infection (?) par Security tool

Bonjour !

J'ai installé un truc qu'il ne fallait surement pas installer, et pourtant d'habitude je fais attention, mais là j'avais l'impression que c'était une mise à jour de l'antivirus... Enfin bref, voilà donc ce "truc" est Security tool et il me fait bien ch'*r !!

Il m'alerte sans arrêt avec des fenêtre qui font peur (^^) et qui s'installent en plein milieu de mon écran, qui m'emp^chent de continuer... Je ne peux pas le désinstaller puisqu'il m'empêche d'aller dans "ajout/suppression de programmes". Je ne peux rien faire, il me stoppe tout le temps. Il ouvre une fenêtre, et mêmesi je clique sur "continue sans protection", il mestoppe dans mon action !!
Parfois il arrête tout, un écran bleu apparaît et là c'est stressant... !! Il n'y a pas toujours les icones sur l'écran, le fondd'écran est noir... Bref, j'ai besoin de vous !

J'ai trouvé cette réponse à quelqu'un qui avait le même problème que moi :




Bonsoir Mél51 et bienvenue sur le forum.


Ça va être un peu long, je vais te demander d'installer des logiciels qui vont me donner des rapports, et de là, on verra ce qu'on pourra faire

Quelques remarques préliminaires :
- ce n'est pas parce qu'il n'y a plus de symptômes que c'est fini
- à partir de maintenant, n'essaie pas de t'en débarrasser tout seul, je pourrais perdre le fil
- il y a des étapes à suivre, suis les dans l'ordre dans lesquelles je les mets svp
- ne prends aucune initiative avec les logiciels que tu vas utiliser : si tu es bloqué, ou si tu as un doute, stoppe tout et reviens me voir ... mal utilisés, ces logiciels peuvent sévèrement endommager ton système.
- Enfin, il y a toujours les aléas de la vie, même si tout a l'air d'aller, un ordinateur peut planter à n'importe quel moment.



Si tu es d'accord avec ceci, c'est parti.

Etape 1

Clique ici pour télécharger exehelper sur ton bureau.

Double-clique sur exeHelper.com pour le lancer.

Une fenêtre va s'ouvrir, patiente quelques instants et appuie sur une touche quand le scan sera terminé.
Si la fenêtre te montre ce message "Error deleting file", relance exehelper puis copie/colle le contenu de son rapport svp.
Il devrait se trouver sur le bureau sous le nom log.txt



Etape 2

Clique ici pour télécharger Win32kdiag sur ton bureau

Lance le
Utilisateur de vista : clic droit sur l'icône de win32kdiag et sélectionne "lancer en tant qu'administrateur"

Une fenêtre va s'ouvrir, patiente le temps du scan.

Copie le contenu du rapport svp : tu le trouveras aussi sur ton bureau sous le nom Win32kDiag.txt



---> Mais Security tool m'empêche de faire la première étape !!

Bonjour Sandwa,
Tu as bien fait de venir ici, une infection, c'est comme une maladie, les médicaments qui sont bons pour les uns ne sont pas forcément bons pour les autres.
Je vais te prendre en charge, et te donner quelques instructions pour te débarasser de cette sale bète. Comme tu l'as dit toi même: "j'ai dû installer un truc qu'il ne fallait pas". A priori, c'est un rogue, mais on va vérifier:
Utilise ce logiciel de diagnostic :

• Télécharge ZHPDiag (de Nicolas Coolman)
• Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.


Tutoriel:
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

Quand j'aurai étudié le rapport, je te donnerai de nouvelles consignes, ne fais rien d'autre en attendant, et en cas de problème previens-moi tout de suite.
A+
Michael

Ah au secouurs !

Heu... D'abord merci bien monsieur de prendre en charge mon cas, c'est très gentil !

Ensuite voilà je vous explique mes déboirs du moment :

Je n'arrive pas à faire ce que vous m'avez dit de faire, donc je vous avais préparé une réponse longue et très bien expliquée de ce qui m'arrivait, mais mon ordinateur vient de planter...

Bon voilà en gros ce que je vous disais :

Je n'arrive pas à installer ZHPDiag car Security tool m'en empêche.
Quand j'ai voulu l'installer, au début tout allait bien, il y a bien eu le téléchargement avec l'avancée des pourcentages... puis une fenêtre est apparue :
"registrybooster[1].exe is infected with worm Lsas.Blaster.Keyloger. This worm is trying to send your credit card details using registrybooster[1].exe to connect to remote host."
J'ai cliqué sur "continue unprotected" puis rien ne s'est passé, il n'a pas continué le chargement.

J'ai tenté de le réinstaller mais après avoir cliqué deux fois (dans deux fenêtres différentes) sur "exécuter", une fenêtre me demandant de choisir la langue apparait pendant une demi-seconde puis elle disparait, sans qu'aucune explication ne me soit donnée...


Et donc pendant que j'étais en train de vous raconter tout ça tout à l'heure, l'ordi a planté : écran tout bleu avec des écritures blanches, je ne sais plus trop ce que ça disait exactement : que le système a rencontré une erreur, que si c'est la première fois que je voyais cet écran bleu, il fallait que je redémarre mon ordinateur, que si ce n'était pas la première fois, il fallait que je fasse ce qui était marqué en dessous. Pour tenter de récupérer ma page j'ai cliqué sur la touche "windows" du clavier, puis sur contrôle et l'ordi s'est redémarré tout seul... (Cet écran bleu je l'avais déjà eu hier soir).
Là je suis allée sur notre ordi "familial" pour rédiger ce post parce-que j'ai peur que ça recommence.

Donc je suis dans le doute et le stress : que dois-je faire ?

En attendant votre réponse, j'ai d'autres questions ; est-ce que c'est dangereux pour mes fichiers qui sont dans mon ordi ? En le rallumant tout à l'heure (avant de rédiger mon post), j'ai tenté de les copier vers un disque dur externe, mais la copie s'est arrêtée (c'était marqué "le fichier est introuvable") et là je ne peux plus accéder à mes fichiers, photos etc, rien ne veux s'ouvrir...
Autre précision : mon fond d'écran est actuellement tout noir et sans icones. j'ai accès au bureau selement en ouvrant le bureau via une fenêtre...

Dans l'attente de votre réponse, merci beaucoup.

Bonsoir Sandwa

Citation :

D'abord merci bien monsieur de prendre en charge mon cas, c'est très gentil

Arrète de me considèrer comme un vieux papy, je ne vais pas t'offrir des bonbons; de plus sur les forums, tout le monde se tutoie.

Bon soyons sérieux: je m'attendais à ce que tu m'expliques, ta sale bestiole a la réputation de bloquer les applications, mais on va essayer de lui tordre le cou:
essaye ceci

Télécharge rkill depuis l'un des liens ci-dessous:

http://download.bleepingcomputer.com/grinler/rkill.pif
http://download.bleepingcomputer.com/grinler/rkill.scr
http://download.bleepingcomputer.com/grinler/rkill.com
http://download.bleepingcomputer.com/grinler/rkill.exe

Enregistre le fichier sur le Bureau.



Désactive le module résident de l'antivirus et celui de l'antispyware.


Fais un double clic sur le fichier rkill] téléchargé pour lancer l'outil.
Pour Vista, faire un clic droit sur le fichier [b]rkill/b téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

Une fenêtre à fond noir va apparaître brièvement, puis disparaître.

Si rien ne se passe, ou si l'outil ne se lance pas, télécharge l'outil depuis un autre des quatre liens ci-dessus et fais une nouvelle tentative d'exécution.

Si aucun des outils téléchargés depuis les quatre liens ci-dessus ne semble fonctionner, ne pas continuer le nettoyage, et me prévenir sur le forum.


Ensuite, sans redémarrer ton ordi:

• Télécharge Malwarebytes
  
  
• Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
  
  
• Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
  
  
• Lance une analyse complète en cliquant sur "Exécuter un examen complet"
  
  
• Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
  
  
• L'analyse peut durer un bon moment.....
  
  
• Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
  
  
• Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
  
  
• Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum
  

* Il se pourrait que certains fichiers doivent être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

En cas de problème, préviens moi

Tu peux éventuellement faire les téléchargement à partir du 2ème ordi, et les transfèrer par une clé USB:copie le fichier sur le Bureau de l'ordi infecté. (Attention à vider la clé avant de la déconnecter de l'ordi infecté pour éviter toute propagation d'infection)
.
Pour tes fichiers photos, on verra après avoir tué le processus malicieux; pour l'instant je ne peux rien dire
A très bientôt
Michael

Ah mince... je viens de voir que je suis un boulet !

Tout s'est bien passé, l'analyse a duré + de 2h30 et un post s'est ouvert, et il m'a demandé de redémarrer mon ordi et j'ai fait ok, sans copier le post... Et il a disparu...

Bravo Sandra hein...

Je croyais que "sans redémarrer ton ordi" c'était avant d'installer Malwarebytes mais je viens de comprendre que ça devait être après l'analyse.

En tous cas, quand mon ordi s'est rallumé : "Security tool" n'est plus là et aucune fenêtre alertante n'est apparue... En somme, tout à l'air comme d'habitude, mais je sais qu'il faut se méfier donc j'ai recommencé une analyse pour vous poster le truc à la fin, mais est-ce que ça va aller ? (J'ai peur que ce qu'il te fallait, c'est ce qui a été supprimé et tout... :s)
Dans les trucs à supprimer, il y avait des "trojan", des "rogue"...

J'suis vraiment désolée, jme sens trop nulle !

Merci pour ton temps.
A bientot

Sandra.

Bonjour Sandra,

Citation :

Ah mince... je viens de voir que je suis un boulet !

Mais non, ne soit pas défaitiste, il y a toujours une solution:
Ouvre MBAM
Onglet "rapports/logs"
Tu y trouveras la liste des derniers rapports avec la date et l'heure
Poste moi celui qui correspond à l'analyse qui nous intéresse

Donc, apparemment, ma potion magique a fait son boulot.
Poste moi aussi un nouveau ZHPDiag pour vérifier si tout va bien (suis la procédure indiquée plus haut, dans ma première réponse)
A+
Michael

PS: "sans redémarrer ton ordi", c'était bien avant de passer MBAM. Il était impératif de le faire juste après RKill, dont la mission était de tuer le processus infectieux pour que MBAM puisse l'éradiquer complètement, sinon en redémarrant, l'infection serait revenue, et aurait bloqué MBAM

Ahhlàlà ok, donc voici le premier, celui que e croyais avoir perdu : (heure : 14h55):

****

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4080

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

09/05/2010 14:55:05
mbam-log-2010-05-09 (14-55-05).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 197075
Temps écoulé: 2 heure(s), 36 minute(s), 12 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\57651428 (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysgif32 (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Documents and Settings\Propriétaire\Local Settings\Application Data\av.exe" /START "C:\Program Files\Internet Explorer\iexplore.exe") Good: (iexplore.exe) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Documents and Settings\All Users\Application Data\57651428 (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Documents and Settings\All Users\Application Data\57651428\57651428.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\M3M2IVG1\inst[1].exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\57651428\57651428.ini (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Propriétaire\Bureau\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\Documents and Settings\Propriétaire\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.


**************************************************************************************

Et voici celui qui vient de se terminer (i a retrouvé une infection) :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4080

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

09/05/2010 20:12:00
mbam-log-2010-05-09 (20-12-00).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 198107
Temps écoulé: 3 heure(s), 18 minute(s), 1 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{679A0020-90B4-4C3C-BC0A-B3810AF6E02F}\RP374\A0129279.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.

Pour le rapport ZHPDiag :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijcSChDml.txt

Voilà voilà, j'espère que j'ai tout bien fait !

Je sais que ce n'est peut-être pas fini, mais déjà merci de m'avoir rendu mon ordi ! Vous faîtes tous un boulot formidable ici !
Je ne serai de retour par ici que jeudi ou vendredi, pour l'instant mon ordi va se reposer !

Bonne semaine à toi d'ici là,

A +
Sandra.

Bonjour,
J'ai étudié ton rapport, et on a un peu de pain sur la planche.
Pour commencer:
Clique ici pour télécharger Gmer sur ton bureau.

• Ferme tous tes programmes et déconnecte toi d'internet.
  
• Désactive tes logiciels de sécurité (antivirus, antispyware, etc).
  
  
• Décompresse le fichier téléchargé sur ton bureau et double clique sur Gmer.exe pour le lancer.
  
  • Utilisateur de Vista : effectue un clic droit sur gmer.exe et sélectionne "Exécuter en tant qu'administrateur".
  
  
• Gmer peut te demander de lancer un scan, accepte. Dans le cas contraire, clique sur l'onglet Rootkit/Malware.
  
  • Sur la droite, vérifie que toutes les cases à cocher sont cochées sauf Show All.
  
  
• Clique sur le bouton Scan.
  
  • Laisse Gmer travailler et ne touche plus à ton ordinateur.
    
  • Patiente car le scan peut être long.
  
  
• A la fin du scan, un rapport s'ouvrira : enregistre le sur le bureau sous le nom "gmer.txt" puis copie/colle son contenu ici.
  
• Quitte Gmer et réactive tes logiciels de sécurité.
  

Attention à ne rien tenter par toi même !!

A très bientôt
Michael

Je ne comprends pas... Après avoir fait le scan, aucun rapport ne s'est ouvert. Je pouvais cliquer sur "ok" ou "annuler" donc je me suis dit qu'en cliquant sur ok, le scan allait apparaître. Mais non, il a fermé la fenêtre et voilà...
J'ai recommencé un nouveau scan, mais là il n'a rien trouvé. (avant il y avait des trucs avec des adresses à rallonge...).
J'ai cherché l'ancien rapport mais je ne trouve rien...

*****
Voilà ce qu'il met actuellement après ce deuxième scan :

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-05-13 14:23:00
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\uwloapog.sys


---- System - GMER 1.0.15 ----

SSDT F7C423C6 ZwCreateKey
SSDT F7C423BC ZwCreateThread
SSDT F7C423CB ZwDeleteKey
SSDT F7C423D5 ZwDeleteValueKey
SSDT F7C423DA ZwLoadKey
SSDT F7C423A8 ZwOpenProcess
SSDT F7C423AD ZwOpenThread
SSDT F7C423E4 ZwReplaceKey
SSDT F7C423DF ZwRestoreKey
SSDT F7C423D0 ZwSetValueKey
SSDT F7C423B7 ZwTerminateProcess

---- EOF - GMER 1.0.15 ----


J'aurais par ailleurs voulu savoir si je peux naviguer sans problème sur Internet. Merci !

Re bonjour,
Autant pour moi,les instructions pour Gmer étaient incomplètes.
Voici les bonnes:
Clique ici pour télécharger Gmer sur ton bureau.

• Ferme tous tes programmes et déconnecte toi d'internet.
  
• Désactive tes logiciels de sécurité (antivirus, antispyware, etc).
  
  
• Décompresse le fichier téléchargé sur ton bureau et double clique sur Gmer.exe pour le lancer.
  
  • Utilisateur de Vista : effectue un clic droit sur gmer.exe et sélectionne "Exécuter en tant qu'administrateur".
  
  
• Gmer peut te demander de lancer un scan, accepte. Dans le cas contraire, clique sur l'onglet Rootkit/Malware.
  
  • Sur la droite, vérifie que toutes les cases à cocher sont cochées sauf Show All.
  
  
• Clique sur le bouton Scan.
  
  • Laisse Gmer travailler et ne touche plus à ton ordinateur.
    
  • Patiente car le scan peut être long.
  
  
• A la fin du scan, un rapport apparaitra dans la fenètre
  
• Clique sur le bouton"copy"
  
• Ouvre le bloc note de windows (Notepad)
  
• Fais un clic droit dedans, et choisis "coller"
  
• Enregistre le sur le bureau sous le nom "gmer.txt" puis copie/colle son contenu ici.
  
• Quitte Gmer et réactive tes logiciels de sécurité.
  

Attention à ne rien tenter par toi même !!

Croise les doigts, et vas-y
A+
Michael

PS: pour la navigation sur internet, il vaudrait mieux limiter à nos échanges tant que ton PC n'est pas sécurisé

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-05-13 20:40:19
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\uwloapog.sys


---- System - GMER 1.0.15 ----

SSDT F7C02276 ZwCreateKey
SSDT F7C0226C ZwCreateThread
SSDT F7C0227B ZwDeleteKey
SSDT F7C02285 ZwDeleteValueKey
SSDT F7C0228A ZwLoadKey
SSDT F7C02258 ZwOpenProcess
SSDT F7C0225D ZwOpenThread
SSDT F7C02294 ZwReplaceKey
SSDT F7C0228F ZwRestoreKey
SSDT F7C02280 ZwSetValueKey
SSDT F7C02267 ZwTerminateProcess

---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] kernel32.dll!LoadResource 7C80A055 7 Bytes JMP 28001E20 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] kernel32.dll!FindResourceExW 7C80AD28 7 Bytes JMP 28001C60 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] kernel32.dll!FindResourceW 7C80BC6E 7 Bytes JMP 28001BE0 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] kernel32.dll!SizeofResource 7C80BD09 7 Bytes JMP 28001EE0 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] kernel32.dll!FindResourceA 7C80BF29 7 Bytes JMP 28001CF0 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] kernel32.dll!LockResource 7C80CD37 5 Bytes JMP 28001F50 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] kernel32.dll!CreateEventA 7C8308B5 5 Bytes JMP 28001840 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] kernel32.dll!FindResourceExA 7C835FA8 7 Bytes JMP 28001D80 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] ADVAPI32.dll!CryptDeriveKey 77DB9FFD 7 Bytes JMP 28001000 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 28001060 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] USER32.dll!GetWindowLongW 7E3988A6 7 Bytes JMP 280069E0 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] USER32.dll!PeekMessageW 7E39929B 5 Bytes JMP 280045B0 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] USER32.dll!SetWindowPlacement 7E39DE46 5 Bytes JMP 28005D80 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] USER32.dll!CreateDialogParamW 7E39EA3B 5 Bytes JMP 28006000 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] USER32.dll!LoadImageW 7E3A7B97 5 Bytes JMP 28006650 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] USER32.dll!CreateWindowExW 7E3AD0A3 5 Bytes JMP 28003C70 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] USER32.dll!SetWindowRgn 7E3AE528 7 Bytes JMP 28005EC0 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] USER32.dll!LoadIconW 7E3AE8BC 5 Bytes JMP 28006840 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] USER32.dll!MessageBoxIndirectW 7E3E64D5 5 Bytes JMP 280061F0 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] USER32.dll!TrackPopupMenuEx 7E3ECF62 5 Bytes JMP 28004E90 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] WS2_32.dll!closesocket 719F3E2B 5 Bytes JMP 2800B5E0 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] WS2_32.dll!send 719F4C27 5 Bytes JMP 2800B1C0 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] WS2_32.dll!WSARecv 719F4CB5 5 Bytes JMP 2800AFA0 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] WS2_32.dll!recv 719F676F 5 Bytes JMP 2800AE00 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] WS2_32.dll!WSASend 719F68FA 5 Bytes JMP 2800B3A0 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] SHELL32.dll!Shell_NotifyIconW 7CA3A5BF 5 Bytes JMP 280033D0 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] ole32.dll!CoInitializeEx 774BEF7B 5 Bytes JMP 28002260 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] ole32.dll!CoCreateInstance 774C057E 5 Bytes JMP 28002600 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] ole32.dll!CoRegisterClassObject 774D7E90 5 Bytes JMP 28002360 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] WININET.dll!InternetCloseHandle 404B4261 5 Bytes JMP 2800A000 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] WININET.dll!HttpOpenRequestA 404BAA7B 5 Bytes JMP 28009CC0 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] WININET.dll!InternetReadFile 404C13D4 5 Bytes JMP 28009E50 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] WININET.dll!HttpSendRequestA 404C3558 5 Bytes JMP 28009F30 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)

---- EOF - GMER 1.0.15 ----

Coucou, c'est moi,
Je vais te donner encore un peu de travail:

• Télécharge UsbFix (créé par El Desaparecido & C_XX) et enregistre-le sur ton bureau
  
  
• tutoriel recherche
  
  
• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptibles d'avoir été infectées sans les ouvrir
  
  
• Double clic sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement
  
  
• Choisi l'option 1 (recherche)
  
  
• Laisse travailler l'outil
  
  
• Ensuite post le rapport UsbFix.txt qui apparaîtra
  
  
• Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus

Dors bien, et fais de beaux rèves, pleins de PC qui marchent
Michael

Bonjour !!

Merci beaucoup pour cette nouvelle réponse !
Voici donc le rapport :

Bonne journée et bon week-end !



############################## | UsbFix V6.113 |

User : Propriétaire (Administrateurs) # UNKNOWN
Update on 13/05/2010 by El Desaparecido , C_XX & Chimay8
Start at: 11:26:19 | 15/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) M processor 1.70GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.11
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local # 37.01 Go (1.22 Go free) [mon disk dur ! hé ça rigole pas!] # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local # 149.05 Go (101.06 Go free) [DD Externe] # NTFS
G:\ -> Disque amovible # 979.72 Mo (979.7 Mo free) [CLÉ GRISE] # FAT

################## | Elements infectieux |

C:\log.txt
E:\SANDRA

################## | Registre |


################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{24f035aa-bcd7-11de-a841-000c76f933e0}
Shell\AutoRun\command =E:\wd_windows_tools\WDSetup.exe

HKCU\..\..\Explorer\MountPoints2\{d6dfa547-8d75-11de-a814-000c76f933e0}
Shell\Auto\command =E:\launcher.exe
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL launcher.exe

HKCU\..\..\Explorer\MountPoints2\{e91cd800-efae-11dd-a73b-000c76f933e0}
Shell\Auto\command =Start.exe
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !

################## | ! Fin du rapport # UsbFix V6.113 ! |

Bonsoir Sandoi,
Bonne nouvelle, toutes les sales bètes de ton PC ont été identifiées, on va passer à la dératisation:

• tutoriel nettoyage
  
  
• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir
  
  
• Double clic sur le raccourci UsbFix présent sur ton bureau
  
  
• choisi l'option 2 ( Suppression )
  
  
• Ton bureau disparaîtra et le pc redémarrera .
  
  
• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
  
  
• Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .
  
  
• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
  
  
• ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
  
  
• UsbFix te proposera d'uploader un dossier compressé à cette adresse : http://chiquitine.changelog.fr/Sample/Upload.php
  
  
• Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.
  
  
• Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
  
  
• Il faut sélectionner "UsbFix" dans le menu déroulant
  
  
• Merci d'avance pour ta contribution !!

PS: Si le PC refuse de démarrer avec les clés branchées, ne les branche que lorsque le système a commencé à démarrer

A la suite de cette opération, tes clés seront vaccinées contre une nouvelle infection de ce type, mais à l'avenir, n'ouvre jamais une unité de stockage externe (clé usb, disque dur externe, lecteur mp3) sans en faire une analyse par ton antivirus; c'est comme ça que tu as été infectée
A+
Michael

Bonjour Michael !
Me revoilà !

Voici le rapport Uskfix :


############################## | UsbFix V6.113 |

User : Propriétaire (Administrateurs) # UNKNOWN
Update on 13/05/2010 by El Desaparecido , C_XX & Chimay8
Start at: 13:56:42 | 16/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) M processor 1.70GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.11
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local # 37.01 Go (1.15 Go free) [mon disk dur ! hé ça rigole pas!] # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local # 149.05 Go (101.06 Go free) [DD Externe] # NTFS
G:\ -> Disque amovible # 979.72 Mo (979.7 Mo free) [CLÉ GRISE] # FAT

################## | Elements infectieux |

Supprimé ! C:\log.txt
Supprimé ! C:\Recycler\S-1-5-21-2025429265-796845957-725345543-1003
Supprimé ! C:\Recycler\S-1-5-21-2559572119-79812083-3160447976-1003
Supprimé ! E:\SANDRA
Supprimé ! E:\Recycler\S-1-5-21-329068152-839522115-682003330-1003

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{24f035aa-bcd7-11de-a841-000c76f933e0}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{d6dfa547-8d75-11de-a814-000c76f933e0}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{e91cd800-efae-11dd-a73b-000c76f933e0}\Shell\Auto\Command

################## | Listing des fichiers présent |

[14/11/2005 15:28|--a------|0] C:\AUTOEXEC.BAT
[07/11/2007 15:32|-rahs----|216] C:\boot.ini
[05/08/2004 14:00|-rahs----|4952] C:\Bootfont.bin
[14/11/2005 15:28|--a------|0] C:\CONFIG.SYS
[03/11/2008 19:15|--a------|230424] C:\img1-001.raw
[14/11/2005 15:28|-rahs----|0] C:\IO.SYS
[14/11/2005 15:28|-rahs----|0] C:\MSDOS.SYS
[05/08/2004 14:00|-rahs----|47564] C:\NTDETECT.COM
[26/10/2008 20:58|-rahs----|252240] C:\ntldr
[?|?|?] C:\pagefile.sys
[26/12/2007 23:28|--a------|10160] C:\PAVPROT.BIN
[26/12/2007 23:28|--a------|123463] C:\PAVVTS.DAT
[09/05/2010 12:06|--a------|382] C:\rkill.log
[20/08/2009 11:41|--a------|14] C:\temp.html
[16/05/2010 14:01|--a------|2211] C:\UsbFix.txt
[11/05/2009 15:58|---hs----|9728] G:\Thumbs.db

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# E:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# G:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_UNKNOWN.zip : http://chiquitine.changelog.fr/Sample/Upload.php
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.113 ! |

Bonsoir,
Tout est parfait, on continue:
• Lance ZHPFix, via ZHPDiag, l'icône verte en haut, à droite qui apparaitra a la fin de l'analyse ZHPdiag)
• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
• Copie/colle les lignes suivantes et place les dans ZHPFix :

----------------------------------------------------------
[HKCU\Software\Panda Software]
[HKCU\Software\Symantec]
[HKLM\Software\Panda Software]
[HKLM\Software\Symantec]
[HKLM\Software\57651428]


O43 - CFD:Common File Directory ----D- C:\Program Files\Norton Security Scan
O43 - CFD:Common File Directory ----D- C:\Program Files\Panda Software
O43 - CFD:Common File Directory ----D- C:\Program Files\Securitoo
O43 - CFD:Common File Directory ----D- C:\Program Files\Fichiers Communs\Symantec Shared => Symantec Norton Shared


O64 - Services: CurCS - (.not file.) - Panda Goodware Cache Manager (Gwmsrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_GWMSRV
O64 - Services: CurCS - (.not file.) - Panda Preventium Driver. (netflt) .(.Pas de propriétaire - Pas de description.) - LEGACY_NETFLT
O64 - Services: CurCS - (.not file.) - Panda Antispam Server Service (PASSRV) .(.Pas de propriétaire - Pas de description.) - LEGACY_PASSRV
O64 - Services: CurCS - (.not file.) - Panda Firewall Service (PAVFIRES) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVFIRES
O64 - Services: CurCS - (.not file.) - Panda Network Manager (PNMSRV) .(.Pas de propriétaire - Pas de description.) - LEGACY_PNMSRV
O64 - Services: CurCS - (.not file.) - Panda Preventium+ Service (PREVSRV) .(.Pas de propriétaire - Pas de description.) - LEGACY_PREVSRV
O64 - Services: CurCS - (.not file.) - Panda PSK service (PskSvcRetail) .(.Pas de propriétaire - Pas de description.) - LEGACY_PSKSVCRETAIL
O64 - Services: CurCS - (.not file.) - Antivirus Filter Driver (AvFlt) .(.Pas de propriétaire - Pas de description.) - LEGACY_AVFLT => Panda Antivirus Filter Driver
O64 - Services: CurCS - (.not file.) - Panda Anti-Dialer (ComFiltr) .(.Pas de propriétaire - Pas de description.) - LEGACY_COMFILTR => Panda Anti-Dialer Driver
O64 - Services: CurCS - (.not file.) - Panda CPoint Driver (cpoint) .(.Pas de propriétaire - Pas de description.) - LEGACY_CPOINT => Panda CPoint Driver
O64 - Services: CurCS - (.not file.) - DSA Filter Plugin (DSAFLT) .(.Pas de propriétaire - Pas de description.) - LEGACY_DSAFLT => Panda DSA Filter Plugin
O64 - Services: CurCS - (.not file.) - Symantec Eraser Control driver (eeCtrl) .(.Pas de propriétaire - Pas de description.) - LEGACY_EECTRL => Symantec Eraser Control Driver
O64 - Services: CurCS - (.not file.) - NetMon Filter Plugin (FNETMON) .(.Pas de propriétaire - Pas de description.) - LEGACY_FNETMON => Panda Antivirus NetMon Filter Plugin
O64 - Services: CurCS - (.not file.) - Ids Filter Plugin (IDSFLT) .(.Pas de propriétaire - Pas de description.) - LEGACY_IDSFLT => Panda CPoint Driver Ids Filter Plugin
O64 - Services: CurCS - (.not file.) - Mup (Mup) .(.Pas de propriétaire - Pas de description.) - LEGACY_MUP => McAfee Update Service
O64 - Services: CurCS - (.not file.) - Panda boot driver (pavboot) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVBOOT => Panda Boot Driver
O64 - Services: CurCS - (.not file.) - Panda anti-virus driver (PAVDRV) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVDRV => Panda Antivirus Filter Driver
O64 - Services: CurCS - (.not file.) - Panda Function Service (PAVFNSVR) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVFNSVR => Panda Function Service
O64 - Services: CurCS - (.not file.) - Panda Process Protection Driver (PavProc) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVPROC => Panda Process Protection Driver
O64 - Services: CurCS - (.not file.) - Panda Process Protection Service (PavPrSrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVPRSRV => Panda Process Protection Service
O64 - Services: CurCS - (.not file.) - Panda anti-virus service (PAVSRV) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVSRV => Panda Antivirus Service
O64 - Services: CurCS - (.not file.) - Panda IManager Service (PSIMSVC) .(.Pas de propriétaire - Pas de description.) - LEGACY_PSIMSVC => Panda IManager Service
O64 - Services: CurCS - (.not file.) - Panda File Shield Driver (ShldDrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_SHLDDRV => Panda File Shield Driver
O64 - Services: CurCS - (.not file.) - SMS Filter Plugin (SMSFLT) .(.Pas de propriétaire - Pas de description.) - LEGACY_SMSFLT => Panda Antivirus SMS Filter Plugin Driver

----------------------------------------------------------

• Clique sur "OK", puis « Tous », puis sur « Nettoyer »
• Copie/colle la totalité du rapport dans ta prochaine réponse

Tutoriel:
http://www.premiumorange.com/zeb-help-process/zhpfix.html
Bonne nuit,
Michael

Bonjour/bonsoir !

Tant mieux si tout est parfait, je suis toujours sous tes ordres mon capitaine
Voici donc ce nouveau rapport :

ZHPFix v1.12.3099 by Nicolas Coolman - Rapport de suppression du 16/05/2010 23:40:43
Fichier d'export Registre : C:\ZHPExportRegistry-16-05-2010-23-40-43.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

Contact : nicolascoolman@yahoo.fr

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
HKCU\Software\Panda Software => Clé supprimée avec succès
HKCU\Software\Symantec => Clé supprimée avec succès
HKLM\Software\Panda Software => Clé supprimée avec succès
HKLM\Software\Symantec => Clé supprimée avec succès
HKLM\Software\57651428 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - Panda Goodware Cache Manager (Gwmsrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_GWMSRV => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - Panda Preventium Driver. (netflt) .(.Pas de propriétaire - Pas de description.) - LEGACY_NETFLT => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - Panda Antispam Server Service (PASSRV) .(.Pas de propriétaire - Pas de description.) - LEGACY_PASSRV => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - Panda Firewall Service (PAVFIRES) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVFIRES => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - Panda Network Manager (PNMSRV) .(.Pas de propriétaire - Pas de description.) - LEGACY_PNMSRV => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - Panda Preventium+ Service (PREVSRV) .(.Pas de propriétaire - Pas de description.) - LEGACY_PREVSRV => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - Panda PSK service (PskSvcRetail) .(.Pas de propriétaire - Pas de description.) - LEGACY_PSKSVCRETAIL => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - Antivirus Filter Driver (AvFlt) .(.Pas de propriétaire - Pas de description.) - LEGACY_AVFLT => Panda Antivirus Filter Driver => Clé absente
O64 - Services: CurCS - (.not file.) - Panda Anti-Dialer (ComFiltr) .(.Pas de propriétaire - Pas de description.) - LEGACY_COMFILTR => Panda Anti-Dialer Driver => Clé absente
O64 - Services: CurCS - (.not file.) - Panda CPoint Driver (cpoint) .(.Pas de propriétaire - Pas de description.) - LEGACY_CPOINT => Panda CPoint Driver => Clé absente
O64 - Services: CurCS - (.not file.) - DSA Filter Plugin (DSAFLT) .(.Pas de propriétaire - Pas de description.) - LEGACY_DSAFLT => Panda DSA Filter Plugin => Clé absente
O64 - Services: CurCS - (.not file.) - Symantec Eraser Control driver (eeCtrl) .(.Pas de propriétaire - Pas de description.) - LEGACY_EECTRL => Symantec Eraser Control Driver => Clé absente
O64 - Services: CurCS - (.not file.) - NetMon Filter Plugin (FNETMON) .(.Pas de propriétaire - Pas de description.) - LEGACY_FNETMON => Panda Antivirus NetMon Filter Plugin => Clé absente
O64 - Services: CurCS - (.not file.) - Ids Filter Plugin (IDSFLT) .(.Pas de propriétaire - Pas de description.) - LEGACY_IDSFLT => Panda CPoint Driver Ids Filter Plugin => Clé absente
O64 - Services: CurCS - (.not file.) - Mup (Mup) .(.Pas de propriétaire - Pas de description.) - LEGACY_MUP => McAfee Update Service => Clé absente
O64 - Services: CurCS - (.not file.) - Panda boot driver (pavboot) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVBOOT => Panda Boot Driver => Clé absente
O64 - Services: CurCS - (.not file.) - Panda anti-virus driver (PAVDRV) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVDRV => Panda Antivirus Filter Driver => Clé absente
O64 - Services: CurCS - (.not file.) - Panda Function Service (PAVFNSVR) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVFNSVR => Panda Function Service => Clé absente
O64 - Services: CurCS - (.not file.) - Panda Process Protection Driver (PavProc) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVPROC => Panda Process Protection Driver => Clé absente
O64 - Services: CurCS - (.not file.) - Panda Process Protection Service (PavPrSrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVPRSRV => Panda Process Protection Service => Clé absente
O64 - Services: CurCS - (.not file.) - Panda anti-virus service (PAVSRV) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVSRV => Panda Antivirus Service => Clé absente
O64 - Services: CurCS - (.not file.) - Panda IManager Service (PSIMSVC) .(.Pas de propriétaire - Pas de description.) - LEGACY_PSIMSVC => Panda IManager Service => Clé absente
O64 - Services: CurCS - (.not file.) - Panda File Shield Driver (ShldDrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_SHLDDRV => Panda File Shield Driver => Clé absente
O64 - Services: CurCS - (.not file.) - SMS Filter Plugin (SMSFLT) .(.Pas de propriétaire - Pas de description.) - LEGACY_SMSFLT => Panda Antivirus SMS Filter Plugin Driver => Clé absente

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Préférences navigateur :
(Néant)

Dossier :
C:\Program Files\Norton Security Scan => Supprimé et mis en quarantaine
C:\Program Files\Panda Software => Supprimé et mis en quarantaine
C:\Program Files\Securitoo => Supprimé et mis en quarantaine
C:\Program Files\Fichiers Communs\Symantec Shared => Symantec Norton Shared => Dossier absent

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 29
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 4
Fichier : 0
Logiciel : 0
Master Boot Record : 0
Préférences navigateur : 0
Autre : 0


End of the scan

Salut Soldat,
On dirait que notre lance roquettes à raté un certain nombre d'ennemis, ils ont dû se cacher quelque part, mais ils ne perdent rien pour attendre.
On va attaquer la position suivante.
Pour ceux qui ont vista ou windows 7,désactivez l'UAC :
Tuto : http://www.commentcamarche.net/faq/sujet-8343-vista-desactiver-l-uac

Recherche de toolbars infectieuses :
/!\ Désactive toutes tes protections résidentes ! /!\

• Télécharge Toolbar-S&D (de la Team IDN) sur ton Bureau : http://eric.71.mespages.googlepages.com/ToolBarSD.exe
  
• Si tu es sous Vista Clique-droit sur le fichier téléchargé > Exécuter en tant qu'administrateur
  
• Toujours pour les utilisateurs Vista : Clique-droit sur le raccourci de Toolbar-S&D > Exécuter en tant qu'administrateur
  
• Choisis F pour Français, et valide par Entrée
  
• Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
  
• Poste le rapport généré. (C:\TB.txt)
  

/!\ Réactive toutes tes protections résidentes ! /!\

Feu à volonté
Michael

Mon capitaine, tu es un génie ^^

Revoilà le nouveau rapport.

Y a-t-il encore des survivants dans le camp ennemi ??


-----------\\ ToolBar S&D 1.2.9 XP/Vista

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) M processor 1.70GHz )
BIOS : BIOS Version: A1010IMS V3.30 05/17/05
USER : Propriétaire ( Administrator )
BOOT : Normal boot
Antivirus : AntiVir Desktop 9.0.1.32 (Not Activated)
C:\ (Local Disk) - NTFS - Total:37 Go (Free:1 Go)
D:\ (CD or DVD)

"C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
Option : [1] ( 17/05/2010|19:25 )

-----------\\ Recherche de Fichiers / Dossiers ...

C:\DOCUME~1\PROPRI~1\Cookies\propriétaire@baidu[1].txt

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="http://www.google.fr/"
"Search Page"="http://www.google.com"
"SearchMigratedDefaultURL"="http://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.google.com"
"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Start Page"="http://fr.msn.com/"


--------------------\\ Recherche d'autres infections


Aucune autre infection trouvée !


1 - "C:\ToolBar SD\TB_1.txt" - 17/05/2010|19:29 - Option : [1]

-----------\\ Fin du rapport a 19:29:34.09

Bonjour mon petit Soldwat,

Citation :

Mon capitaine, tu es un génie

Si tout le monde me le dit, je vais finir par le croire

Citation :

Y a-t-il encore des survivants dans le camp ennemi ??

Ces salopards ont réussi à déjouer la tête chercheuse de mon missile, on va changer de calibre:
Télécharges AD-Remover sur ton bureau :


/!\ Déconnectes toi et fermes toutes applications en cours

• Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )
  
• Double clique sur l'icône Ad-remover située sur ton bureau
  
• Au menu principal choisi l'option "A" recherche
  
• Postes le rapport qui apparait à la fin .

( le rapport est sauvegardé aussi sous C:\Ad-report(date).log )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :

"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

A très vite de tes nouvelles
Michael

Michael Forest a écrit:

Télécharges AD-Remover sur ton bureau :

Heu le lien n'est pas valide apparemment...(http 404 et compagnie...)

Mille sabords,
Essaie celui-ci:
AD-Remover

Mo capitaine, je perds le nord ^^
Il me demande si je veux scanner, nettoyer, desinstaller ou annuler.
Je serai tentée de fairs scanner mais... est-ce bien cela ?

Je n'ai pas d'option A !

Cap sur "scanner", moussaillon, on va éviter de tirer sans savoir sur quoi on tire.

PS: va falloir que je mette mes "discours en boite" à jour

Ah mais je commence à comprendre mon capitaine (j'me doutais qu'il fallait faire scanner ^^) mais j'ai besoin de toi mon capitaine pour atteindre le rivage !!

Voici donc cette nouvelle étape :

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 07/05/10 à 16:50
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 18:29:47 le 18/05/2010 | Mode normal | Option: SCAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft Windows XP Service Pack 3 - X86
Nom du PC: UNKNOWN
Utilisateur actuel: Propriétaire
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.
.
C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Ask Search Assistant
C:\Program Files\Ask Search Assistant
.
HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\AskSearchAsst.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ask.com Search Assistant
.
.
============== SCAN ADDITIONNEL ==============
.
.
* Internet Explorer Version 7.0.5730.11 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Do404Search: 0x01000000
Enable Browser Extensions: no
Local Page: C:\WINDOWS\system32\blank.htm
Search Page: hxxp://www.google.com
Show_ToolBar: yes
Start Page: hxxp://www.google.fr/
Use Search Asst: no
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.google.com
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 1 Fichier(s)
.
C:\Ad-Report-SCAN[1].txt - 1752 Octet(s)
.
Fin à: 23:44:26, 18/05/2010
.
============== E.O.F - SCAN[1] ==============

Salut 100doigts (il me faudrait bien ça pour taper efficacement)

C'est bon matelot, on en tient un, à l'abordage, option "nettoyer"
Déconnecte toi et ferme toutes les applications en cours
• Double-clique sur l'icône AD-Remover
• Au menu principal, clique sur "Nettoyer"
• Confirme le lancement de l'analyse et laisse l'outil travailler
• Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

A+
Michael

Hé bien capitaine, je ne comprends rien à tout cela, brouillard en vue ! Mais je suis sûre que tu pourras me guider vers de nouvelles aventures, à moins que la traversée ne soit finie () ?



======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 07/05/10 à 16:50
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 15:57:12 le 19/05/2010 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft Windows XP Service Pack 3 - X86
Nom du PC: UNKNOWN
Utilisateur actuel: Propriétaire
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Ask Search Assistant
C:\Program Files\Ask Search Assistant

(!) -- Fichiers temporaires supprimés.
.
HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\AskSearchAsst.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ask.com Search Assistant
.
(Orpheline) BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} (CLSID manquant)
(Orpheline) HKLM,Uninstall - DivX Plus DirectShow Filters - C:\Program Files\DivX\DivXDSFiltersUninstall.exe (Fichier manquant)
(Orpheline) HKLM,Uninstall - PhotoFiltre - C:\Documents and Settings\Propriétaire\Bureau\PhotoFiltre\Uninst.exe (Fichier manquant)
(Orpheline) HKLM,Uninstall - {7585478E9D9B42108671C12F8714CEFE} - C:\Program Files\DivX\DivXConverterUninstall.exe (Fichier manquant)
(Orpheline) HKLM,Uninstall - {7B63B2922B174135AFC0E1377DD81EC2} - C:\Program Files\DivX\DivXCodecUninstall.exe (Fichier manquant)
(Orpheline) HKLM,Uninstall - {8ADFC4160D694100B5B8A22DE9DCABD9} - C:\Program Files\DivX\DivXPlayerUninstall.exe (Fichier manquant)
(Orpheline) HKLM,Uninstall - {B13A7C41581B411290FBC0395694E2A9} - C:\Program Files\DivX\DivXConverterUninstall.exe (Fichier manquant)
(Orpheline) HKLM,Uninstall - {B7050CBDB2504B34BC2A9CA0A692CC29} - C:\Program Files\DivX\DivXWebPlayerUninstall.exe (Fichier manquant)
.
============== SCAN ADDITIONNEL ==============
.
.
* Internet Explorer Version 7.0.5730.11 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: no
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 13 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 3109 Octet(s)
C:\Ad-Report-SCAN[1].txt - 1876 Octet(s)
.
Fin à: 17:05:32, 19/05/2010
.
============== E.O.F - CLEAN[1] ==============

Capitaine ! J'ai oublié de te prévenir : je m'en vais étudier, je rentre vendredi après-midi. D'ici là, poste-moi la prochaine mission !

Permission accordée.
Travaille bien, et à ton retour, ouvre l'explorateur windows, et navigue jusqu'à C:\WINDOWS\System32\drivers\hwro.sys
copie le fichier hwro.sys dans "mes documents"
Ensuite, je voudrais que tu ailles à cette adresse:
http://www.virustotal.com/fr/
Que tu cliques sur parcourir, et que tu choisisses le fichier que tu as copié.
Poste moi le résultat de l'analyse
A bientôt
Michael

Bonjour bonjour me revoilà !!

Mais me revoilà déjà avec un probleme !
Dans drviers", je n'ai pas de "hwro.sys", ni dans ton mon ordinateur d'ailleurs (en tous cas, l'explorateur windows n'a rien trouvé !)
Un pb ?

Bonsoir,
Rassure toi, ceux qui n'ont pas de problème ne viennent jamais nous voir
C'est probablement un fichier caché:
Ouvre l'explorateur windows
Déroule "outils"
Choisis "options des dossiers"
Dans la fenètre qui s'ouvre, choisis l'onglet "affichage"
Descends jusqu'à "fichiers et dossiers cachés"
coche "afficher les dossiers cachés"
Et pendant que tu y seras, décoche "masquer les extensions connues", et "masquer les fichiers protégés du système d'exploitation" un peu plus bas.
Accepte l'avertissement de sécurité, clique sur "appliquer", puis "OK "
Recommence la recherche
A+
Michael

Hé bien non toujours rien... Mais en fait, "afficher les dossiers cachés" était déjà coché !

Je viens d eme rappeler que pour faire de la place sur mon ordi j'ai fait une analyse CCleaner lundi, ça n'set pas à cause de ça j'espère ?!

Ne pleure pas, petit mousse,
Remets le cap sur un nouveau ZHPdiag, que je fasse le point
A+
Mic

Hey capitaine : analyse en vue :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijpBpUePr.txt

Bon après-midi !

Bonsoir mon petit sodat,
Au temps jadis, tu as dû utiliser Panda antivirus, et il a mal été désinstallé, les miettes qui restent peuvent nous causer des ennuis. ZHPFix les a ratées, on va essayer cet outil:
http://www.pandasecurity.com/resources/sop/UNINSTALLER.exe
Une fois téléchargé, double clique sur le fichier pour le lancer, et raconte moi tout
Bonne nuit
Michael

Quel oeil capitaine ! C'était effectivement mon ancie anti-virus.

Heu hé bien ça a été extrêmement court ! Après "exécuter", une fenêtre toute grise s'est ouverte, j'ai cliqué sur ok, ça parait de "reboot" et compagnie... ça a tout fermé et mon ordi s'est éteint puis rallumé !
Rien de plus... (devait-il se passer quelque chose en plus d'ailleurs ?!)




Au passage, depuis quelques jours, à chaque fois que j'allume mon ordinateur, Antivir me signale qu'il a détecté un fichier (www.zuc32.exe) qui contient le cheval de troie TR/Bredolab.29184. Je mets donc refuser l'accès et après je n'en entends plus parler. J'en parle maintenant parce-que je viens de voir le message quand mon ordi s'est rallumé !

Bonne journée maintenant =)

Citation :

Heu hé bien ça a été extrêmement court ! Après "exécuter", une fenêtre toute grise s'est ouverte, j'ai cliqué sur ok, ça parait de "reboot" et compagnie... ça a tout fermé et mon ordi s'est éteint puis rallumé !
Rien de plus... (devait-il se passer quelque chose en plus d'ailleurs ?!)

A priori, tout est normal, reste à savoir s'il a bien fait le ménage. On le saura avec un nouveau diagnostique. Ce ne sera pas la peine de me poster le rapport complet, vérifie seulement, si à la fin du rapport, en 064, il y a encore des trucs nommés panda; si oui, il faudra trouver un autre outil

Citation :

Au passage, depuis quelques jours, à chaque fois que j'allume mon ordinateur, Antivir me signale qu'il a détecté un fichier (www.zuc32.exe) qui contient le cheval de troie TR/Bredolab.29184. Je mets donc refuser l'accès et après je n'en entends plus parler. J'en parle maintenant parce-que je viens de voir le message quand mon ordi s'est rallumé !

Je l'avais remarqué, je travaille dessus. Je te donnerai de nouvelles instructions dès que possible. En attendant, continue à le bloquer, ce client là n'a pas de bonnes intentions.

Arghh z'en ai marre ! Il est toujours là !!

Voilà le point 064 :
(Au fait, c'est normal que certaines lignes soient marquées en bleu ?)



---\\ Liste des services Legacy (LALS) (O64)
O64 - Services: CurCS - C:\Program Files\Avira\AntiVir Desktop\sched.exe - Avira AntiVir Planificateur (AntiVirSchedulerService) .(.Avira GmbH - Antivirus Scheduler.) - LEGACY_ANTIVIRSCHEDULERSERVICE
O64 - Services: CurCS - C:\Program Files\Avira\AntiVir Desktop\avguard.exe - Avira AntiVir Guard (AntiVirService) .(.Avira GmbH - Antivirus On-Access Service.) - LEGACY_ANTIVIRSERVICE
O64 - Services: CurCS - (.not file.) - App Filter Plugin (APPFLT) .(.Pas de propriétaire - Pas de description.) - LEGACY_APPFLT
O64 - Services: CurCS - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe - Apple Mobile Device (Apple Mobile Device) .(.Apple Inc. - Apple Mobile Device Service.) - LEGACY_APPLE_MOBILE_DEVICE
O64 - Services: CurCS - (.not file.) - Antivirus Filter Driver (AvFlt) .(.Pas de propriétaire - Pas de description.) - LEGACY_AVFLT
O64 - Services: CurCS - C:\Program Files\Avira\AntiVir Desktop\avgio.sys - avgio (avgio) .(.Avira GmbH - Avira AntiVir Support for Minifilter.) - LEGACY_AVGIO
O64 - Services: CurCS - C:\Windows\system32\DRIVERS\avgntflt.sys - avgntflt (avgntflt) .(.Avira GmbH - Avira Minifilter Driver.) - LEGACY_AVGNTFLT
O64 - Services: CurCS - C:\Windows\system32\DRIVERS\avipbb.sys - avipbb (avipbb) .(.Avira GmbH - Avira Driver for RootKit Detection.) - LEGACY_AVIPBB
O64 - Services: CurCS - C:\Program Files\Bonjour\mDNSResponder.exe - Service Bonjour (Bonjour Service) .(.Apple Inc. - Bonjour Service.) - LEGACY_BONJOUR_SERVICE
O64 - Services: CurCS - (.not file.) - Panda Anti-Dialer (ComFiltr) .(.Pas de propriétaire - Pas de description.) - LEGACY_COMFILTR
O64 - Services: CurCS - (.not file.) - Panda CPoint Driver (cpoint) .(.Pas de propriétaire - Pas de description.) - LEGACY_CPOINT
O64 - Services: CurCS - (.not file.) - Lanceur de processus serveur DCOM (DcomLaunch) .(.Pas de propriétaire - Pas de description.) - LEGACY_DCOMLAUNCH
O64 - Services: CurCS - (.not file.) - DSA Filter Plugin (DSAFLT) .(.Pas de propriétaire - Pas de description.) - LEGACY_DSAFLT
O64 - Services: CurCS - (.not file.) - Symantec Eraser Control driver (eeCtrl) .(.Pas de propriétaire - Pas de description.) - LEGACY_EECTRL
O64 - Services: CurCS - (.not file.) - NetMon Filter Plugin (FNETMON) .(.Pas de propriétaire - Pas de description.) - LEGACY_FNETMON
O64 - Services: CurCS - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe - France Telecom Routing Table Service (FTRTSVC) .(.France Telecom SA - Pas de description.) - LEGACY_FTRTSVC
O64 - Services: CurCS - (.not file.) - GMSIPCI (GMSIPCI) .(.Pas de propriétaire - Pas de description.) - LEGACY_GMSIPCI
O64 - Services: CurCS - C:\Program Files\Google\Update\GoogleUpdate.exe - Service Google Update (gupdate1c9b6433db994aa) (gupdate1c9b6433db994aa) .(.Google Inc. - Programme d'installation de Google.) - LEGACY_GUPDATE1C9B6433DB994AA
O64 - Services: CurCS - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe - Google Updater Service (gusvc) .(.Google - gusvc.) - LEGACY_GUSVC
O64 - Services: CurCS - (.not file.) - Ids Filter Plugin (IDSFLT) .(.Pas de propriétaire - Pas de description.) - LEGACY_IDSFLT
O64 - Services: CurCS - (.not file.) - InCD File System (InCDfs) .(.Pas de propriétaire - Pas de description.) - LEGACY_INCDFS
O64 - Services: CurCS - C:\WINDOWS\system32\Drivers\INCDREC.sys - InCDrec (InCDrec) .(.Ahead Software AG - InCD File System Recognizer.) - LEGACY_INCDREC
O64 - Services: CurCS - C:\Program Files\Ahead\InCD\InCDsrv.exe - InCD Helper (InCDsrv) .(.Ahead Software AG - incdsrv.) - LEGACY_INCDSRV
O64 - Services: CurCS - C:\Program Files\iPod\bin\iPodService.exe - Service de l’iPod (iPod Service) .(.Apple Inc. - iPodService Module (32-bit).) - LEGACY_IPOD_SERVICE
O64 - Services: CurCS - (.not file.) - mbr (mbr) .(.Pas de propriétaire - Pas de description.) - LEGACY_MBR
O64 - Services: CurCS - C:\WINDOWS\system32\Drivers\MGHwCtrl.sys - MGHwCtrl (MGHwCtrl) .(.Your Corporation - Description string for MGHwCtrl driver.) - LEGACY_MGHWCTRL
O64 - Services: CurCS - (.not file.) - mountmgr (mountmgr) .(.Pas de propriétaire - Pas de description.) - LEGACY_MOUNTMGR
O64 - Services: CurCS - (.not file.) - Mup (Mup) .(.Pas de propriétaire - Pas de description.) - LEGACY_MUP
O64 - Services: CurCS - (.not file.) - Pilote système NDIS (NDIS) .(.Pas de propriétaire - Pas de description.) - LEGACY_NDIS
O64 - Services: CurCS - (.not file.) - Panda Net Driver [TDI Layer] (NETFLTDI) .(.Pas de propriétaire - Pas de description.) - LEGACY_NETFLTDI
O64 - Services: CurCS - (.not file.) - NTACCESS (NTACCESS) .(.Pas de propriétaire - Pas de description.) - LEGACY_NTACCESS
O64 - Services: CurCS - (.not file.) - Panda Software Controller (Panda Software Controller) .(.Pas de propriétaire - Pas de description.) - LEGACY_PANDA_SOFTWARE_CONTROLLER
O64 - Services: CurCS - (.not file.) - PartMgr (PartMgr) .(.Pas de propriétaire - Pas de description.) - LEGACY_PARTMGR
O64 - Services: CurCS - (.not file.) - Panda boot driver (pavboot) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVBOOT
O64 - Services: CurCS - (.not file.) - Panda anti-virus driver (PAVDRV) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVDRV
O64 - Services: CurCS - (.not file.) - Panda Function Service (PAVFNSVR) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVFNSVR
O64 - Services: CurCS - (.not file.) - Panda Process Protection Driver (PavProc) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVPROC
O64 - Services: CurCS - (.not file.) - Panda Process Protection Service (PavPrSrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVPRSRV
O64 - Services: CurCS - (.not file.) - Panda anti-virus service (PAVSRV) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVSRV
O64 - Services: CurCS - (.not file.) - PavTPK.sys (PavTPK.sys) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVTPK.SYS
O64 - Services: CurCS - C:\WINDOWS\system32\PCAMPR5.sys - PCAMPR5 NDIS Protocol Driver (PCAMPR5) .(.Printing Communications Assoc., Inc. (PCAUS - PCAUSA NDIS 5.0 MPR Protocol Driver.) - LEGACY_PCAMPR5
O64 - Services: CurCS - C:\WINDOWS\system32\PCANDIS5.sys - PCANDIS5 NDIS Protocol Driver (PCANDIS5) .(.Printing Communications Assoc., Inc. (PCAUS - PCAUSA NDIS 5.0 Protocol Driver.) - LEGACY_PCANDIS5
O64 - Services: CurCS - (.not file.) - PQNTDrv (PQNTDrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_PQNTDRV
O64 - Services: CurCS - (.not file.) - Panda IManager Service (PSIMSVC) .(.Pas de propriétaire - Pas de description.) - LEGACY_PSIMSVC
O64 - Services: CurCS - (.not file.) - RDPNP (RDPNP) .(.Pas de propriétaire - Pas de description.) - LEGACY_RDPNP
O64 - Services: CurCS - C:\Windows\system32\DRIVERS\rmedia.sys - Ricoh MediaCard Driver (rmedia) .(.REDC - RICOH Media Driver as DiskDrive.) - LEGACY_RMEDIA
O64 - Services: CurCS - (.not file.) - Appel de procédure distante (RPC) (RpcSs) .(.Pas de propriétaire - Pas de description.) - LEGACY_RPCSS
O64 - Services: CurCS - (.not file.) - SetupNTGLM7X (SetupNTGLM7X) .(.Pas de propriétaire - Pas de description.) - LEGACY_SETUPNTGLM7X
O64 - Services: CurCS - (.not file.) - Panda File Shield Driver (ShldDrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_SHLDDRV
O64 - Services: CurCS - (.not file.) - SMS Filter Plugin (SMSFLT) .(.Pas de propriétaire - Pas de description.) - LEGACY_SMSFLT
O64 - Services: CurCS - C:\Windows\system32\DRIVERS\ssmdrv.sys - ssmdrv (ssmdrv) .(.Avira GmbH - AVIRA SnapShot Driver.) - LEGACY_SSMDRV
O64 - Services: CurCS - (.not file.) - Teefer for NT (Teefer) .(.Pas de propriétaire - Pas de description.) - LEGACY_TEEFER
O64 - Services: CurCS - (.not file.) - Services Terminal Server (TermService) .(.Pas de propriétaire - Pas de description.) - LEGACY_TERMSERVICE
O64 - Services: CurCS - (.not file.) - uwloapog (uwloapog) .(.Pas de propriétaire - Pas de description.) - LEGACY_UWLOAPOG
O64 - Services: CurCS - (.not file.) - SyGate for NT, wg3n (wg3n) .(.Pas de propriétaire - Pas de description.) - LEGACY_WG3N
O64 - Services: CurCS - (.not file.) - SyGate for NT, wg4n (wg4n) .(.Pas de propriétaire - Pas de description.) - LEGACY_WG4N
O64 - Services: CurCS - (.not file.) - Wifi Monitor Filter Plugin (WNMFLT) .(.Pas de propriétaire - Pas de description.) - LEGACY_WNMFLT
O64 - Services: CurCS - (.not file.) - wpsdrvnt (wpsdrvnt) .(.Pas de propriétaire - Pas de description.) - LEGACY_WPSDRVNT

Bonsoir matelot,
Excuse moi de t'avoir fait attendre, j'attendais les ordres de l'amiral.
Donc il semble que j'avais mal règlé la tête chercheuse de mon premier missile.
Paré(e) pour le tir?

• Lance ZHPFix via ZHPDiag, clic sur l'icône verte en haut, à droite qui apparaitra a la fin de l'analyse ZHPdiag)
• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
• Copie/colle les lignes suivantes et place les dans ZHPFix :

----------------------------------------------------------
O4 - Global Startup: wwwzuc32.exe
C:\Documents And Settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\wwwzuc32.exe
[HKCU\Software\AskSearchAsst]
[HKCU\Software\Every Toolbar]
O53 - SMSR:HKLM\...\startupreg\HbTools [Key]
C:\Program Files\HbTools\Bin\4.8.2.0\HbtOEAddOn.exe
O64 - Services: CurCS - (.not file.) - Panda Anti-Dialer (ComFiltr)
O64 - Services: CurCS - (.not file.) - Panda CPoint Driver (cpoint)
O64 - Services: CurCS - (.not file.) - Panda Net Driver [TDI Layer] (NETFLTDI)
O64 - Services: CurCS - (.not file.) - Panda Software Controller (Panda Software Controller)
O64 - Services: CurCS - (.not file.) - Panda anti-virus driver (PAVDRV)
O64 - Services: CurCS - (.not file.) - Panda Function Service (PAVFNSVR)
O64 - Services: CurCS - (.not file.) - Panda Process Protection Driver (PavProc)
O64 - Services: CurCS - (.not file.) - Panda Process Protection Service (PavPrSrv)
O64 - Services: CurCS - (.not file.) - Panda anti-virus service (PAVSRV)
O64 - Services: CurCS - (.not file.) - Panda IManager Service (PSIMSVC)
O64 - Services: CurCS - (.not file.) - Panda File Shield Driver (ShldDrv)

----------------------------------------------------------

• Clique sur"OK", puis « Tous », puis sur « Nettoyer »
• Copie/colle la totalité du rapport dans ta prochaine réponse

Tutoriel:
http://www.premiumorange.com/zeb-help-process/zhpfix.html

Ajuste bien, et tiens moi au courant après la mise à feu
Dors bien, et fais de beaux rèves
Michael

C'est moi qui m'excuse, j'aioublié de te dire que je repartais sur Rennes cette semaine :s

Voici donc le rapport :

ZHPFix v1.12.3099 by Nicolas Coolman - Rapport de suppression du 27/05/2010 17:40:57
Fichier d'export Registre : C:\ZHPExportRegistry-27-05-2010-17-40-57.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

Contact : nicolascoolman@yahoo.fr

Processus mémoire :
C:\Documents And Settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\wwwzuc32.exe => Fichier supprimé au reboot
C:\Program Files\HbTools\Bin\4.8.2.0\HbtOEAddOn.exe => Fichier absent

Module mémoire :
(Néant)

Clé du Registre :
HKCU\Software\AskSearchAsst => Clé supprimée avec succès
HKCU\Software\Every Toolbar => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - Panda Anti-Dialer (ComFiltr) => Clé absente
O64 - Services: CurCS - (.not file.) - Panda CPoint Driver (cpoint) => Clé absente
O64 - Services: CurCS - (.not file.) - Panda Net Driver [TDI Layer] (NETFLTDI) => Clé absente
O64 - Services: CurCS - (.not file.) - Panda Software Controller (Panda Software Controller) => Clé absente
O64 - Services: CurCS - (.not file.) - Panda anti-virus driver (PAVDRV) => Clé absente
O64 - Services: CurCS - (.not file.) - Panda Function Service (PAVFNSVR) => Clé absente
O64 - Services: CurCS - (.not file.) - Panda Process Protection Driver (PavProc) => Clé absente
O64 - Services: CurCS - (.not file.) - Panda Process Protection Service (PavPrSrv) => Clé absente
O64 - Services: CurCS - (.not file.) - Panda anti-virus service (PAVSRV) => Clé absente
O64 - Services: CurCS - (.not file.) - Panda IManager Service (PSIMSVC) => Clé absente
O64 - Services: CurCS - (.not file.) - Panda File Shield Driver (ShldDrv) => Clé absente

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Préférences navigateur :
(Néant)

Dossier :
(Néant)

Fichier :
O4 - Global Startup: wwwzuc32.exe => Supprimé et mis en quarantaine
c:\documents and settings\propriétaire\menu démarrer\programmes\démarrage\wwwzuc32.exe => Fichier supprimé au reboot

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 2
Module mémoire : 0
Clé du Registre : 13
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 2
Logiciel : 0
Master Boot Record : 0
Préférences navigateur : 0
Autre : 0


End of the scan

Re-bonsoir matelot,
Coup au but pour plusieurs choses, mais les miettes de panda sont toujours là (l'espèce est protégée, mais je ne pensais pas que ça valait aussi pour l'AV)

Télécharge TFC (de Old Timer) sur le bureau:
http://www.geekstogo.com/forum/TFC-Temp-File-Cleaner-OldTimer-file187.html
(Clique sur "download file", en bas de page)

•Double clique sur TFC.exe pour le lancer

•Clique sur le bouton Start et patiente quelques instants.

•Une fois le nettoyage terminé, ton pc va redémarrer. S'il ne le fait pas, redémarre le toi même pour terminer le nettoyage

Dis moi quand ce sera fait (pas de rapport à poster)
A+
Michael

Hey captaine !

Me revoilà, après avoir bien suivi toute les instructions.
Dernière ligne du truc : Total Files Cleaned = 1 159.00 mb

Waw trop un génie ce truc !!

Mais ne sois pas jaloux... toi aussi tu es un génie


Heu par contre 'tite précision : quand j'ai voulu redémarrer mon ordi, le redémarrage ne s'est pas fait de lui-même : j'ai fait redémarrer puis je suis partie, et quand je suie revenue voir s'il s'était bien redémarré, il était resté sur un écran tout bleu. Du coup je suis revenue plus tard, et c'tait toujours pareil. Il est bien resté 15 ou 20 minutes sur cet écran. Du coup, je l'ai éteint de moi-même et je l'ai rallumé à l'instant. Aucun message problématique ne m'est parvenu !

Citation :

Waw trop un génie ce truc !!
Mais ne sois pas jaloux... toi aussi tu es un génie

Tu es trop gentille, Ne crie pas au génie trop souvent, je vais finir par y prendre goût
Pour être sûr que tu n'as rien attrappé d'autre, peux tu me refaire un Gmer (en effet, le Zuc32 n'étais pas là lors du premier, j'aimerais être certain qu'il ne nous a pas fait des petits dans le dos)
Clique ici pour télécharger Gmer sur ton bureau.

• Ferme tous tes programmes et déconnecte toi d'internet.
  
• Désactive tes logiciels de sécurité (antivirus, antispyware, etc).
  
  
• Décompresse le fichier téléchargé sur ton bureau et double clique sur Gmer.exe pour le lancer.
  
  • Utilisateur de Vista : effectue un clic droit sur gmer.exe et sélectionne "Exécuter en tant qu'administrateur".
    
  
  
• Gmer peut te demander de lancer un scan, clique sur "no", puis clique sur l'onglet Rootkit/Malware.
  
  • Sur la droite, vérifie que toutes les cases suivantes sont décochées "IAT/EAT" et "Show All".
    
  
  
• Clique sur le bouton Scan.
  
  • Laisse Gmer travailler et ne touche plus à ton ordinateur.
    
  • Patiente car le scan peut être long.
    
  
  
• A la fin du scan,clique sur le bouton "Save", pour enregistrer le rapport sur le bureau sous le nom "gmer.txt" puis copie/colle son contenu ici.
  
• Quitte Gmer et réactive tes logiciels de sécurité.
  

Attention à ne rien tenter par toi même !!

A tout de suite
Michael

heu c'est normal qu'il ne trouve rien ou presque ?

Voila ce que j'obtiens :

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-05-29 16:02:41
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\uwloapog.sys


---- System - GMER 1.0.15 ----

SSDT F7C741DE ZwCreateKey
SSDT F7C741D4 ZwCreateThread
SSDT F7C741E3 ZwDeleteKey
SSDT F7C741ED ZwDeleteValueKey
SSDT F7C741F2 ZwLoadKey
SSDT F7C741C0 ZwOpenProcess
SSDT F7C741C5 ZwOpenThread
SSDT F7C741FC ZwReplaceKey
SSDT F7C741F7 ZwRestoreKey
SSDT F7C741E8 ZwSetValueKey
SSDT F7C741CF ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!_abnormal_termination + 428 804E2A94 4 Bytes CALL 9045F1DA

---- EOF - GMER 1.0.15 ----

Bonsoir,
En effet, ça ne me parait pas normal.
Tu vas réessayer, en suivant bien les instructions modifiés (dans mon dernier message), et en le retéléchargeant; et avant de le lancer, renomme Gmer.exe (clic droit/renommer) en truc.exe par exemple
A+
Michael

Je retourne à Rennes pour deux voire trois semaines; je suis désolée !
J'espere que tu seras toujours là pour moi d'ici là !
En tous cas merci, je ferai ca des que possible !

Porte toi bien,
Sandra !

Bon vent, garde le cap, et tiens ta voile bordée.
On verra tout ça quand tu rentreras au port
A+
Michael

Bonjour Sandwa,

le sujet est réouvert à ta demande.