Forum-vista : Entraide et dépannage Windows Vista et Windows Seven

Sat Oct 18 20:01:27 2008
EliBagle v11.85 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Sat Oct 18 20:02:46 2008
EliBagle v11.85 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Octubre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

OK ceci a suivre.

Téléchargeable ici : FindyKill

Si tu es sous Vista (à exécuter en tant qu'administrateur sous vista)

Laisse l’installation se faire avec les paramètres affichés par défaut.

Branche les sources de données externes à son PC, (clé USB, disque dur externe, etc...)

Double cliquer sur le raccourci FindyKill sur ton le bureau :

Au menu principal, choisir l'option 1 (Recherche)

Laisser le travail de rechercher s’effectuer.

Appuyer sur une touche pour faire apparaitre le rapport, quand tu en auras la demande.

Le rapport est en outre sauvegardé à la racine du disque C:\ FindyKill.txt

Poste le rapport ici:

----------------- FindyKill V4.005 ------------------

* User : romuald - PC-DE-ROMUALD
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 17/10/08 par Chiquitine29
* Recherche effectuée à 20:14:47 le 18/10/2008
* Windows Vista - Internet Explorer 7.0.6001.18000

((((((((((((((((( *** Recherche *** ))))))))))))))))))

--------------- [ Processus actifs ] ----------------

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Windows\system32\taskeng.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32\drivers\hldrrr.exe
C:\Windows\system32\igfxsrvc.exe
C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE
C:\Windows\system32\igfxext.exe
C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Windows\system32\agrsmsvc.exe
C:\Acer\ALaunch\ALaunchSvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\svchost.exe
C:\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\Acer\Empowering Technology\eNet\eNet Service.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Acer\Mobility Center\MobilityService.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\conime.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\explorer.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe

--------------- [ Processus infectieux stoppés ] ----------------

"C:\Windows\System32\drivers\hldrrr.exe" (256)

--------------- [ Fichiers/Dossiers infectieux ] ----------------

»»»» Presence des fichiers dans C:

Présent ! - C:\InfoSat.txt

»»»» Presence des fichiers dans C:\Windows

»»»» Presence des fichiers dans C:\Windows\Prefetch

Present ! - C:\Windows\prefetch\HLDRRR.EXE-9251654D.pf
Present ! - C:\Windows\Prefetch\PATCHJRE.EXE-5895D84C.pf

»»»» Presence des fichiers dans C:\Windows\system32

»»»» Presence des fichiers dans C:\Windows\system32\drivers

Présent ! - C:\Windows\system32\drivers\srosa.sys
Présent ! - C:\Windows\system32\drivers\hldrrr.exe
Présent ! - "C:\Windows\system32\drivers\downld"

»»»» Presence des fichiers dans C:\Users\romuald\AppData\Roaming

»»»» Presence des fichiers dans C:\Users\romuald\AppData\Local\Temp

--------------- [ Registre / Startup ] ----------------

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Windows Defender REG_EXPAND_SZ %ProgramFiles%\Windows Defender\MSASCui.exe -hide
RtHDVCpl REG_SZ RtHDVCpl.exe
eDataSecurity Loader REG_SZ C:\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe
LManager REG_SZ C:\PROGRA~1\LAUNCH~1\LManager.exe
Apoint REG_SZ C:\Program Files\Apoint2K\Apoint.exe
eRecoveryService REG_SZ
WarReg_PopUp REG_SZ C:\Acer\WR_PopUp\WarReg_PopUp.exe
ccApp REG_SZ "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
NeroFilterCheck REG_SZ C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
Acrobat Assistant 8.0 REG_SZ "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
(par défaut) REG_SZ
Adobe_ID0EYTHM REG_SZ C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
Adobe Reader Speed Launcher REG_SZ "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
SPC500NC_Monitor REG_SZ C:\Windows\Philips\SPC500NC\Monitor.exe
IgfxTray REG_SZ C:\Windows\system32\igfxtray.exe
HotKeysCmds REG_SZ C:\Windows\system32\hkcmd.exe
Persistence REG_SZ C:\Windows\system32\igfxpers.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Sidebar REG_SZ C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} REG_SZ "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
SpybotSD TeaTimer REG_SZ C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
WMPNSCFG REG_SZ C:\Program Files\Windows Media Player\WMPNSCFG.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\AdobeUpdater

--------------- [ Registre / Clés infectieuses ] ----------------

Présent ! - HKEY_USERS\S-1-5-21-3011311505-1902725695-416071683-1000\Software\Local AppWizard-Generated Applications\hldrrr
Présent ! - HKEY_USERS\S-1-5-21-3011311505-1902725695-416071683-1000\Software\Local AppWizard-Generated Applications\patch
Présent ! - HKEY_USERS\S-1-5-21-3011311505-1902725695-416071683-1000\Software\bisoft
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\hldrrr
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\patch
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_CURRENT_USER\Software\bisoft

--------------- [ Etat / Services ] ----------------

+- Services : [ Auto=2 Demande=3 Désactivé=4 ]

/!\ Ndisuio - Type de démarrage = 4

EapHost - Type de démarrage = 3

Wlansvc - Type de démarrage = 2

SharedAccess - Type de démarrage = 2

wuauserv - Type de démarrage = 2

/!\ wscsvc - Type de démarrage = 4

--------------- [ Recherche dans supports amovibles] ----------------

+- Informations :

C: - Lecteur fixe
D: - Lecteur fixe

+- presence des fichiers :

--------------- [ Registre / Moutpoint2 ] ----------------

-> Recherche négative.

------------------- ! Fin du rapport ! --------------------

OK ceci a suivre.

Double cliquer sur le raccourci FindyKill sur le bureau :

Au menu principal, choisir l'option 2 (Suppression)

il y aura 2 redémarrage du PC

1- la suppression des fichiers découverts
2-restaurer le Mode sans échec
3-réparer l'affichage des fichiers cachés
4-relancer les services
5-au final la suppression des mountpoints2 infectés

Poste se second rapport ici :

Bonsoir,
Juste une petite incruste pour une précision.
La première chose à faire est de supprimer le ou les cracks que tuas pu télécharger.
Sinon l'infection va se relancer.
bernard53 va s'occuper de ton cas.
Bye bye.

nardino a écrit :Bonsoir,
Juste une petite incruste pour une précision.
La première chose à faire est de supprimer le ou les cracks que tuas pu télécharger.
Sinon l'infection va se relancer.
bernard53 va s'occuper de ton cas.
Bye bye.

Exact, j'ai oublié de signaler cela.

----------------- FindyKill V4.005 ------------------

* User : romuald - PC-DE-ROMUALD
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 17/10/08 par Chiquitine29
* Suppression effectuée à 23:46:38 le 18/10/2008
* Windows Vista - Internet Explorer 7.0.6001.18000

((((((((((((((( *** Suppression *** ))))))))))))))))))

--------------- [ Processus actifs ] ----------------

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\agrsmsvc.exe
C:\Acer\ALaunch\ALaunchSvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\svchost.exe
C:\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\Acer\Empowering Technology\eNet\eNet Service.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Acer\Mobility Center\MobilityService.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
C:\Windows\system32\taskeng.exe
C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\runonce.exe
C:\Windows\system32\taskeng.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Windows\system32\conime.exe

--------------- [ Fichiers/Dossiers infectieux ] ----------------

»»»» Suppression des fichiers dans C:

Supprimé ! - C:\InfoSat.txt

»»»» Suppression des fichiers dans C:\Windows

»»»» Suppression des fichiers dans C:\Windows\Prefetch

Supprimé ! - C:\Windows\Prefetch\CF22011.EXE-DE7557DB.pf
Supprimé ! - C:\Windows\Prefetch\LUCOMSERVER_3_4.EXE-EC8AA7D1.pf
Supprimé ! - C:\Windows\Prefetch\WINTEMS.EXE-DA572320.pf
Supprimé ! - C:\Windows\Prefetch\MDELK.EXE-BA78416E.pf
Supprimé ! - C:\Windows\Prefetch\HLDRRR.EXE-2E8A74EB.pf

»»»» Suppression des fichiers dans C:\Windows\system32

»»»» Suppression des fichiers dans C:\Windows\system32\drivers

Supprimé ! - "C:\Windows\system32\drivers\downld"

»»»» Suppression des fichiers dans C:\Users\romuald\AppData\Roaming

»»»» Suppression des fichiers dans C:\Users\romuald\AppData\Local\Temp

--------------- [ Registre / Clés infectieuses ] ----------------

Supprimé ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Supprimé ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Supprimé ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
Supprimé ! - HKEY_CURRENT_CONFIG\System\CurrentControlSet\Enum\ROOT\LEGACY_SROSA
Supprimé ! - HKEY_USERS\S-1-5-21-3011311505-1902725695-416071683-1000\Software\Local AppWizard-Generated Applications\hldrrr
Supprimé ! - HKEY_USERS\S-1-5-21-3011311505-1902725695-416071683-1000\Software\Local AppWizard-Generated Applications\patch
Supprimé ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\hldrrr
Supprimé ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\patch

-> Certaines clés ont été supprimées au premier reboot ...

--------------- [ Etat / Redémarage des services ] ----------------

+- Mode sans echec restauré !

+- Affichage des fichiers cachés réparé !

+- Services : [ Auto=2 Demande=3 Désactivé=4 ]

Ndisuio - Type de démarrage = 2

EapHost - Type de démarrage = 2

Wlansvc - Type de démarrage = 2

SharedAccess - Type de démarrage = 2

wuauserv - Type de démarrage = 2

wscsvc - Type de démarrage = 2

--------------- [ Nettoyage des supports amovibles ] ----------------

+- Informations :

C: - Lecteur fixe
D: - Lecteur fixe

+- Suppression des fichiers :

--------------- [ Registre / Moutpoint2 ] ----------------

-> Recherche négative.

--------------- [ Recherche Cracks / Keygen ] ----------------

---------------- ! Fin du rapport ! ------------------

oui ca en fait je l'avais deja enlever en fait c un truc pour un jeu a la noix que j'avais telecharger et l'ordi me l'avais dit quand j'ai cliquer dessus mais ct deja trop tard

OK très bien fait ceci maintenant.

A faire pour l'installation ; choisis clique droit et "Exécuter en tant qu'administrateur".

Télécharge Combofix.exe sur ton Bureau (et pas ailleurs).
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Double clique Combofix.exe.
Tape sur la touche 1 pour démarrer le scan.
Lorsque le scan sera complet, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l’analyse, ceci provoquerait le gel du programme

INFO
Si, par malchance, vous n'avez plus accès à votre connexion Internet après avoir fait tourner ComboFix, la première chose à essayer est de faire redémarrer votre ordinateur.
Cette seule manip devrait corriger la grande majorité des problèmes de non-connexion à Internet après l'utilisation de ComboFix. Si vous n'avez toujours pas de connexion Internet après avoir redémarré, exécutez les étapes suivantes:

1. Cliquez sur le bouton Démarrer.
2. Cliquez sur l'option de menu Paramètres.
3. Cliquez sur l'option Panneau de configuration.
4. Après l'ouverture du Panneau de configuration, faites un double clic sur l'icône Connexions réseau
5. . Si votre Panneau de configuration est paramétré pour un affichage en catégories, faites un double clic sur Connexions réseau et Internet. puis cliquez sur Connexions réseau .tout en bas.
6. Vous verrez alors une liste de toutes les connexions réseau disponibles. Repérez la connexion vers votre adaptateur Sans Fil ou Réseau local et faites un clic droit dessus.
7. Vous verrez alors un menu similaire à celui de l'image ci-dessous. Cliquez simplement sur l'option de menu Réparer. .

8. Laissez le processus de réparation se dérouler, et lorsqu'il a terminé, votre connexion Internet devrait être de nouveau opérationnelle.
Sinon, si une icône de votre réseau apparaît aussi dans la barre des tâches Windows, vous pouvez la réparer en faisant un clic droit sur l'icône et en choisissant Réparer comme le montre l'image ci-dessous:

ComboFix 08-10-18.03 - romuald 2008-10-19 15:56:18.2 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6001.1.1252.1.1036.18.1054 [GMT 2:00]
Lancé depuis: C:\Users\romuald\Desktop\combofix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Users\romuald\AppData\Roaming\.#
C:\Windows\system32\x64

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SROSA

((((((((((((((((((((((((((((( Fichiers créés du 2008-09-19 au 2008-10-19 ))))))))))))))))))))))))))))))))))))
.

2008-10-19 15:41 . 2008-10-19 15:44 <REP> d-------- C:\tataz
2008-10-19 00:43 . 2008-10-19 01:15 <REP> d-------- C:\Program Files\Norton Internet Security
2008-10-19 00:42 . 2008-10-19 00:56 <REP> d-------- C:\Program Files\Symantec
2008-10-19 00:42 . 2008-10-19 00:56 123,952 --a------ C:\Windows\System32\drivers\SYMEVENT.SYS
2008-10-18 20:14 . 2008-10-18 23:47 <REP> d-------- C:\Program Files\FindyKill
2008-10-18 19:01 . 2008-10-18 19:02 <REP> d-------- C:\bouduglan
2008-10-18 16:10 . 2008-10-18 16:10 <REP> d-------- C:\Users\All Users\WindowsSearch
2008-10-18 16:10 . 2008-10-18 16:10 <REP> d-------- C:\ProgramData\WindowsSearch
2008-10-18 15:03 . 2008-10-16 12:17 <REP> d-------- C:\SDFix
2008-10-18 04:52 . 2008-10-18 06:00 49 --a------ C:\Windows\NeroDigital.ini
2008-10-14 18:04 . 2008-10-14 18:04 <REP> d-------- C:\Program Files\DAMN NFO Viewer
2008-10-13 15:22 . 2008-10-13 15:22 <REP> d-------- C:\Program Files\LimeWire
2008-10-10 09:41 . 2008-10-11 17:07 <REP> d-------- C:\Program Files\Partouche
2008-10-09 18:17 . 2008-05-27 06:59 106,605 --a------ C:\Windows\System32\StructuredQuerySchema.bin
2008-10-09 18:17 . 2008-05-27 07:17 34,816 --a------ C:\Windows\System32\msscb.dll
2008-10-09 18:17 . 2008-05-27 06:59 18,904 --a------ C:\Windows\System32\StructuredQuerySchemaTrivial.bin
2008-10-09 18:17 . 2008-05-27 07:17 11,776 --a------ C:\Windows\System32\msshooks.dll
2008-10-09 18:14 . 2008-10-09 18:14 <REP> d-------- C:\Program Files\Microsoft Silverlight
2008-10-09 18:13 . 2008-07-31 03:13 4,240,384 --a------ C:\Windows\System32\GameUXLegacyGDFs.dll
2008-10-09 18:13 . 2008-03-08 06:21 1,695,744 --a------ C:\Windows\System32\gameux.dll
2008-10-09 18:13 . 2008-07-31 05:32 28,160 --a------ C:\Windows\System32\Apphlpdm.dll
2008-10-08 16:45 . 2008-10-08 16:45 <REP> d-------- C:\Poker
2008-10-06 15:38 . 2008-07-16 03:32 2,048 --a------ C:\Windows\System32\tzres.dll
2008-10-06 11:27 . 2008-06-26 03:45 12,240,896 --a------ C:\Windows\System32\NlsLexicons0007.dll
2008-10-06 11:26 . 2008-06-26 03:45 2,644,480 --a------ C:\Windows\System32\NlsLexicons0009.dll
2008-10-06 11:26 . 2008-06-26 05:29 801,280 --a------ C:\Windows\System32\NaturalLanguage6.dll
2008-10-06 11:22 . 2008-04-10 07:12 738,304 --a------ C:\Windows\System32\inetcomm.dll
2008-10-06 11:22 . 2008-08-02 03:01 625,152 --a------ C:\Windows\System32\drivers\dxgkrnl.sys
2008-10-06 11:22 . 2008-06-26 05:29 565,248 --a------ C:\Windows\System32\emdmgmt.dll
2008-10-06 11:22 . 2008-06-19 05:31 361,984 --a------ C:\Windows\System32\IPSECSVC.DLL
2008-10-06 11:22 . 2008-06-26 05:29 303,616 --a------ C:\Windows\System32\wmpeffects.dll
2008-10-06 11:22 . 2008-04-18 07:48 269,312 --a------ C:\Windows\System32\es.dll
2008-10-06 11:22 . 2008-05-08 21:21 211,968 --a------ C:\Windows\System32\drivers\mrxsmb10.sys
2008-10-06 11:22 . 2008-05-20 04:07 148,480 --a------ C:\Windows\System32\drivers\nwifi.sys
2008-10-06 11:22 . 2008-06-26 05:29 45,056 --a------ C:\Windows\System32\dataclen.dll
2008-10-06 11:22 . 2008-08-02 05:26 36,864 --a------ C:\Windows\System32\cdd.dll
2008-10-06 11:13 . 2008-07-19 07:09 1,811,656 --a------ C:\Windows\System32\wuaueng.dll
2008-10-06 11:13 . 2008-07-19 05:44 1,524,736 --a------ C:\Windows\System32\wucltux.dll
2008-10-06 11:13 . 2008-07-19 07:10 53,448 --a------ C:\Windows\System32\wuauclt.exe
2008-10-06 11:13 . 2008-07-19 07:10 45,768 --a------ C:\Windows\System32\wups2.dll
2008-10-06 11:12 . 2008-07-19 07:09 563,912 --a------ C:\Windows\System32\wuapi.dll
2008-10-06 11:12 . 2008-07-19 05:44 83,456 --a------ C:\Windows\System32\wudriver.dll
2008-10-06 11:12 . 2008-07-19 07:10 36,552 --a------ C:\Windows\System32\wups.dll
2008-10-06 11:11 . 2008-07-18 22:08 163,904 --a------ C:\Windows\System32\wuwebv.dll
2008-10-06 11:11 . 2008-07-18 20:44 31,232 --a------ C:\Windows\System32\wuapp.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-19 00:26 --------- d-----w C:\ProgramData\Symantec
2008-10-18 23:15 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-10-18 22:56 805 ----a-w C:\Windows\system32\drivers\SYMEVENT.INF
2008-10-18 22:56 10,671 ----a-w C:\Windows\system32\drivers\SYMEVENT.CAT
2008-10-18 22:47 --------- d-----w C:\Users\romuald\AppData\Roaming\Symantec
2008-10-18 22:25 --------- d-----w C:\ProgramData\Spybot - Search & Destroy
2008-10-18 10:55 --------- d-----w C:\Program Files\Acer GameZone
2008-10-18 10:02 --------- d-----w C:\ProgramData\FLEXnet
2008-10-18 10:02 --------- d-----w C:\Program Files\Windows Mail
2008-10-18 10:02 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-10-17 16:35 --------- d-----w C:\Users\romuald\AppData\Roaming\Skype
2008-10-17 16:17 --------- d-----w C:\Users\romuald\AppData\Roaming\skypePM
2008-10-15 20:58 --------- d-----w C:\Program Files\Java
2008-10-14 15:51 --------- d---a-w C:\ProgramData\TEMP
2008-10-13 23:32 --------- d-----w C:\Users\romuald\AppData\Roaming\LimeWire
2008-10-12 16:09 --------- d-----w C:\Program Files\eMule
2008-10-09 16:04 --------- d-----w C:\Program Files\Messenger Plus! Live
2008-10-06 13:32 --------- d-----w C:\Program Files\Microsoft Works
2008-10-02 03:49 827,392 ----a-w C:\Windows\System32\wininet.dll
2008-09-18 05:09 3,601,464 ----a-w C:\Windows\System32\ntkrnlpa.exe
2008-09-18 05:09 3,549,240 ----a-w C:\Windows\System32\ntoskrnl.exe
2008-09-18 02:16 2,032,640 ----a-w C:\Windows\System32\win32k.sys
2008-08-27 01:06 288,768 ----a-w C:\Windows\system32\drivers\srv.sys
2008-07-31 03:32 460,288 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-07-31 03:32 2,154,496 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-07-31 03:32 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-06-23 07:22 76,112 ----a-w C:\Users\romuald\AppData\Roaming\GDIPFONTCACHEV1.DAT
2008-05-22 11:14 56 ---ha-w C:\Users\All Users\ezsidmv.dat
2008-05-22 11:14 56 ---ha-w C:\ProgramData\ezsidmv.dat
2008-01-21 02:57 174 --sha-w C:\Program Files\desktop.ini
2008-05-30 06:20 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
2008-05-30 06:20 32,768 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
2008-05-30 06:20 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
2008-01-03 03:00 39472 --a------ C:\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-05-16 153136]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-10-18 1833296]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"eDataSecurity Loader"="C:\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe" [2008-03-05 525360]
"LManager"="C:\PROGRA~1\LAUNCH~1\LManager.exe" [2008-01-04 768520]
"Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2007-07-21 159744]
"WarReg_PopUp"="C:\Acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 57344]
"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"Acrobat Assistant 8.0"="C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 623992]
"Adobe_ID0EYTHM"="C:\PROGRA~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE" [2007-03-20 1884160]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"SPC500NC_Monitor"="C:\Windows\Philips\SPC500NC\Monitor.exe" [2008-10-18 319488]
"IgfxTray"="C:\Windows\system32\igfxtray.exe" [2008-02-11 141848]
"HotKeysCmds"="C:\Windows\system32\hkcmd.exe" [2008-02-11 166424]
"Persistence"="C:\Windows\system32\igfxpers.exe" [2008-02-11 133656]
"ccApp"="C:\Program Files\Common Files\Symantec Shared\ccApp.exe" [2008-02-14 51048]
"RtHDVCpl"="RtHDVCpl.exe" [2007-09-03 C:\Windows\RtHDVCpl.exe]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Empowering Technology Launcher.lnk - C:\Acer\Empowering Technology\eAPLauncher.exe [2008-02-25 535336]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmadmin]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmserver]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SRService]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UacDisableNotify"=dword:00000001
"InternetSettingsDisableNotify"=dword:00000001
"AutoUpdateDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3011311505-1902725695-416071683-1000]
"EnableNotificationsRef"=dword:00000005

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{0B62FDFA-9C2B-4341-BD9C-67BF39A36EDB}"= UDP

Adobe Version Cue CS3 Server
"{485B797A-CBC3-457C-B03E-1C691C011BD5}"= UDP

Adobe Version Cue CS3 Server
"{78E4957D-DC80-4E3F-B453-5F686A794789}"= UDP:50900:Adobe Version Cue CS3 Server
"{D23E7E46-E52F-4ED9-8001-00EC56018AF3}"= UDP:50901:Adobe Version Cue CS3 Server
"{96513CA4-8EA4-4E3C-9A55-9C33A13F438E}"= UDP:C:\Program Files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe:Adobe Version Cue CS3 Server
"{815DF525-F7E1-47E2-9C3E-98D076E023FB}"= TCP:C:\Program Files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe:Adobe Version Cue CS3 Server
"{95B77345-AED0-4257-8B83-C409E859A5F4}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{7C14B317-E281-4F9F-90C4-E2D011A41257}"= C:\Program Files\Skype\Phone\Skype.exe:Skype
"{DDD86526-DAFE-45D0-B8DE-0A4C8938223F}"= UDP:C:\Program Files\LimeWire\LimeWire.exe:LimeWire
"{5415F641-5A44-4EFB-82D4-4B6B646CA49C}"= TCP:C:\Program Files\LimeWire\LimeWire.exe:LimeWire

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

R1 IDSvix86;Symantec Intrusion Prevention Driver;C:\PROGRA~2\Symantec\DEFINI~1\SymcData\ipsdefs\20081014.001\IDSvix86.sys [2008-10-03 270384]
R2 ALaunchService;ALaunch Service;C:\Acer\ALaunch\ALaunchSvc.exe [2007-09-19 51200]
R2 LiveUpdate Notice;LiveUpdate Notice;C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe [2008-02-14 149864]
R2 SBSDWSCService;SBSD Security Center Service;C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [2008-08-14 809296]
R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;C:\Windows\system32\DRIVERS\b57nd60x.sys [2007-07-22 180736]
R3 SYMNDISV;SYMNDISV;C:\Windows\system32\Drivers\SYMNDISV.SYS [2008-06-13 41008]
S3 COH_Mon;COH_Mon;C:\Windows\system32\Drivers\COH_Mon.sys [2008-07-30 23888]
S3 SPC500NC;Philips SPC500NC Webcam;C:\Windows\system32\DRIVERS\SPC500NC.SYS [2007-06-21 409600]
S4 ErrDev;Microsoft Hardware Error Device Driver;C:\Windows\system32\drivers\errdev.sys [2008-01-21 6656]
S4 MegaSR;MegaSR;C:\Windows\system32\drivers\megasr.sys [2008-01-21 386616]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
bthsvcs REG_MULTI_SZ BthServ

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d5189658-f815-11dc-a4c3-806e6f6e6963}]
\shell\AutoRun\command - E:\CDSTART.EXE

*Newly Created Service* - COMHOST
.
Contenu du dossier 'Tâches planifiées'

2008-10-13 C:\Windows\Tasks\Norton Internet Security - Effectuer une analyse complète du système - romuald.job
- C:\Program Files\Norton Internet Security\Norton AntiVirus\Navw32.exe [2007-08-26 19:19]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-eRecoveryService - (no file)
MSConfigStartUp-swg - C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:\Users\romuald\AppData\Roaming\Mozilla\Firefox\Profiles\ms01le7x.default\
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-19 16:04:07
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

C:\Users\romuald\AppData\Local\Temp\Tar5A6F.tmp
C:\Users\romuald\AppData\Local\Temp\Cab5A6E.tmp

Scan terminé avec succès
Fichiers cachés: 2

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
C:\Windows\System32\audiodg.exe
C:\Windows\System32\agrsmsvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\Acer\Empowering Technology\eNet\eNet Service.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Acer\Mobility Center\MobilityService.exe
C:\Windows\System32\drivers\XAudio.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
C:\Windows\System32\wbem\unsecapp.exe
C:\Windows\System32\conime.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Windows\System32\igfxext.exe
C:\Windows\System32\igfxsrvc.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\System32\igfxsrvc.exe
C:\Acer\Empowering Technology\eNet\eNMTray.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Supervisor.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Program Files\Apoint2K\ApntEx.exe
C:\Users\romuald\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Windows\System32\dllhost.exe
.
**************************************************************************
.
Heure de fin: 2008-10-19 16:09:58 - La machine a redémarré [romuald]
ComboFix-quarantined-files.txt 2008-10-19 14:09:45

Avant-CF: 27,339,149,312 octets libres
Après-CF: 27,161,702,400 octets libres

256 --- E O F --- 2008-10-15 01:30:55

et ben dit donc c'est rock'n'roll ce truc
impossible que j'y arrive seul

merci

ceci pour finir et tu me dis après si tout vas bien.

Télécharge OTMoveIt (d’Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/ol ... oveIt2.exe

Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous dans la fenêtre selon image ci jointe.

C:\Users\All Users\ezsidmv.dat
C:\ProgramData\ezsidmv.dat
EmptyTemp

Clique sur MoveIt! Pour lancer la suppression.
Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapport situé dansC:\_OTMoveIt\MovedFiles.Exemple:(01282008_131348.log )

Il te sera peut-être demander de redémarrer le pc pour achever la suppression.
Si c'est le cas accepte par Yes.

Puis cela::

Installe Malewarebytes' Antimalware,
Téléchargement et tuto

Met-le à jour puis passe en mode sans échec :
http://www.pcloisirs.eu/mode_sans_echec.htm

Choisi, Exécuter un examen complet (environ 1heure )
Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

Poste le rapport final.

C:\Users\All Users\ezsidmv.dat moved successfully.
File/Folder C:\ProgramData\ezsidmv.dat not found.
< EmptyTemp >
File delete failed. C:\Users\romuald\AppData\Local\Temp\RtkBtMnt.exe scheduled to be deleted on reboot.
File delete failed. C:\Users\romuald\AppData\Local\Temp\Low\~DF15C6.tmp scheduled to be deleted on reboot.
File delete failed. C:\Users\romuald\AppData\Local\Temp\Low\~DF15EA.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\JET6D71.tmp scheduled to be deleted on reboot.
Temp folders emptied.
IE temp folders emptied.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 10192008_211014

Files moved on Reboot...
C:\Users\romuald\AppData\Local\Temp\RtkBtMnt.exe moved successfully.
File C:\Users\romuald\AppData\Local\Temp\Low\~DF15C6.tmp not found!
File C:\Users\romuald\AppData\Local\Temp\Low\~DF15EA.tmp not found!
File C:\Windows\temp\JET6D71.tmp not found!

Malwarebytes' Anti-Malware 1.29
Version de la base de données: 1290
Windows 6.0.6001 Service Pack 1

20/10/2008 07:54:37
mbam-log-2008-10-20 (07-54-37).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 179282
Temps écoulé: 2 hour(s), 19 minute(s), 51 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Très bien, rien dans ce rapport.

Comment vas ton pc maintenant.

Forum-vista : Entraide et dépannage Windows Vista et Windows Seven

antivirus, spybot ... bloqués [resolu]

Re: antivirus, spybot ... bloqués

Re: antivirus, spybot ... bloqués

Re: antivirus, spybot ... bloqués

Re: antivirus, spybot ... bloqués

Re: antivirus, spybot ... bloqués

Re: antivirus, spybot ... bloqués

Re: antivirus, spybot ... bloqués

Re: antivirus, spybot ... bloqués

Re: antivirus, spybot ... bloqués

Re: antivirus, spybot ... bloqués

Re: antivirus, spybot ... bloqués

Re: antivirus, spybot ... bloqués

Re: antivirus, spybot ... bloqués

Re: antivirus, spybot ... bloqués

Re: antivirus, spybot ... bloqués