Forum-vista : Entraide et dépannage Windows Vista et Windows Seven

Télécharge ComboFix <ICI>>

Pour les Utilisateurs de VISTA: Clic-droit et choisis "Exécuter en tant qu'administrateur".
Pour VISTA : pas d'installation de la console de récupération.

>> Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée.

Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir préinstallée sur votre PC avant toute suppression de nuisibles.
Elle permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela est demandé, accepte le Contrat de Licence Utilisateur Final pour l'installer.
>> Une fois sur ton bureau double clique dessus pour le lancer.
Note importante : Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

Lorsque le scan sera complet, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt

>>Ne pas cliquer dans la fenêtre de Combofix durant l’analyse, ceci provoquerait le gel du programme

Voilà le rapport de combofix, j'ai pas bien compris ce qu'il a fait, mais si ça marche c'est l'essentiel...
Merci encore pour le temps et l'énergie dépensée à cette réparation!!!

ComboFix 10-02-28.04 - Jean-Baptiste 01/03/2010 18:16:32.1.2 - x86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.3069.2320 [GMT 1:00]
Lancé depuis: c:\users\Jean-Baptiste\Desktop\ComboFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-3423512812-3566151515-3432128363-500
c:\$recycle.bin\S-1-5-21-746032363-521491259-186433594-500
c:\users\Jean-Baptiste\AppData\Roaming\02000000eaf265e4720C.manifest
c:\users\Jean-Baptiste\AppData\Roaming\02000000eaf265e4720O.manifest
c:\users\Jean-Baptiste\AppData\Roaming\02000000eaf265e4720P.manifest
c:\users\Jean-Baptiste\AppData\Roaming\02000000eaf265e4720S.manifest
c:\users\Jean-Baptiste\AppData\Roaming\Mozilla\Firefox\Profiles\1aoawtdk.default\extensions\{67967c1f-cdc0-494e-9245-809e5bf20986}
c:\users\Jean-Baptiste\AppData\Roaming\Mozilla\Firefox\Profiles\1aoawtdk.default\extensions\{67967c1f-cdc0-494e-9245-809e5bf20986}\chrome.manifest
c:\users\Jean-Baptiste\AppData\Roaming\Mozilla\Firefox\Profiles\1aoawtdk.default\extensions\{67967c1f-cdc0-494e-9245-809e5bf20986}\chrome\xulcache.jar
c:\users\Jean-Baptiste\AppData\Roaming\Mozilla\Firefox\Profiles\1aoawtdk.default\extensions\{67967c1f-cdc0-494e-9245-809e5bf20986}\defaults\preferences\xulcache.js
c:\users\Jean-Baptiste\AppData\Roaming\Mozilla\Firefox\Profiles\1aoawtdk.default\extensions\{67967c1f-cdc0-494e-9245-809e5bf20986}\install.rdf
c:\windows\system32\7YGXqG4obyvcEbA.vbs
c:\windows\system32\DIVGb9p80eLZi6S.vbs
c:\windows\System32\ezsvc7.dll
c:\windows\system32\FoiE3.vbs
c:\windows\system32\Gtq4Zu0H1WBVvYd.vbs
c:\windows\system32\ooSI9.vbs
c:\windows\system32\P84sBTR.vbs
c:\windows\system32\rP03MAf.vbs

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_ezSharedSvc


((((((((((((((((((((((((((((( Fichiers créés du 2010-02-01 au 2010-03-01 ))))))))))))))))))))))))))))))))))))
.

2010-02-27 16:46 . 2010-01-23 09:44 2048 ----a-w- c:\windows\system32\tzres.dll
2010-02-20 16:59 . 2010-02-20 16:59 -------- d-----w- c:\users\Jean-Baptiste\AppData\Local\Adobe
2010-02-20 14:32 . 2010-02-20 14:32 -------- d-----w- c:\programdata\SlySoft
2010-02-20 14:30 . 2010-02-20 14:30 -------- d-----w- c:\program files\AnyDVD
2010-02-19 21:07 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-19 21:07 . 2010-02-19 21:07 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-02-19 21:07 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-02-19 17:43 . 2010-02-19 17:49 -------- d-----w- C:\Ad-Remover
2010-02-17 10:59 . 2010-02-17 11:00 -------- d-----w- c:\program files\yagarto
2010-02-16 21:03 . 2010-02-19 17:58 -------- d-----w- c:\program files\trend micro
2010-02-16 20:17 . 2010-02-20 14:35 -------- d-----w- C:\films
2010-02-16 18:09 . 2010-02-16 18:09 -------- d-----w- c:\users\Jean-Baptiste\AppData\Roaming\Malwarebytes
2010-02-16 18:09 . 2010-02-16 18:09 -------- d-----w- c:\programdata\Malwarebytes
2010-02-16 15:27 . 2010-02-16 15:27 0 ----a-w- c:\windows\nsreg.dat
2010-02-11 18:20 . 2009-12-11 12:07 301568 ----a-w- c:\windows\system32\drivers\srv.sys
2010-02-11 18:20 . 2009-12-11 12:07 98304 ----a-w- c:\windows\system32\drivers\srvnet.sys
2010-02-11 18:20 . 2009-12-08 20:52 897624 ----a-w- c:\windows\system32\drivers\tcpip.sys
2010-02-11 18:20 . 2009-12-28 12:35 1314816 ----a-w- c:\windows\system32\quartz.dll
2010-02-11 18:20 . 2009-12-28 12:32 22528 ----a-w- c:\windows\system32\msyuv.dll
2010-02-11 18:20 . 2009-12-28 12:35 11776 ----a-w- c:\windows\system32\tsbyuv.dll
2010-02-11 18:20 . 2009-12-28 12:31 50176 ----a-w- c:\windows\system32\iyuv_32.dll
2010-02-11 18:20 . 2009-12-04 16:12 105472 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-11 18:20 . 2009-12-04 16:12 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2010-02-10 16:39 . 2010-02-17 10:56 -------- d-----w- c:\program files\POB-Technology
2010-02-10 16:17 . 2010-02-10 16:17 -------- d-----w- c:\programdata\muvee Technologies
2010-02-10 16:16 . 2010-02-10 16:17 -------- d-----w- c:\users\Jean-Baptiste\AppData\Roaming\muvee Technologies
2010-02-06 20:54 . 2010-02-06 20:54 -------- d-----w- c:\programdata\Lexmark S300-S400 Series
2010-02-06 20:52 . 2010-02-06 20:52 -------- d-----w- c:\programdata\Ezprint
2010-02-06 20:51 . 2010-02-07 07:02 -------- d-----w- c:\programdata\Lx_cats
2010-02-06 11:13 . 2009-11-04 07:14 157696 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\lxeadrpp.dll
2010-02-06 11:08 . 2009-04-28 01:56 24064 ----a-w- c:\windows\system32\lxeasmr.dll
2010-02-06 11:08 . 2008-03-04 20:55 40960 ----a-w- c:\windows\system32\lxeavs.dll
2010-02-06 11:08 . 2009-12-16 10:12 438272 ----a-w- c:\windows\system32\lxeacoin.dll
2010-02-06 11:08 . 2009-11-09 01:59 86016 ----a-w- c:\windows\system32\lxeagcfg.dll
2010-02-06 11:08 . 2009-10-21 04:06 294912 ----a-w- c:\windows\system32\lxeacui.dll
2010-02-06 11:08 . 2009-06-07 18:20 110592 ----a-w- c:\windows\system32\lxeacuir.dll
2010-02-06 11:08 . 2008-04-30 00:32 983121 ----a-w- c:\windows\system32\lxk_gf.dll
2010-02-06 11:06 . 2010-02-18 16:16 -------- d-----w- c:\program files\Abbyy FineReader 6.0 Sprint
2010-02-06 11:06 . 2010-01-07 15:08 213672 ----a-w- c:\windows\system32\LXEAwupd.exe
2010-02-06 11:06 . 2009-04-23 07:35 372736 ----a-w- c:\windows\system32\LXEAwupd.dll
2010-02-06 11:01 . 2010-02-06 11:13 -------- d-----w- c:\program files\Lexmark S300-S400 Series
2010-02-06 11:01 . 2009-02-20 08:48 299008 ----a-w- c:\windows\system32\LXEAsm.dll
2010-02-01 18:11 . 2010-02-01 18:11 -------- d-----w- c:\program files\LimeWire
2010-01-31 17:21 . 2010-02-20 16:36 -------- d-----w- c:\programdata\DVD Shrink
2010-01-31 17:21 . 2010-02-05 16:43 -------- d-----w- c:\program files\DVD Shrink
2010-01-31 11:52 . 2010-01-31 11:52 682023 ----a-w- c:\users\Jean-Baptiste\AppData\Roaming\Soft2PC\Software\unins000.exe
2010-01-31 11:52 . 2010-01-31 11:52 -------- d-----w- c:\users\Jean-Baptiste\AppData\Roaming\Soft2PC
2010-01-31 11:31 . 2010-01-31 11:40 -------- d-----w- c:\program files\InterActual
2010-01-31 11:27 . 2010-02-20 17:26 -------- d-----w- c:\users\Jean-Baptiste\AppData\Roaming\dvdcss

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-27 17:03 . 2009-09-09 13:18 -------- d-----w- c:\users\Jean-Baptiste\AppData\Roaming\LimeWire
2010-02-24 08:16 . 2009-10-02 16:47 181632 ------w- c:\windows\system32\MpSigStub.exe
2010-02-20 17:27 . 2010-01-06 16:31 -------- d-----w- c:\users\Jean-Baptiste\AppData\Roaming\vlc
2010-02-18 06:49 . 2009-09-14 17:46 6836 ----a-w- c:\users\Jean-Baptiste\AppData\Local\d3d9caps.dat
2010-02-14 15:41 . 2010-01-11 17:50 -------- d-----w- c:\program files\OIRC
2010-02-14 15:41 . 2010-01-11 17:50 21 ----a-w- c:\windows\irc.dat
2010-02-14 15:35 . 2009-02-26 15:48 669566 ----a-w- c:\windows\system32\perfh00C.dat
2010-02-14 15:35 . 2009-02-26 15:48 123556 ----a-w- c:\windows\system32\perfc00C.dat
2010-02-06 11:08 . 2010-02-06 11:05 -------- d-----w- c:\program files\Lexmark
2010-02-06 11:05 . 2010-02-06 11:05 -------- d-----w- c:\program files\Lexmark Toolbar
2010-02-06 11:05 . 2010-02-06 11:05 -------- d-----w- c:\program files\Lexmark Printable Web
2010-02-01 17:15 . 2010-01-09 09:37 -------- d-----w- c:\users\Jean-Baptiste\AppData\Roaming\gtk-2.0
2010-01-26 21:49 . 2010-01-26 21:49 -------- d-----w- c:\programdata\Messenger Plus!
2010-01-22 16:38 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-01-20 13:15 . 2009-11-01 11:57 -------- d-----w- c:\program files\Avast4
2010-01-18 16:00 . 2010-01-18 16:00 -------- d-----w- c:\program files\SilverChaos
2010-01-18 15:54 . 2009-09-30 15:11 -------- d-----w- c:\programdata\WinZip
2010-01-17 14:20 . 2010-01-17 14:20 -------- d-----w- c:\program files\Axantum
2010-01-11 17:49 . 2010-01-11 17:50 729088 ----a-w- c:\windows\iun6002.exe
2010-01-11 06:55 . 2009-09-05 15:52 78144 ----a-w- c:\users\Jean-Baptiste\AppData\Local\GDIPFONTCACHEV1.DAT
2010-01-09 10:33 . 2010-01-09 10:01 -------- d-----w- c:\users\Jean-Baptiste\AppData\Roaming\DAEMON Tools Lite
2010-01-09 10:01 . 2010-01-09 10:01 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-01-09 10:01 . 2010-01-09 10:01 -------- d-----w- c:\programdata\DAEMON Tools Lite
2010-01-09 09:31 . 2009-12-09 17:51 1474 ----a-w- c:\users\Jean-Baptiste\AppData\Roaming\SAS7_000.DAT
2010-01-09 09:21 . 2010-01-09 09:21 -------- d-----w- c:\program files\GIMP-2.0
2010-01-07 15:08 . 2010-02-06 11:05 324264 ----a-w- c:\windows\system32\lxeaih.exe
2010-01-07 15:08 . 2010-02-06 11:05 598696 ----a-w- c:\windows\system32\lxeacoms.exe
2010-01-07 15:08 . 2010-02-06 11:05 373416 ----a-w- c:\windows\system32\lxeacfg.exe
2010-01-06 16:30 . 2009-12-29 10:57 -------- d-----w- c:\program files\VLC
2010-01-01 13:01 . 2009-02-26 09:25 -------- d-----w- c:\program files\Java
2009-12-24 11:06 . 2009-12-24 11:06 653560 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2009-12-19 18:22 . 2009-12-19 18:22 104512 ----a-w- c:\windows\system32\drivers\AnyDVD.sys
2009-12-18 13:05 . 2010-01-22 16:36 833024 ----a-w- c:\windows\system32\wininet.dll
2009-12-18 13:01 . 2010-01-22 16:36 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-12-18 10:14 . 2010-01-22 16:36 26624 ----a-w- c:\windows\system32\ieUnatt.exe
2009-12-17 22:25 . 2009-12-17 22:25 26024 ----a-w- c:\windows\system32\drivers\ElbyCDIO.sys
2009-12-09 13:47 . 2010-02-06 11:05 643072 ----a-w- c:\windows\system32\lxeapmui.dll
2009-12-09 13:43 . 2010-02-06 11:05 1048576 ----a-w- c:\windows\system32\lxeaserv.dll
2009-12-09 13:41 . 2010-02-06 11:05 688128 ----a-w- c:\windows\system32\lxeahbn3.dll
2009-12-09 13:40 . 2010-02-06 11:05 847872 ----a-w- c:\windows\system32\lxeausb1.dll
2009-12-09 13:37 . 2010-02-06 11:05 356352 ----a-w- c:\windows\system32\LXEAhcp.dll
2009-12-09 13:36 . 2010-02-06 11:05 372736 ----a-w- c:\windows\system32\lxeacomm.dll
2009-12-09 13:36 . 2010-02-06 11:05 577536 ----a-w- c:\windows\system32\lxealmpm.dll
2009-12-09 13:35 . 2010-02-06 11:05 344064 ----a-w- c:\windows\system32\lxeaiesc.dll
2009-12-09 13:35 . 2010-02-06 11:05 802816 ----a-w- c:\windows\system32\lxeacomc.dll
2009-12-09 13:35 . 2010-02-06 11:05 364544 ----a-w- c:\windows\system32\lxeainpa.dll
2009-02-26 16:10 . 2009-02-26 15:51 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{11BF46C6-B3DE-48BD-BF70-3AD85CAB80B5}]
2009-08-10 04:39 311808 ----a-w- c:\progra~1\SITERA~1\SiteRank.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-06-09 2363392]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2005-02-16 221184]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-12-04 1410344]
"UCam_Menu"="c:\program files\Hewlett-Packard\Media\Webcam\MUITransfer\MUIStartMenu.exe" [2008-11-14 218408]
"UpdateLBPShortCut"="c:\program files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
"UpdatePSTShortCut"="c:\program files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe" [2008-11-26 210216]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-10-10 206128]
"UpdateP2GoShortCut"="c:\program files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" [2008-10-30 210216]
"UpdatePDIRShortCut"="c:\program files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" [2008-06-13 210216]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-10-09 75008]
"WirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-12-08 432432]
"SiteRanker"="c:\program files\SiteRanker\SiteRankTray.exe" [2009-08-10 273920]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2009-06-03 450652]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"avast!"="c:\progra~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2005-02-16 81920]
"DNS7reminder"="c:\program files\NaturallySpeaking9\Ereg\Ereg.exe" [2007-03-19 259624]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"lxeamon.exe"="c:\program files\Lexmark S300-S400 Series\lxeamon.exe" [2010-01-18 770728]
"EzPrint"="c:\program files\Lexmark S300-S400 Series\ezprint.exe" [2010-01-18 139944]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"SerialNumber"="A109A-K13-3ZXD-BAP5-TE"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):38,dc,e9,4f,a7,3e,ca,01

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3423512812-3566151515-3432128363-1000]
"EnableNotifications"=dword:00000001
"EnableNotificationsRef"=dword:00000001

R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [01/11/2009 12:57 114768]
R2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_827e372d\AEstSrv.exe [02/03/2009 17:43 81920]
R2 aswFsBlk;aswFsBlk;c:\windows\System32\drivers\aswFsBlk.sys [01/11/2009 12:57 20560]
R2 aswMonFlt;aswMonFlt;c:\windows\System32\drivers\aswMonFlt.sys [01/11/2009 12:57 53328]
R2 hpsrv;HP Service;c:\windows\System32\hpservice.exe [18/03/2008 15:24 19456]
R2 lxea_device;lxea_device;c:\windows\system32\lxeacoms.exe -service --> c:\windows\system32\lxeacoms.exe -service [?]
R2 Recovery Service for Windows;Recovery Service for Windows;c:\program files\SMINST\BLService.exe [26/02/2009 10:29 365952]
R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [26/02/2009 09:23 222512]
R3 enecir;ENE CIR Receiver;c:\windows\System32\drivers\enecir.sys [04/09/2008 18:47 54784]
R3 usbfilter;AMD USB Filter Driver;c:\windows\System32\drivers\usbfilter.sys [08/06/2009 01:17 22072]
S2 lxeaCATSCustConnectService;lxeaCATSCustConnectService;c:\windows\System32\spool\drivers\w32x86\3\lxeaserv.exe [06/02/2010 12:08 98984]
S3 JMCR;JMCR;c:\windows\System32\drivers\jmcr.sys [05/12/2008 12:06 109408]
S3 WSDPrintDevice;Prise en charge de l’impression WSD via UMB;c:\windows\System32\drivers\WSDPrint.sys [21/01/2008 03:23 16896]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-06-09 08:14 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Jean-Baptiste\AppData\Roaming\Mozilla\Firefox\Profiles\1aoawtdk.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8 ... &gfns=1&q=
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-HPAdvisor - c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe
HKCU-Run-DAEMON Tools Lite - c:\program files\DAEMON Tools Lite\DTLite.exe
HKLM-Run-soft2PC - (no file)
AddRemove-ISO Commander - c:\program files\ISO Commander\uninst.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-01 20:22
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...


c:\users\JEAN-B~1\AppData\Local\Temp\Cab1FDF.tmp 30313 bytes
c:\users\JEAN-B~1\AppData\Local\Temp\Tar1FEF.tmp 65536 bytes

Scan terminé avec succès
Fichiers cachés: 2

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys hpdskflt.sys hal.dll >>UNKNOWN [0x8572F1F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0x8a4cb322
\Driver\ACPI -> acpi.sys @ 0x80739d4c
\Driver\atapi -> 0x8572f1f8
IoDeviceObjectType ->\Device\Harddisk0\DR0 ->Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\System32\DriverStore\FileRepository\stwrt.inf_827e372d\STacSV.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Avast4\aswUpdSv.exe
c:\program files\Avast4\ashServ.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\windows\system32\lxeacoms.exe
c:\program files\CyberLink\Shared files\RichVideo.exe
c:\program files\Avast4\ashMaiSv.exe
c:\program files\Avast4\ashWebSv.exe
c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\conime.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\Avast4\ashDisp.exe
c:\windows\ehome\ehmsas.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\program files\Hewlett-Packard\Shared\hpqToaster.exe
c:\program files\windows defender\MpCmdRun.exe
.
**************************************************************************
.
Heure de fin: 2010-03-01 20:26:43 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-03-01 19:26

Avant-CF: 139 037 593 600 octets libres
Après-CF: 138 677 260 288 octets libres

- - End Of File - - 95702301104A6DDD8F3C738D1632F43D

Télécharge Gmer.exe

Clique sur Download EXE
Tu vas obtenir un fichier avec une suite de caractères.exe.
Tu cliques droit sur le fichier et Exécuter en tant qu'administrateur.
Tu cliques sur l'onglet Rootkit/Malware
Tu coches le disque C au minimum.
Tu coches tout et tu cliques sur "scan".
Laisse l'outil travailler, cela peut prendre un quart d'heure.
Quand le scan sera terminé, clique sur Save... , choisis le nom de ton choix pour le rapport ainsi que son dossier d'enregistrement pour le retrouver.
Tu l'ouvres et tu postes un copier-coller dans ta réponse

Tu supprimes les lignes en rouge s'il y en a.



Tu cliques droit sur la ligne et tu sélectionnes l'action appropriée : Delete File ou Delete the service selon le type de la colonne de gauche.




Dis moi le résultat et dis moi si ton pc va mieux.

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-03-02 20:34:53
Windows 6.0.6001 Service Pack 1
Running: gwg0q2yz.exe; Driver: C:\Users\JEAN-B~1\AppData\Local\Temp\uwldqpow.sys


---- System - GMER 1.0.15 ----

INT 0x61 ? 86701F00
INT 0x61 ? 86701F00
INT 0x61 ? 86701F00
INT 0x71 ? 86701F00
INT 0x92 ? 84D9BBF8
INT 0xA2 ? 84D9BBF8
INT 0xB2 ? 84D9BBF8
INT 0xB2 ? 84D9BBF8
INT 0xB2 ? 84D9BBF8
INT 0xB2 ? 84D9BBF8

---- Kernel code sections - GMER 1.0.15 ----

? System32\Drivers\spxj.sys Le chemin d'accès spécifié est introuvable. !
.text C:\Windows\system32\DRIVERS\atikmdag.sys section is writeable [0x9F608000, 0x241BC8, 0xE8000020]
.text USBPORT.SYS!DllUnload 9F1AD46F 5 Bytes JMP 867014E0

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [8060A6D6] \SystemRoot\System32\Drivers\spxj.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [8060A042] \SystemRoot\System32\Drivers\spxj.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [8060A800] \SystemRoot\System32\Drivers\spxj.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort] [8060A0C0] \SystemRoot\System32\Drivers\spxj.sys
IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [8060A13E] \SystemRoot\System32\Drivers\spxj.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [80619B90] \SystemRoot\System32\Drivers\spxj.sys

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Windows\system32\services.exe[668] @ C:\Windows\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 000E0002
IAT C:\Windows\system32\services.exe[668] @ C:\Windows\system32\services.exe [KERNEL32.dll!CreateProcessW] 000E0000

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 857501F8

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF dynamique/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF dynamique/Microsoft Corporation)

Device \Driver\volmgr \Device\VolMgrControl 8572C1F8
Device \Driver\usbohci \Device\USBPDO-0 867441F8
Device \Driver\usbohci \Device\USBPDO-1 867441F8
Device \Driver\usbehci \Device\USBPDO-2 867451F8
Device \Driver\usbohci \Device\USBPDO-3 867441F8
Device \Driver\netbt \Device\NetBT_Tcpip_{B60EA4F7-E331-4E34-8852-3E7FBEA1A082} 873921F8
Device \Driver\usbohci \Device\USBPDO-4 867441F8

AttachedDevice \Driver\tdx \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\usbehci \Device\USBPDO-5 867451F8
Device \Driver\volmgr \Device\HarddiskVolume1 8572C1F8
Device \Driver\volmgr \Device\HarddiskVolume2 8572C1F8
Device \Driver\cdrom \Device\CdRom0 8699A1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 8572F1F8
Device \Driver\atapi \Device\Ide\IdePort0 8572F1F8
Device \Driver\atapi \Device\Ide\IdePort1 8572F1F8
Device \Driver\atapi \Device\Ide\IdePort2 8572F1F8
Device \Driver\atapi \Device\Ide\IdePort3 8572F1F8
Device \Driver\atapi \Device\Ide\IdePort4 8572F1F8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-1 8572F1F8
Device \Driver\msahci \Device\Ide\PciIde0Channel0 857311F8
Device \Driver\msahci \Device\Ide\PciIde0Channel1 857311F8
Device \Driver\msahci \Device\Ide\PciIde0Channel2 857311F8
Device \Driver\netbt \Device\NetBt_Wins_Export 873921F8
Device \Driver\Smb \Device\NetbiosSmb 8736C1F8
Device \Driver\iScsiPrt \Device\RaidPort0 8682B500

AttachedDevice \Driver\tdx \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

Device \Driver\usbohci \Device\USBFDO-0 867441F8
Device \Driver\usbohci \Device\USBFDO-1 867441F8
Device \Driver\usbehci \Device\USBFDO-2 867451F8
Device \Driver\usbohci \Device\USBFDO-3 867441F8
Device \Driver\usbohci \Device\USBFDO-4 867441F8
Device \Driver\usbehci \Device\USBFDO-5 867451F8
Device \Driver\netbt \Device\NetBT_Tcpip_{9AA2A99C-93A0-413F-9FD2-89A7AD40BD4C} 873921F8
Device \FileSystem\cdfs \Cdfs 878C21F8

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xCE 0x17 0x97 0xC6 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x28 0x7A 0x6F 0x5F ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xF9 0xF5 0xBD 0x6D ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg
Voilà le rapport le log a trouvé plein de trucs mais rien en rouge... J'imagine que c'est bon signe... Je vous tiens au courant des résultats et merci une fois de plus.

\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xCE 0x17 0x97 0xC6 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x28 0x7A 0x6F 0x5F ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xF9 0xF5 0xBD 0x6D ...
Reg HKLM\SOFTWARE\Microsoft\Windows Search\Gather\Windows\SystemIndex@LogName C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Projects\SystemIndex\SystemIndex.Ntfy50.gthr

---- EOF - GMER 1.0.15 ----

Télécharges: <<ATF-Cleaner >> de Atribune.

Il ne nécessite pas d'installation.
Clique sur le fichier ATF-Cleaner.exe
Dans Main clique sur Select All et décoche Prefetch
Clique sur Empty Selected
Puis sur OK sur le popup suivant qui t'annonce ce qui a été supprimé.

Tu peux renouveler pour Firefox, Opéra si tu utilises ces navigateurs.
Après Select All il te sera demandé si tu veux supprimer les mots de passes enregistrés.
"Are you sure you want to delete Firefox (ou Opéra) saved password?"
A toi d'en décider en cliquant sur Oui ou Non.


Dis moi après si tu as toujours ces redirections quand tu navigues.

A priori, ATF cleaner semble inutile, plus aucune trace de redirection!!! Gmer a très bien fonctionné, tout marche très bien. Je pense qu'il a en fait sorti une des images que windows sauvegarde en cas de pépin, j'aurais pu y penser avant, mais bon... En tout cas je suis très content de ne plus perdre du temps dans mes recherches, merci pour tout, je vous recommanderai à beaucoup de monde

Très bien si tout va

Fait ceci pour supprimer les logiciels qui ont servis à cette désinfection.

>> Télécharge ToolsCleaner (de A.Rothstein & dj QUIOU) http://pc-system.fr/TC/ToolsCleaner2.exe

>> Double-clique dessus pour lancer le programme

>> Clique sur Recherche et laisse le scan se terminer (il peut durer une dizaine de minutes au maximum).

>> Une fois la recherche lancée, ne clique pas dans la fenêtre, cela provoquerait un léger bug du programme.

>> Si toutes fois la mention (ne réponds pas) apparaissait dans le titre de la fenêtre ToolsCleaner, ne t'en occupes pas et laisse quand même le programme terminer son travail

** Clique sur Suppression pour finaliser.

• Tu peux, si tu le souhaites, te servir des Options facultatives.

**Poste-moi le rapport qui apparait

Puis ::

Bon maintenant on va mettre la restauration du système propre.
Pour cela:
1- Valides les touches Windows et Pause en même temps.

Puis cela:

Sur cette fenêtre décoche cette case et Valides :



***Pour Windows 7** il faut valider l'onglet Configurer puis valider la désactivation de la restauration.
Revalider ensuite dans cette fenêtre la case que tu viens de décocher .

**Toujours sur cette même fenêtre :
Il te faut donc maintenant recrée un nouveau point de restauration.
Coche cette même case et valides cela par l’onglet APPLIQUER puis onglet « CREER »


Puis ceci :


Ensuite création de ce point de restauration.

Et Confirmation.


Vous pouvez maintenant fermer toutes les fenêtres.


Bonne soirée

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Combofix.txt: trouvé !
C:\Qoobox: trouvé !
C:\Ad-remover: trouvé !
C:\Ad-Remover\BACKUP\Ad-R.exe: trouvé !
C:\Program Files\trend micro\HijackThis.exe: trouvé !
C:\Program Files\trend micro\hijackthis.log: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\Windows\mbr.exe: trouvé !

---------------------------------
--> Suppression:

C:\Ad-Remover\BACKUP\Ad-R.exe: supprimé !
C:\Program Files\trend micro\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Program Files\trend micro\hijackthis.log: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\Windows\mbr.exe: supprimé !
C:\Qoobox: supprimé !
C:\Ad-remover: supprimé !

Et bien voilà j'ai tout fait mais j'ai préféré garder les points de restaurations automatiques de C:/
En tout cas, j'aurais été bien incapable de faire ça seul, et depuis 2 semaines, plus de problème!!! Sa marche super bien!!!
Merci et à bientôt (enfin pas trop tôt quand même....)

En fait je ne te demande pas de désactiver complètement ta restauration mais juste de désactiver tous les points infectés puis de nouveau recréer un point propre qui te servira en cas de soucis.