[Résolu]Pc portable semble infecté

[Lebub]

Bonjour

Je sollicite de l'aide pour un ami qui à un portable HP sous XP Sp2 (et oui je sais pas vista désolé) et qui rencontre un problème.
Il ne peut démarrer sa machine qu'en mode sans echec.
la seule chose qu'il a pu me transmettre ce matin via clé USB c'est un petit rapport Malwarebytes.

Malwarebytes' Anti-Malware 1.35
Version de la base de données: 1904
Windows 5.1.2600 Service Pack 2

06/04/2009 21:00:12
mbam-log-2009-04-06 (21-00-12).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 209960
Temps écoulé: 41 minute(s), 30 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\xxxxxxx\Local Settings\Application Data\qumceuy_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\xxxxxxxx\Local Settings\Application Data\qumceuy_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\xxxxxxxx\Local Settings\Application Data\qumceuy.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.

De plus comme il n'a plus accès au net, je devrais récupérer son ordi cette nuit cela sera plus simple pour une éventuelle aide.

merci

[nardino]

Bonjour.
Une trace d'infection par Navipromo.
Passe navilog car MBAM ne nettoie pas cette infection complètement.

Télécharge Navilog de Il-Mafioso sur ton bureau en désactivant ton antivirus:
http://pagesperso-orange.fr/il.mafioso/ ... vilog1.exe

1° Détection

Installe-le en cliquant sur le fichier Navilog1.exe

Double-clique sur le raccourci créé sur le bureau.
Au menu principal suivant, choisis 1 et valide par Entrée.
Ne fais pas le choix 2,3 ou 4 sans mon avis.
Patiente jusqu'au message : *** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Sauvegarde le blocnote qui s'ouvre sur le bureau sous cleanavi.txt
Poste-le par copier-coller dans ta réponse.

2° Désinfection

Relance navilog1

Double clique sur le raccourci Navilog1.
Au menu principal, choisis 2 et valide.

Le fix va t'informer qu'il va redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(Si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir. Sauvegarde le rapport de manière à le retrouver
Referme le blocnote. Ton bureau va réapparaitre

NB:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Cela fera apparaitre ton bureau.

Poste le nouveau rapport.

Cependant il y a autre chose.
Fais un scan du pc avec Dr.Web en MSE.

Télécharge CureIt Dr.Web (launch.exe)
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

Il ne nécessite pas d'installation.
Tu le lances.
Il va te demander de faire la mise à jour et une fois effectuée va lancer un scan rapide.
Quand tout ceci est fait tu choisis scan sélectif et tu coches au moins C.
A la fin du scan, tu mets tout en quarantaine et tu postes le rapport.

Donne des nouvelles.
@+

[Lebub]

Bonjour

Ok merci Nardino, dès que je récupère la machine je suis tes indications.
pour Dr web je voulais justement faire le test, c'est une des raisons pour lequel je récupère son ordi.

Juste une petite question, penses tu que cela soit la cause du non démarrage en mode "normal" de son pc

@+

[nardino]

Bonjour.
En général les infections font le contraire c'est-à-dire qu'elles empêchent l'accès au MSE.
Mais visiblement il se passe quelque chose sur ce pc.
@+

[Lebub]

Bonsoir

En général les infections font le contraire c'est-à-dire qu'elles empêchent l'accès au MSE

Tu dois avoir raison car là c'est un peu la cata.
Je m'explique, j'allume un écran bleu apparait et aussi vite que l'éclair il s'éteint,donc là on ne parle même plus du mode sans echec impossible de l'atteindre.
Ce qui m'énerve c'est que je sais qu'il y a une succession de touche sur lequel il faut appuyer pour nous laisser le temps de voir le message d'erreur mais impossible de remettre la main dessus.
Le problème doit être dû a un problème de mémoire, voir de ventilo ou de la carte graphique.

[Lebub]

Bonsoir

Bon j'ai réussi à le démarrer en mode sans échec, du reste c'est la seule chose qu'il veuille bien faire.
démarrage normal niet!! toujours cette fenêtre bleu qui passe à la vitesse de la lumière et toujours pas trouvé comment la figée grrrrr.

Sinon j'ai pu faire la manip avec Navilog1 voici donc les deux rapports (j'espère que le fait de l'avoir fait en mode MSE n'est pas un problème)

cleanavi

earch Navipromo version 3.7.6 commencé le 08/04/2009 à 1:08:27,15

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : AMD Turion(tm) 64 X2 Mobile Technology TL-50 )
BIOS : PhoenixBIOS 4.0 Release 6.1
USER : thierry pochet ( Administrator )
BOOT : Fail-safe with network boot

Antivirus : avast! antivirus 4.8.1296 [VPS 090405-0] 4.8.1296 (Activated)
Firewall : Norton Internet Worm Protection 2006 (Not Activated)

C:\ (Local Disk) - NTFS - Total:83 Go (Free:16 Go)
D:\ (Local Disk) - FAT32 - Total:8 Go (Free:1 Go)
E:\ (CD or DVD)


Recherche executé en mode sans échec


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\thierry pochet\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\LANAPO~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\THOMAS~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\thierry pochet\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\LANAPO~1\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\THOMAS~1\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\thierry pochet\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\LANAPO~1\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\THOMAS~1\menudm~1\progra~1" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\thierry pochet\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\LANAPO~1\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\THOMAS~1\locals~1\applic~1" *



*** Recherche fichiers ***



*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\thierry pochet\locals~1\applic~1" :


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :


* Dans "C:\DOCUME~1\LANAPO~1\locals~1\applic~1" :


* Dans "C:\DOCUME~1\THOMAS~1\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :



*** Analyse terminée le 08/04/2009 à 1:18:38,90 ***

deuxième que j'ai nommé desinfnavi

Clean Navipromo version 3.7.6 commencé le 08/04/2009 à 1:22:12,10

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 14.03.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : AMD Turion(tm) 64 X2 Mobile Technology TL-50 )
BIOS : PhoenixBIOS 4.0 Release 6.1
USER : thierry pochet ( Administrator )
BOOT : Fail-safe with network boot

Antivirus : avast! antivirus 4.8.1296 [VPS 090405-0] 4.8.1296 (Activated)
Firewall : Norton Internet Worm Protection 2006 (Not Activated)

C:\ (Local Disk) - NTFS - Total:83 Go (Free:16 Go)
D:\ (Local Disk) - FAT32 - Total:8 Go (Free:1 Go)
E:\ (CD or DVD)
F:\ (USB) - FAT32 - Total:245 Mo (Free:0 Go)


Mode suppression automatique
avec prise en charge résultats Catchme et GNS


Nettoyage executé en mode sans échec


*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *


* Suppression dans "C:\Documents and Settings\thierry pochet\locals~1\applic~1" *


* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

* Suppression dans "C:\DOCUME~1\LANAPO~1\locals~1\applic~1" *

* Suppression dans "C:\DOCUME~1\THOMAS~1\locals~1\applic~1" *


*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\thierry pochet\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\LANAPO~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\THOMAS~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\thierry pochet\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\LANAPO~1\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\THOMAS~1\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\thierry pochet\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\LANAPO~1\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\DOCUME~1\THOMAS~1\menudm~1\progra~1" ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\thierry pochet\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *


* Dans "C:\Documents and Settings\thierry pochet\locals~1\applic~1" *


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *


* Dans "C:\DOCUME~1\LANAPO~1\locals~1\applic~1" *


* Dans "C:\DOCUME~1\THOMAS~1\locals~1\applic~1" *


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !

*** Recherche autres dossiers et fichiers connus ***



*** Nettoyage terminé le 08/04/2009 à 1:24:20,92 ***

petite info qui a peut être son importance l'écran a des lignes vertes à la matrix mais fixe
Dr.web tourne en ce moment résultat pour plus tard

merci
@+

[Lebub]

Bonjour

Nardino je n'ai pas vue ton message assez rapidement du coup j'ai relancé Dr Web (9h à patienter )
Alors qu'elle est la solution pour copier le rapport de Dr Web ?

[nardino]

Bonjour.
Tu peux interrompre le scan.
Télécharge Combofix :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

IMPORTANT. Enregistre ComboFix.exe sur le Bureau.
Désactive les applications antivirus et anti-malware, en général via un clic droit sur l'icône de la Zone de notification.
Sinon, elles risquent d'interférer avec l'outil.

Fais un double clic sur combofix.exe et suis les invites.



Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée.
Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles.
Elle permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela est demandé, accepte le Contrat de Licence Utilisateur Final pour l'installer.

Note importante : Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.



Une fois que la Console de récupération Microsoft Windows est installée via ComboFix, le message suivant apparaitra :



Clique sur Oui/Yes, pour poursuivre avec la recherche de nuisibles.

Lorsque l'outil aura terminé, il affichera un rapport.
Copie le contenu de C:\ComboFix.txt dans ta prochaine réponse.

@+

[Lebub]

re,

petit souci.
Quand je veux lancer Combofix il m'indique que Antivir est actif, sauf quand je veux activer antivir il m'indique que CCPLG.XLM Unable to find file, le pc n''est pas connecté au net donc je me dis je vais le désinstaller sauf que là j'ai le message suivant Setup n'a pas trouvé ou lire le fichier Feature Control

Donc pour l'instant je n'ai pas lancé Combofix

Sur cette machine il y a boire et à manger

[nardino]

Bonjour.
Est-ce possible en MSE ?
Sinon tu peux désactiver Antivir dans les services.
@+

[Lebub]

je vais essayer, mais là il ne veut plus démarrer
je le laisse reposer un petite demi heure.


@+

[Lebub]

Bon en mode sans échec même combat et antivir désactiver dans les services toujours le même message Combofix indique que Antivir est actif
il faut vraiment que j'arrive à le désinstaller antivir, de toute façon s'il fonctionne je réinstallerais une nouvelle version

[Lebub]

Bonsoir

Après bien des péripéties voila un rapport Combofix en mode sans échec pas d'autre choix pour le moment même si j'ai réussi grace à Chantal à figer cette écran bleu.
du reste le message d'erreur est nv4.mini.sys si quelqu'un à une idée....

ComboFix 09-04-04.01 - xxxxxxxxxxx 2009-04-08 20:20:28.1 - NTFSx86 NETWORK
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1023.767 [GMT 2:00]
Lancé depuis: c:\documents and settings\xxxxxxxx\Bureau\ComboFix.exe
FW: Norton Internet Worm Protection *disabled*
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\xxxxxxxxx\Temporary Internet Files\mxfilerelatedcache.mxc2
c:\windows\system32\_000005_.tmp.dll
c:\windows\system32\_000007_.tmp.dll
c:\windows\system32\_000008_.tmp.dll
c:\windows\system32\_000009_.tmp.dll
c:\windows\system32\_000019_.tmp.dll
D:\Autorun.inf

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-03-08 au 2009-04-08 ))))))))))))))))))))))))))))))))))))
.

2009-04-08 16:10 . 2009-04-08 16:10 410,984 --a------ c:\windows\system32\deploytk.dll
2009-04-08 15:29 . 2009-04-08 15:29 <REP> d-------- c:\program files\SystemRequirementsLab
2009-04-08 15:10 . 2009-04-08 16:09 <REP> d-------- C:\Denis
2009-04-08 01:06 . 2009-04-08 01:24 <REP> d-------- c:\program files\Navilog1
2009-04-06 18:58 . 2009-04-06 20:11 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-04-06 18:58 . 2009-04-06 18:58 <REP> d-------- c:\documents and settings\xxxxxxxxx\Application Data\Malwarebytes
2009-04-06 18:58 . 2009-04-06 18:58 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-04-06 18:58 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-06 18:58 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-04-05 20:54 . 2009-04-08 15:45 <REP> d-------- c:\program files\System Protect
2009-03-26 23:25 . 2009-04-05 20:54 <REP> d-------- c:\program files\Crawler
2009-03-22 18:54 . 2009-04-05 20:54 <REP> d----c--- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-08 18:32 98,304 ----a-w c:\windows\DUMP99af.tmp
2009-04-08 18:27 98,304 ----a-w c:\windows\DUMP977d.tmp
2009-04-08 18:26 98,304 ----a-w c:\windows\DUMP974e.tmp
2009-04-08 18:24 98,304 ----a-w c:\windows\DUMP9848.tmp
2009-04-08 16:47 98,304 ----a-w c:\windows\DUMP9b17.tmp
2009-04-08 16:12 98,304 ----a-w c:\windows\DUMPae51.tmp
2009-04-08 14:13 --------- d-----w c:\program files\Java
2009-04-07 23:49 98,304 ----a-w c:\windows\DUMP8136.tmp
2009-04-07 22:27 98,304 ----a-w c:\windows\DUMP8126.tmp
2009-04-07 22:25 98,304 ----a-w c:\windows\DUMP82fb.tmp
2009-04-05 18:58 --------- d-----w c:\documents and settings\xxxxxxxx\Application Data\Azureus
2009-04-05 18:56 --------- d-----w c:\program files\Brownie
2009-04-05 18:55 --------- d-----w c:\program files\Google
2009-04-05 18:54 --------- d-----w c:\program files\Spyware Terminator
2009-04-05 17:54 98,304 ----a-w c:\windows\DUMP9e91.tmp
2009-04-05 16:54 --------- d-----w c:\documents and settings\xxxxxx\Application Data\Spyware Terminator
2009-04-05 16:41 98,304 ----a-w c:\windows\DUMPa9fb.tmp
2009-04-05 15:15 98,304 ----a-w c:\windows\DUMP7acd.tmp
2009-04-05 15:14 98,304 ----a-w c:\windows\DUMP76a7.tmp
2009-04-05 15:12 98,304 ----a-w c:\windows\DUMP856c.tmp
2009-03-26 21:19 --------- d-----w c:\documents and settings\All Users\Application Data\Spyware Terminator
2009-02-19 10:49 --------- d-----w c:\program files\Brother
2009-02-19 10:48 --------- d--h--w c:\program files\InstallShield Installation Information
2009-02-19 10:48 --------- d-----w c:\program files\Fichiers communs\InstallShield
2007-07-14 22:08 16 -c-ha-w c:\program files\mxfilerelatedcache.mxc2
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2006-03-25 15360]
"CTSyncU.exe"="c:\program files\Creative\Sync Manager Unicode\CTSyncU.exe" [2006-04-28 692224]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [2005-10-28 94208]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-19 68856]
"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\WCESCOMM.EXE" [2005-01-19 405583]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"hpWirelessAssistant"="c:\program files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-05-03 458752]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-18 7585792]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-18 86016]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-04-01 761946]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2006-07-11 102400]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-06-19 163840]
"Cpqset"="c:\program files\Hewlett-Packard\Default Settings\cpqset.exe" [2006-05-30 40960]
"RecGuard"="c:\windows\SMINST\RecGuard.exe" [2005-10-11 1187840]
"Reminder"="c:\windows\CREATOR\Remind_XP.exe" [2006-02-09 643072]
"MMTray"="c:\program files\Musicmatch\Musicmatch Jukebox\mm_tray.exe" [2006-01-17 135168]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-04-27 282624]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2007-05-26 257088]
"Omnipage"="c:\program files\ScanSoft\OmniPageSE\opware32.exe" [2002-06-03 49152]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"mmtask"="c:\program files\Musicmatch\Musicmatch Jukebox\mmtask.exe" [2006-01-17 53248]
"Synchronization Manager"="c:\windows\system32\mobsync.exe" [2006-03-25 144384]
"SpywareTerminator"="c:\program files\Spyware Terminator\SpywareTerminatorShield.exe" [2008-10-20 1783808]
"SystemProtect"="c:\program files\System Protect\SysProtect_Tray.exe" [2009-01-06 1223680]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-04-08 148888]
"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2006-03-25 160768]
"nwiz"="nwiz.exe" [2006-08-18 c:\windows\system32\nwiz.exe]
"MsmqIntCert"="mqrt.dll" [2007-07-06 c:\windows\system32\mqrt.dll]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-06-02 c:\windows\system32\CHDAudPropShortcut.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-25 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
D‚marrage rapide de HP Photosmart Premier.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2005-09-24 73728]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 282624]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [2000-01-21 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AntiVirService"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\mqsvc.exe"=
"c:\\Program Files\\Azureus\\Azureus.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\PeerTV\\PeerCast.exe"=
"c:\\Program Files\\PeerTV\\VLC\\vlc.exe"=
"c:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=
"c:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"=
"c:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"=

R3 hpnuhst;HP NUSB Host;c:\windows\system32\drivers\hpnuhst.sys [2007-10-03 10752]
R3 HPNUHUB;HP NUSB Hub;c:\windows\system32\drivers\hpnuhub.sys [2007-10-03 37120]
S1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [2008-10-20 141312]
S2 ACEDRV08;ACEDRV08;c:\windows\system32\drivers\ACEDRV08.sys [2007-06-23 108768]
S2 SP_Service;System Protect Deletion Prevention Service;c:\program files\System Protect\SysProtect_srv.exe [2009-01-06 598528]
S3 5U870CAP_VID_1262&PID_25FD;HP Pavilion Webcam ;c:\windows\system32\drivers\5U870CAP.sys [2006-06-06 61952]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\drivers\fbxusb32.sys [2007-01-01 21344]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\program files\MAGIX\Common\Database\bin\fbserver.exe [2007-06-23 1527900]
S3 HPNUCMP;HP NUSB Composite;c:\windows\system32\drivers\hpnucmp.sys [2007-10-03 11648]
S3 RTLWUSB;Wireless Adapter;c:\windows\system32\DRIVERS\hpl8187.sys --> c:\windows\system32\DRIVERS\hpl8187.sys [?]
S3 s916bus;Sony Ericsson Device 916 driver (WDM);c:\windows\system32\drivers\s916bus.sys [2007-11-02 83496]
S3 s916mdfl;Sony Ericsson Device 916 USB WMC Modem Filter;c:\windows\system32\drivers\s916mdfl.sys [2007-11-02 15016]
S3 s916mdm;Sony Ericsson Device 916 USB WMC Modem Driver;c:\windows\system32\drivers\s916mdm.sys [2007-11-02 109992]
S3 SjyPkt;SjyPkt;\??\c:\windows\System32\Drivers\SjyPkt.sys --> c:\windows\System32\Drivers\SjyPkt.sys [?]
S3 sp_prot;System Protect Filter Driver;c:\windows\system32\drivers\sp_prot.sys [2009-01-06 12288]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4c2a1691-86de-11db-a098-806d6172696f}]
\Shell\AutoRun\command - D:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a5cbc172-8f19-11dd-a32f-001636a7b8da}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL NoLimit.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fec06f50-16d6-11dd-a289-001636a7b8da}]
\Shell\AutoRun\command - G:\LaunchU3.exe -a
.
Contenu du dossier 'Tâches planifiées'

2009-03-22 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe []

2009-04-08 c:\windows\Tasks\HPpromotions journeysoftware.job
- c:\program files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe [2005-04-22 17:36]

2009-04-08 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 12:20]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.boursorama.com/
IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-08 20:34:18
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\program files\Hewlett-Packard\Default Settings\cpqset.exe????????????<?@? ????X??????Y?@?????<?@

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2009-04-08 20:37:37 - La machine a redémarré [xxxxxxxx]
ComboFix-quarantined-files.txt 2009-04-08 18:37:34

Avant-CF: 23,948,062,720 octets libres
Après-CF: 24,021,266,432 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

200 --- E O F --- 2009-01-14 17:42:54

merci
@+

[chantal11]

Lebub,

Pour nv4.mini.sys, essaye en mode sans échec de désinstaller les drivers Nvidia installés par Programmes et fonctionnalités.

@+

[nardino]

Bonsoir.

Dans un blocnote ( Tous les programmes-Accessoires) tu copies-colles ce qui est ci-dessous.
Dans Format, veille à bien retirer la coche devant Retour à la ligne automatique.
Fais un retour chariot ( Entrée) après la dernière ligne.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\system\CurrentControlSet\Control\lsa]
"Authentication Packages"= hex(7):6d,73,76,31,5f,30,00,00

Dans Fichier, Enregistrer sous, Tous les fichiers, sur le bureau tu enregistres sous le nom lsa.reg
Si le fichier obtenu est appelé fix.reg.txt, tu le renommes en supprimant .txt à la fin

Ensuite tu cliques droit sur ce fichier, tu choisis Fusionner et tu acceptes.
Un message t'avertira de la bonne exécution du fix.
L'icône du fichier : http://i28.servimg.com/u/f28/11/05/93/83/iconer10.jpg

Tu crées un nouveau fichier reg avce ce qui suit :

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AntiVirService"=-
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Cpqset"="c:\program files\Hewlett-Packard\Default Settings\cpqset.exe"

Nomme le fichier fix.reg et tu fusionnes comme le précédent.

Télécharge OtMoveIt3 de OldTimer :
http://download.bleepingcomputer.com/ol ... oveIt3.exe

Enregistres-le sur le Bureau.
Double-clique sur OTMoveIt2.exe pour lancer l'outil.
Note :
Sous Vista, clic droit sur le fichier et Exécuter en tant qu'administrateur.
Copie toutes les lignes ci-dessous en citation par CTRL+C dans le presse-papier.

nettoyage

:files
c:\windows\DUMP99af.tmp
c:\windows\DUMP977d.tmp
c:\windows\DUMP974e.tmp
c:\windows\DUMP9848.tmp
c:\windows\DUMP9b17.tmp
c:\windows\DUMPae51.tmp
c:\windows\DUMP8136.tmp
c:\windows\DUMP8126.tmp
c:\windows\DUMP82fb.tmp
c:\windows\DUMP9e91.tmp
c:\windows\DUMPa9fb.tmp
c:\windows\DUMP7acd.tmp
c:\windows\DUMP76a7.tmp
c:\windows\DUMP856c.tmp

:commands
[purity]
[emptytemp]
[reboot]

Dans OtMoveIt3, place le curseur dans la la fenêtre "Paste List Of Files/Folders to Move" et tu cliques sur CTRL+V pour coller le contenu du presse-papier.
Clique sur le bouton MoveIt!, le rouge.
http://i75.servimg.com/u/f75/11/05/93/83/otmove11.jpg
Ferme l'outil.
Poste le contenu du rapport C:\_OTMoveIt\MovedFiles\********_******.log
Les * représentent Mois/Jour/Année_Heure/Minutes/Secondes

Et tu envoies avec ces rapports et les nouvelles un log Hijackthis .
@+