je pense que je suis infecté

**Rafafa**

bonjour à tous sur le forum ^^
j'ai un ami qui est venu avec sa clé USB et avira ma détécter un virus, depuis j'ai l'ordi qui ram à mort.
j'ai fait un scan avira puis un scan malwarebytes qui ma trouvé quelque virus mais mon ordi ram toujours autant.

voici un rapport hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:50:35, on 30/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Reverso\Reverso Translation Server\LogoMedia TranslateDotNet Server.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\OSD.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP Wireless Printer Adapter\ConnectMgr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\HP Wireless Adapter\HPWlan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\ahahihih.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.voila.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://r.office.microsoft.com/r/rlidOfficeUpdate?clid=1036
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrVolOSD] C:\Program Files\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSDCtrl.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HPWireless] "C:\Program Files\HP Wireless Adapter\HPWLAN.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Redémarrer le gestionnaire de connexion.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Program Files\Reverso\Reverso Translation Server\LogoMedia TranslateDotNet Server.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe
O24 - Desktop Component 0: (no name) - http://mail3.voila.fr/webmail/fr_FR/Images/coche_off.gif
--
End of file - 8147 bytes

merci de bien vouloir me dire si je suis infecté

**geoffrey5**

Bonjour rafafa et bienvenu sur le forum d'entraide Wink

Ton PC n'est pas du tout à jour...

Commence par faire ceci stp :

Telecharge UsbFix de C_XX & Chiquitine29
tutoriel d'installation
tutoriel recherche
Lance l installation avec les parametres par default
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d'avoir été infectés sans les ouvrir
Double clic sur le raccourci UsbFix sur ton bureau
Choisi l'option 1 (recherche)
Laisse travailler l'outil
Ensuite post le rapport UsbFix.txt qui apparaîtra
Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus

_________________

**Rafafa**

salut geoffrey, aucun des 3 liens que tu ma donner ne marche

**Nemesis31**

Je confirme, tes 3 liens ne marchent pas

_________________
http://virusscan.jotti.org/fr => le Scanner Anti-Virus de Jotti
http://secunia.com/vulnerability_scanning/online => Scan de Vulnérabilités
http://forum.malekal.com/viewtopic.php?f=45&t=6173 => Toolbars, c'est pas obligatoire !!

**lainvi**

Salut !

Apparemment le téléchargement de USBFix a été interrompu !??

Il faut attendre geoffrey5 pour la suite, je pense qu'il va te proposer autre chose.

**chimay8**

Salut,

Usbfix est fusionné avec findykill

fais ceci(geoffrey5 reprendra la suite)

Télécharge FindyKill de Chiquitine29

Fais un clic droit sur le lien, enregistrer sous .....sur le bureau

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

Installe le par défaut dans "Progam files"

Entre dans le dossier FindyKill

double clique sur "FindyKill.exe"

choisis l'option 1 (recherche)

un rapport va s'ouvrir, poste le dans ta prochaine réponse s-t-p

Note : le rapport FindyKill.txt est sauvegardé à la racine du disque

**Juliensl**

############################## | FindyKill V6.001 |
# User : rafaèle (Administrateurs) # E87D71ADA19B40A
# Update on 30/06/09 by Chiquitine29 & C_XX
# Start at: 11:15:48 | 01/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Mobile AMD Athlon(tm) 64 Processor 3200+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.26 [ Enabled | Updated ]
# C:\ # Disque fixe local # 74,52 Go (35,83 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM # 654,81 Mo (0 Mo free) [ARM FRANCE 2002] # CDFS
# G:\ # Disque CD-ROM
# H:\ # Disque CD-ROM
# I:\ # Disque CD-ROM
# J:\ # Disque CD-ROM # 6,67 Mo (0 Mo free) [U3 System] # CDFS
# K:\ # Disque amovible # 3,74 Go (3,4 Go free) # FAT32
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Reverso\Reverso Translation Server\LogoMedia TranslateDotNet Server.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\OSD.exe
C:\Program Files\Launch Manager\OSDCtrl.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\HP Wireless Adapter\HPWLAN.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP Wireless Printer Adapter\ConnectMgr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Documents and Settings\rafaèle\Application Data\U3\11020316A2429AF7\LaunchPad.exe
################## | Registre Startup |
HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
HKCU_Main: "Start Page"="http://www.voila.fr/"
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="rafaŠle"
HKLM_logon: "AltDefaultUserName"="rafaŠle"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: SunJavaUpdateSched=C:\Program Files\Java\jre1.5.0\bin\jusched.exe
HKLM_Run: ATIPTA=C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
HKLM_Run: LaunchAp=C:\Program Files\Launch Manager\LaunchAp.exe
HKLM_Run: HotkeyApp=C:\Program Files\Launch Manager\HotkeyApp.exe
HKLM_Run: LMgrVolOSD=C:\Program Files\Launch Manager\OSD.exe
HKLM_Run: LMgrOSD=C:\Program Files\Launch Manager\OSDCtrl.exe
HKLM_Run: Wbutton="C:\Program Files\Launch Manager\Wbutton.exe"
HKLM_Run: SoundMan=SOUNDMAN.EXE
HKLM_Run: SynTPLpr=C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
HKLM_Run: SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
HKLM_Run: Broadcom Wireless Manager UI=C:\WINDOWS\system32\WLTRAY
HKLM_Run: CtrlVol=C:\Program Files\Launch Manager\CtrlVol.exe
HKLM_Run: NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe
HKLM_Run: HP Software Update=C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
HKLM_Run: QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
HKLM_Run: McAfeeUpdaterUI="C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
HKLM_Run: Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
HKLM_Run: HPWireless="C:\Program Files\HP Wireless Adapter\HPWLAN.exe"
HKLM_Run: avgnt="C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKCU_Run: CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
################## | Fichiers # Dossiers infectieux |

################## | C:\Documents and Settings\rafaŠle\Temporary Internet Files |

################## | All Drives ... |
Présent ! E:\install.exe
Présent ! E:\Setup.exe
Présent ! E:\autorun.inf
Présent ! J:\autorun.inf
Présent ! "K:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213"
################## | Registre # Clés Run infectieuses |

################## | Registre # Mountpoints2 |
HKCU\...\Explorer\MountPoints2\E\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\J\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{2b458c7e-8f40-11db-a33c-00904be48914}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{2b458c7e-8f40-11db-a33c-00904be48914}\Shell\explore\Command
HKCU\...\Explorer\MountPoints2\{2b458c7e-8f40-11db-a33c-00904be48914}\Shell\open\Command
HKCU\...\Explorer\MountPoints2\{33db949f-0f55-11dc-a392-00904be48914}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{33db949f-0f55-11dc-a392-00904be48914}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{4fd4b434-b458-11da-a2b5-00904be48914}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{4fd4b434-b458-11da-a2b5-00904be48914}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{52aca138-0f76-11dc-a393-00904be48914}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{69cf5bfc-43cc-11da-a1eb-00904be48914}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{69cf5bfc-43cc-11da-a1eb-00904be48914}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{71634168-9109-11db-a33f-00904be48914}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{71634168-9109-11db-a33f-00904be48914}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{a4842796-8f39-11db-a33b-00904be48914}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{a4842796-8f39-11db-a33b-00904be48914}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{b0cb4046-326f-11de-a524-00904be48914}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{bf884a34-8f68-11db-a33e-00904be48914}\Shell\Auto\Command
HKCU\...\Explorer\MountPoints2\{bf884a34-8f68-11db-a33e-00904be48914}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{f6859f86-e4ab-11da-a2ea-00904be48914}\Shell\AutoRun\Command
################## | Etat / Services / Informations |
# Affichage des fichiers cachés : OK

# Mode sans echec : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | Cracks / Keygens / Serials |

################## | ! Fin du rapport # FindyKill V6.001 ! |

**geoffrey5**

Bonjour,

en effet, UsbFix a été retiré entretemps Smile

Il faut utiliser FindyKill comme te la proposé chimay8

PS : @chimay8

Ce lien de téléchargement va bientôt être retiré... Voici le nouveau :

http://sd-1.archive-host.com/membres/up/127028005715545653/FindyKill.exe

_________________

**geoffrey5**

Pourquoi est-ce que c'est toi qui envois son rapport Julien ??

_________________

**geoffrey5**

Maintenant fais ceci rafafa stp :

tutoriel nettoyage
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir
Double clic sur le raccourci FindyKill sur ton bureau
Au menu principal,choisi l option 2 (Suppression)

/!\ il y aura un redémarrage, laisse travailler l outils jusqu a l apparition du message "nettoyage effectué"

/!\ Ne te sert pas du pc durant la suppression , ton bureau ne sera pas accessible c est normal !
ensuite post le rapport FindyKill.txt

* Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
* Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides

_________________

**Rafafa**

salut, il y avait un fichier USBfix et un fichier findykill dans C: donc j'ai copié le fichier findykill

############################## | FindyKill V6.001 |
# User : rafaèle (Administrateurs) # E87D71ADA19B40A
# Update on 30/06/09 by Chiquitine29 & C_XX
# Start at: 11:35:01 | 01/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Mobile AMD Athlon(tm) 64 Processor 3200+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.26 [ Enabled | Updated ]
# C:\ # Disque fixe local # 74,52 Go (35,71 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM # 654,81 Mo (0 Mo free) [ARM FRANCE 2002] # CDFS
# G:\ # Disque CD-ROM
# H:\ # Disque CD-ROM
# I:\ # Disque CD-ROM
# J:\ # Disque CD-ROM # 6,67 Mo (0 Mo free) [U3 System] # CDFS
# K:\ # Disque amovible # 3,74 Go (3,4 Go free) # FAT32
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Reverso\Reverso Translation Server\LogoMedia TranslateDotNet Server.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Avira\AntiVir Desktop\avwsc.exe
################## | Fichiers # Dossiers infectieux |

################## | C:\Documents and Settings\rafaŠle\Temporary Internet Files |

################## | All Drives ... |
(!) Non supprimé ! E:\install.exe
(!) Non supprimé ! E:\Setup.exe
(!) Non supprimé ! E:\autorun.inf
(!) Non supprimé ! J:\autorun.inf
################## | Autres ... |

################## | Registre # Clés Run infectieuses |

################## | Registre # Mountpoints2 |
Supprimé ! HKCU\...\Explorer\MountPoints2\E\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\J\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{2b458c7e-8f40-11db-a33c-00904be48914}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{33db949f-0f55-11dc-a392-00904be48914}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{4fd4b434-b458-11da-a2b5-00904be48914}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{52aca138-0f76-11dc-a393-00904be48914}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{69cf5bfc-43cc-11da-a1eb-00904be48914}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{71634168-9109-11db-a33f-00904be48914}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{a4842796-8f39-11db-a33b-00904be48914}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{bf884a34-8f68-11db-a33e-00904be48914}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{f6859f86-e4ab-11da-a2ea-00904be48914}\Shell\AutoRun\Command
################## | Listing des fichiers présent |
[21/10/2005 15:04|--a------|0] - C:\AUTOEXEC.BAT
[21/10/2005 15:55|--a------|167] - C:\bcmwl5.log
[29/06/2009 16:45|--ahs----|216] - C:\boot.ini
[05/08/2004 14:00|-rahs----|4952] - C:\Bootfont.bin
[21/10/2005 15:04|--a------|0] - C:\CONFIG.SYS
[01/07/2009 11:50|--a------|4000] - C:\FindyKill.txt
[21/10/2005 15:55|--a------|1559] - C:\FSC-DeskUpdate.txt
[||] - C:\hiberfil.sys
[21/10/2005 15:04|-rahs----|0] - C:\IO.SYS
[13/06/2009 15:14|--a------|37590] - C:\mombi.log
[21/10/2005 15:04|-rahs----|0] - C:\MSDOS.SYS
[05/08/2004 14:00|-rahs----|47564] - C:\NTDETECT.COM
[06/11/2008 18:06|-rahs----|252240] - C:\ntldr
[||] - C:\pagefile.sys
[12/12/2008 13:10|--a------|68] - C:\scandata.dat
[25/03/2007 15:15|--ah-----|232] - C:\sqmdata00.sqm
[13/04/2007 22:27|--ah-----|232] - C:\sqmdata01.sqm
[14/04/2007 14:41|--ah-----|232] - C:\sqmdata02.sqm
[14/04/2007 17:10|--ah-----|232] - C:\sqmdata03.sqm
[14/04/2007 17:19|--ah-----|232] - C:\sqmdata04.sqm
[14/04/2007 17:38|--ah-----|232] - C:\sqmdata05.sqm
[14/04/2007 17:46|--ah-----|232] - C:\sqmdata06.sqm
[14/04/2007 17:49|--ah-----|232] - C:\sqmdata07.sqm
[14/04/2007 21:34|--ah-----|232] - C:\sqmdata08.sqm
[05/05/2007 18:16|--ah-----|232] - C:\sqmdata09.sqm
[05/05/2007 18:20|--ah-----|232] - C:\sqmdata10.sqm
[06/05/2007 17:12|--ah-----|232] - C:\sqmdata11.sqm
[20/11/2006 11:18|--ah-----|268] - C:\sqmdata12.sqm
[21/11/2006 07:41|--ah-----|268] - C:\sqmdata13.sqm
[21/11/2006 07:46|--ah-----|268] - C:\sqmdata14.sqm
[24/11/2006 12:13|--ah-----|268] - C:\sqmdata15.sqm
[24/11/2006 12:28|--ah-----|268] - C:\sqmdata16.sqm
[24/11/2006 12:50|--ah-----|268] - C:\sqmdata17.sqm
[24/11/2006 13:34|--ah-----|268] - C:\sqmdata18.sqm
[07/03/2007 20:43|--ah-----|232] - C:\sqmdata19.sqm
[25/03/2007 15:15|--ah-----|244] - C:\sqmnoopt00.sqm
[13/04/2007 22:27|--ah-----|244] - C:\sqmnoopt01.sqm
[14/04/2007 14:41|--ah-----|244] - C:\sqmnoopt02.sqm
[14/04/2007 17:10|--ah-----|244] - C:\sqmnoopt03.sqm
[14/04/2007 17:19|--ah-----|244] - C:\sqmnoopt04.sqm
[14/04/2007 17:38|--ah-----|244] - C:\sqmnoopt05.sqm
[14/04/2007 17:46|--ah-----|244] - C:\sqmnoopt06.sqm
[14/04/2007 17:49|--ah-----|244] - C:\sqmnoopt07.sqm
[14/04/2007 21:34|--ah-----|244] - C:\sqmnoopt08.sqm
[05/05/2007 18:16|--ah-----|244] - C:\sqmnoopt09.sqm
[05/05/2007 18:20|--ah-----|244] - C:\sqmnoopt10.sqm
[06/05/2007 17:12|--ah-----|244] - C:\sqmnoopt11.sqm
[20/11/2006 11:18|--ah-----|244] - C:\sqmnoopt12.sqm
[21/11/2006 07:41|--ah-----|244] - C:\sqmnoopt13.sqm
[21/11/2006 07:46|--ah-----|244] - C:\sqmnoopt14.sqm
[24/11/2006 12:13|--ah-----|244] - C:\sqmnoopt15.sqm
[24/11/2006 12:28|--ah-----|244] - C:\sqmnoopt16.sqm
[24/11/2006 12:50|--ah-----|244] - C:\sqmnoopt17.sqm
[24/11/2006 13:34|--ah-----|244] - C:\sqmnoopt18.sqm
[07/03/2007 20:43|--ah-----|244] - C:\sqmnoopt19.sqm
[15/04/2002 18:50|-r-------|72058] - E:\00000000.016
[15/04/2002 18:50|-r-------|143650] - E:\00000000.256
[15/04/2002 18:50|-r-------|2048] - E:\00000001.TMP
[15/04/2002 14:26|-r-------|1443086] - E:\Atlas Routier Michelin.EXE
[05/04/2002 22:08|-r-------|43] - E:\Autorun.inf
[15/05/2000 10:08|-r-------|134656] - E:\Setup.exe
[18/04/2002 14:01|-r-------|148] - E:\Setup.ini
[21/04/2000 12:21|-r-------|3638] - E:\bib.ico
[18/04/2002 14:01|-r-------|1773125] - E:\data1.cab
[18/04/2002 14:07|-r-------|53640] - E:\data1.hdr
[18/04/2002 14:07|-r-------|67843872] - E:\data2.cab
[15/04/2002 18:50|-r-------|35840] - E:\drvmgt.dll
[05/09/2001 06:06|-r-------|344923] - E:\ikernel.ex_
[26/03/2002 19:57|-r-------|297942] - E:\install.bmp
[18/04/2002 13:19|-r-------|1233920] - E:\install.exe
[18/04/2002 14:07|-r-------|529] - E:\layout.bin
[15/04/2002 18:50|-r-------|29392] - E:\secdrv.sys
[19/03/2002 18:15|-r-------|426462] - E:\setup.bmp
[18/04/2002 14:01|-r-------|181326] - E:\setup.inx
[28/08/2000 16:14|-r-------|91] - E:\setup.iss
[06/05/2008 14:26|-r-------|309] - J:\autorun.inf
[23/10/2007 09:45|-r-------|1336632] - J:\LaunchU3.exe
[06/05/2008 14:11|-r-------|5600229] - J:\LaunchPad.zip
[04/05/2009 17:34|--ah-----|4096] - K:\._.Trashes
[04/05/2009 17:43|--ah-----|12292] - K:\.DS_Store
[08/01/2009 22:42|--a------|296] - K:\WMPInfo.xml
[23/10/2007 09:45|-ra------|1336632] - K:\LaunchU3.exe
[17/06/2009 23:46|--a------|103846] - K:\-2- Couleurs2.JPG
[12/06/2009 10:05|--a------|25735] - K:\CV marianne gely.pdf
################## | Vaccination |
# C:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
# K:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
################## | Etat / Services / Informations |
# Mode sans echec : OK

# Affichage des fichiers cachés : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | PEH ... |

################## | Cracks / Keygens / Serials |

################## | ! Fin du rapport # FindyKill V6.001 ! |

**geoffrey5**

Ok maintenant fais ceci stp :

Télécharge Malwarebytes
Tu auras un tutoriel à ta disposition sur mon site web pour l'installer et l'utiliser correctement.
Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
Lance une analyse complète en cliquant sur "Exécuter un examen complet"
Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
L'analyse peut durer un bon moment.....
Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC...
Faites le en cliquant sur "oui" à la question posée

_________________

**Rafafa**

Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2358
Windows 5.1.2600 Service Pack 3
01/07/2009 14:03:08
mbam-log-2009-07-01 (14-03-08).txt
Type de recherche: Examen complet (C:\|K:\|)
Eléments examinés: 137768
Temps écoulé: 54 minute(s), 46 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit (Hijack.Regedit) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit (Hijack.Regedit) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

**geoffrey5**

Re,

Télécharge Random's System Information Tool (RSIT)
Un tutoriel sera à ta disposition sur mon site web pour l'installer et l'utiliser correctement.
Comment héberger les rapports trop longs de RSIT

_________________

**Rafafa**

voilou

http://www.toofiles.com/fr/oip/documents/txt/5klln3-rtodza-8jylsp.html

**geoffrey5**

Bonjour rafafa,

Télécharge et enregistre Combofix (de sUBs) sur ton bureau
(c est le numéro 5) :
Je te conseille d'installer la console de récupération !!
désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)

Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :

http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

ensuite envois le rapport stp

_________________

**Rafafa**

ComboFix 09-07-01.04 - rafaèle 02/07/2009 16:49.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.894.514 [GMT 2:00]
Lancé depuis: c:\documents and settings\rafaèle\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-06-02 au 2009-07-02 ))))))))))))))))))))))))))))))))))))
.
2009-07-02 13:21 . 2009-07-02 13:22 -------- d-----w- C:\rsit
2009-07-01 10:14 . 2009-07-01 10:14 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2
2009-07-01 09:14 . 2009-07-01 09:53 -------- d-----w- C:\FindyKill
2009-07-01 09:10 . 2008-10-16 12:06 268648 ----a-w- c:\windows\system32\mucltui.dll
2009-07-01 09:10 . 2008-10-16 12:06 208744 ----a-w- c:\windows\system32\muweb.dll
2009-06-30 18:58 . 2009-06-30 18:58 -------- d-----w- c:\program files\Microsoft
2009-06-30 18:58 . 2009-06-30 18:58 -------- d-----w- c:\program files\Windows Live SkyDrive
2009-06-30 18:57 . 2009-06-30 18:58 -------- d-----w- c:\program files\Windows Live
2009-06-30 18:56 . 2009-06-30 18:56 -------- d-----w- c:\program files\Fichiers communs\Windows Live
2009-06-30 08:04 . 2009-06-30 08:04 -------- d-----w- c:\windows\system32\XPSViewer
2009-06-30 08:04 . 2009-06-30 08:04 -------- d-----w- c:\program files\MSBuild
2009-06-30 08:04 . 2009-06-30 08:04 -------- d-----w- c:\program files\Reference Assemblies
2009-06-30 08:03 . 2008-07-06 12:06 89088 -c----w- c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-06-30 08:03 . 2008-07-06 12:06 575488 -c----w- c:\windows\system32\dllcache\xpsshhdr.dll
2009-06-30 08:03 . 2008-07-06 12:06 575488 ------w- c:\windows\system32\xpsshhdr.dll
2009-06-30 08:03 . 2008-07-06 12:06 1676288 -c----w- c:\windows\system32\dllcache\xpssvcs.dll
2009-06-30 08:03 . 2008-07-06 12:06 1676288 ------w- c:\windows\system32\xpssvcs.dll
2009-06-30 08:03 . 2008-07-06 12:06 117760 ------w- c:\windows\system32\prntvpt.dll
2009-06-30 08:03 . 2008-07-06 10:50 597504 -c----w- c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-06-30 08:03 . 2009-06-30 08:03 -------- d-----w- C:\23eb118a7e5aec1e50019afe
2009-06-30 08:02 . 2009-06-30 11:54 -------- d-----w- c:\windows\SxsCaPendDel
2009-06-29 14:50 . 2009-06-29 14:50 -------- d-----w- c:\program files\Trend Micro
2009-06-29 12:34 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-29 12:34 . 2009-06-29 12:34 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-06-29 12:34 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-29 12:34 . 2009-06-29 12:34 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-06-23 13:26 . 2009-04-30 21:16 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-06-23 13:26 . 2009-04-30 21:16 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-06-23 13:26 . 2009-06-23 13:26 -------- d-----w- c:\windows\ie8updates
2009-06-23 13:25 . 2009-05-12 05:11 102912 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-06-23 13:22 . 2009-06-23 13:25 -------- dc-h--w- c:\windows\ie8
2009-06-23 12:35 . 2008-04-14 02:33 26624 ----a-w- c:\documents and settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2009-06-23 12:24 . 2009-06-23 12:24 -------- d-----w- c:\program files\Windows Media Connect 2
2009-06-23 12:22 . 2009-06-23 12:23 -------- d-----w- c:\windows\system32\drivers\UMDF
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-01 10:10 . 2005-10-23 12:58 -------- d-----w- c:\program files\Microsoft Works
2009-07-01 09:53 . 2004-08-05 12:00 85842 ----a-w- c:\windows\system32\perfc00C.dat
2009-07-01 09:53 . 2004-08-05 12:00 513736 ----a-w- c:\windows\system32\perfh00C.dat
2009-06-29 11:31 . 2008-11-10 14:43 -------- d-----w- c:\program files\CCleaner
2009-05-13 05:04 . 2004-09-29 18:49 915456 ----a-w- c:\windows\system32\wininet.dll
2009-05-08 14:01 . 2009-05-08 14:01 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-05-08 14:01 . 2009-05-08 14:01 -------- d-----w- c:\program files\Avira
2009-05-07 15:33 . 2004-08-05 12:00 348672 ----a-w- c:\windows\system32\localspl.dll
2009-04-19 19:50 . 2004-08-05 12:00 1847296 ----a-w- c:\windows\system32\win32k.sys
2009-04-15 14:53 . 2004-08-05 12:00 585216 ----a-w- c:\windows\system32\rpcrt4.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY" [X]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0\bin\jusched.exe" [2005-10-21 36972]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-04-05 339968]
"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2005-03-30 32768]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2005-05-02 57344]
"LMgrVolOSD"="c:\program files\Launch Manager\OSD.exe" [2005-03-16 204800]
"LMgrOSD"="c:\program files\Launch Manager\OSDCtrl.exe" [2004-10-11 245760]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2005-04-18 81920]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2005-03-18 98393]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-03-18 688217]
"CtrlVol"="c:\program files\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2005-11-03 98304]
"McAfeeUpdaterUI"="c:\program files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 139320]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"HPWireless"="c:\program files\HP Wireless Adapter\HPWLAN.exe" [2006-10-04 618496]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-03-24 77824]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-10-23 113664]
D‚marrage rapide du logiciel HP Image Zone.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2004-11-4 53248]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]
Red‚marrer le gestionnaire de connexion.lnk - c:\program files\HP Wireless Printer Adapter\ConnectMgr.exe [2009-2-17 1122304]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Ciel\\directDéclaration\\directDeclaration.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqcopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1330:UDP"= 1330:UDP:Windows Media Format SDK (iexplore.exe)
"1331:UDP"= 1331:UDP:Windows Media Format SDK (iexplore.exe)
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [08/05/2009 16:01 108289]
R2 HPEAPPkt;Realtek EAPPkt Protocol(HP);c:\windows\system32\drivers\HPEAPPkt.sys [17/02/2009 19:33 68864]
R3 hpnuhst;HP NUSB Host;c:\windows\system32\drivers\hpnuhst.sys [17/02/2009 19:34 11136]
R3 HPNUHUB;HP NUSB Hub;c:\windows\system32\drivers\hpnuhub.sys [17/02/2009 19:34 37248]
R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [21/10/2005 15:53 200192]
S1 mailKmd;mailKmd; [x]
S3 HPNUCMP;HP NUSB Composite;c:\windows\system32\drivers\hpnucmp.sys [17/02/2009 19:34 11648]
S4 Mrfsamgrb;Mrfsamgrb; [x]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.voila.fr/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-02 16:52
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CtrlVol = c:\program files\Launch Manager\CtrlVol.exe?@???T??????|x??|????q??|?j?wQj?w????????,??? ???|???????????\??????|????????h?????@??M?????????????s???????s???sx??s@??????????????|h??sl??????????s?????????????????C?sc"[url=http://www.forum-aide-contre-virus.net/mailto:?sx??s???????w??@?N'?s????-6]?sx??s???????w??@?N'?s????-6[/url]@? ??????????
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(740)
c:\windows\system32\Ati2evxx.dll
c:\windows\System32\BCMLogon.dll
- - - - - - - > 'explorer.exe'(2424)
c:\windows\system32\webcheck.dll
c:\progra~1\FICHIE~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
c:\program files\Fichiers communs\Microsoft Shared\Web Components\10\1036\OWCI10.DLL
c:\progra~1\FICHIE~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
c:\program files\Fichiers communs\Microsoft Shared\Web Components\11\1036\OWCI11.DLL
c:\windows\system32\msls31.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Heure de fin: 2009-07-02 16:54
ComboFix-quarantined-files.txt 2009-07-02 14:54
Avant-CF: 37 530 869 760 octets libres
Après-CF: 37 531 037 696 octets libres
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
175 --- E O F --- 2009-07-01 10:16

**geoffrey5**

Re,

comment se comporte ton PC ??

_________________

**Rafafa**

salut, il est toujours très lent, quand e l'allume, mes icones et la barre arrive mais mon fond d'écran prend environs 1 min. avant d'arriver.
quand je quitte ou réduit une fenêtre, elle se saccade, en gros, le haut de la fenètre disparait, puis le milieu haut disparait puis le millieu...
je vais faire un coup de cclenear, une défrag puis je vais faire un coup de avira et je te dis où ça en est
a++

**geoffrey5**

Désactive ton antivirus
Rends toi sur ce site : http://webscanner.kaspersky.fr/ (avec Internet Explorer uniquement)
En bas à droite, clique sur Démarrer Online-scanner
Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte
Accepte les Contrôle ActiveX
Choisis Poste de travail pour le scan.
Celui-ci terminé, sauvegarde le rapport (choisis fichier texte) et poste le dans ta prochaine réponse.
Pour t'aider à utiliser le scan en ligne, consulte [http://www.malekal.com//scan_Av_en_ligne.php#mozTocId291566 ce tutoriel]

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

_________________

**Rafafa**

salut, désoler de ne pas t'avoir répondut plus tôt mais j'étais très occupé

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: rapport d'analyse
jeudi 9 juillet 2009
Système d'exploitation : Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Version de Kaspersky Online Scanner : 7.0.26.13
Dernière mise à jour de la base : Wednesday, July 08, 2009 21:40:31
Enregistrements dans la base : 2445441
--------------------------------------------------------------------------------
Paramètres d'analyse:
analyser avec la base suivante: étendue
Analyser les archives: oui
Analyser les bases de messagerie: oui
Zone d'analyse - Poste de travail:
C:\
D:\
E:\
G:\
H:\
I:\
Statistiques d'analyse:
Objets analysés: 71473
Menaces trouvées: 1
Objets infectés trouvés: 1
Objets suspects trouvés: 0
Durée d'analyse: 02:18:14

Nom de fichier / Menace / Compteur de menaces
C:\Documents and Settings\rafaèle\Mes documents\COURS\Photo Manna E)\AUTORUN.INF Infecté : Worm.Win32.RJump.a 1
La zone sélectionnée a été analysée.

merci beacoup a+++

**geoffrey5**

Bonjour Rafafa,

encore une belle infection dans ton PC... Il s'agit du virus adobeR.

Désactive la restauration du système, tu la réactiveras plus tard quand je te le dirai :

1 Dans la barre des tâches de Windows, clique sur Démarrer.

2 Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.

3 Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"

4 Clique sur Appliquer.

Ensuite branche tes disques amovibles et exécute ceci stp :

http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FxRajump.exe

_________________

**Rafafa**

je l'ai fait et a la fin il me dit qu'il n'a rien trouver mais il n'y a pas de rapport

**geoffrey5**

Ok maintenant :

Télécharge RAV antivirus (d'Evosla)

(c est le numéro 15)
Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau
Doucle-clique sur >> RAV.exe << afin de lancer l'outil.
Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain .
Retire tes disques amovibles et redémarrer le PC.
Poste le rapport, si infection!

ensuite :

Télécharge l'outil Flash_Disinfector (de sUBs) et enregistre le sur ton bureau :

(c est le numéro 11) :
Sous XP : Double clique sur Flash_Disinfector.exe pour l'exécuter.
sous vista : Clic-droit sur Flash_Disinfector présent sur le bureau et choisis "Exécuter en tant qu'administrateur"
Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra :
Connecte au pc, clé USB, DD externes, susceptibles d'avoir été infectés.
Puis clic sur Ok
Les icônes sur le bureau vont disparaître jusqu'à l'apparition du message: [Done!!]
Appuie ensuite sur OK, pour faire réapparaître le bureau.

_________________

**Rafafa**

voila, j'ai fait les deux et aucun rapport ne c'est affiché

**Rafafa**

salut geoffrey5, c'était pour savoir ce que je devais faire après??

merci a++

**geoffrey5**

Bonjour Rafafa,

désolé pour le retard mais j'ai beaucoup de boulot sur les nouveaux forums Embarassed

Refais un nouveau RSIT stp

_________________

**Rafafa**

désoler de ne pas avoir répondu plus tôt mais j'ai du m'absenté Embarassed

RSIT

si je ne répond pas pendant un petit moment c'est que je ne suis pas là non plus et je m'excuse d'avance.

en tout cas merci pour tout ce que vous avez déjà fait Very Happy

(symptôme: l'ordi est très très lent)

**Rafafa**

salut, je me questionné sur ce qu'il fallait que je fasse

merci

**Nemesis31**

salut !

je comprends pas pourquoi il y a mcafee... alors qu tu as avira.

Va dans:
*Démarrer
*Panneau de configuration
*Ajout/suppression de programmes
*cherches Mcafee

Si tu ne le trouves pas fait ça:

Citation:

Désinstalle Mcafee à l'aide de l'outil de désinstallation VSCleanupTool.exe comme l'explique le support technique de Mcafee

Réponse du centre de support technique Mcafee faite à une personne qui n'arrivait pas à désinstaller cet antivirus.

Merci d'avoir contacté le centre de support technique Mcafee.
Veuillez suivre les instructions ci-dessous pour desinstaller VirusScan :

1: Executez le fichier VSCleanupTool.zip joint à cet email.

2. Redemarrez l'ordinateur.

desinstallez le programme McAfee Security centre depuis ajout/suppression de programmes du panneau de configuration si possible:
Cliquez sur le bouton « Démarrer ».
Cliquez sur Panneau de configuration. Le Panneau de configuration s'affiche.
Cliquez deux fois sur l'icône Ajout/Suppression de programmes. La boîte de dialogue « Propriétés de Ajout/Suppression de programmes » s'affiche.
Recherchez McAfee Security centre dans la liste des programmes installés et cliquez dessus une fois pour les sélectionner
Cliquez sur le bouton « Ajouter/Supprimer ».

REMARQUE : si vous êtes invité à supprimer des fichiers partagés, répondez Oui pour tous.

3: Redemarrez l'ordinateur.

++

_________________
http://virusscan.jotti.org/fr => le Scanner Anti-Virus de Jotti
http://secunia.com/vulnerability_scanning/online => Scan de Vulnérabilités
http://forum.malekal.com/viewtopic.php?f=45&t=6173 => Toolbars, c'est pas obligatoire !!