuter un examen complet” puis “Rechercher”

Sélectionnes tes disques durs puis clique sur “Lancer lexamen”

A la fin du scan, clique sur Afficher les résultats , sélectionne tous les éléments trouvés puis
cliques sur Supprimer la sélection==>Important à faire

S’il t’ es demandé de redémarrer, clique sur "oui "

après la suppression de ou des infections trouvées --> poste le rapport ici

Ainsi qu’un nouveau rapport hijackthis
Edité le 27/10/2009 à 08:53

Mike_Juliette · Mars 18, 2010, 3:41

Je ne parviens pas à accéder aux comptes d’utilisateurs à cause des virus. Accès au document d’un compte refusé. Aide moi à résoudre ces problèmes svp. Merci.