system security kesko?(resolu)

voila je me retrouve avec une icone en bouclier jaune barree de noir avec des messages d alerte system security qui m envoi des alertes que je suis infecte...comment suprimer ça je me demande si c est pas un espion j ai je precise telecharger antivir

Bonjour,

télécharge GenProc http://www.genproc.com/GenProc.exe

double-clique sur GenProc.exe et poste le contenu du rapport qui s'ouvre

Je suppose que c'est une fenêtre type IE qui affiche le message.

ça ressemble fortement à un spyware. Si tu cliques sur la fenêtre, tu devrais être rediriger vers un site pour télécharger ou acheter un truc.
Attention à ne surtout pas télécharger le logiciel en question qui aurait des conséquences plus désastreuse que le message actuel.

Rapport GenProc 2.385 [1] - 26/02/2009 à 13:29:26,28 - Windows XP

GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante :


Poste un rapport Nod32 http://www.eset-nod32.fr/scanner.html (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :
- C:\Program Files\EsetOnlineScanner\log.txt

___voila enfin je crois_______________________________________________________________________________________________________

Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com

suis la procédure

help je ne sais pas comment on fait ce qu il me dit

bon je n y arrive pas j explique mon probleme depuis le debut j ai achete un asus eepc 900 d occassion bon je l ai branché sur mon alice box en usb puisque j ai deja un pc branche en ethernet bref une fois ceci fait je m installe avast qui me signale votre pc est infecte pap logiciel malveillant win 32 rookit-gen[rtk] bon comme avast ne pouvait pas me le suprimer je fonce sur le forum je vois le tuto de bobette sur antivir que j installe qui me mets trois truc de win 32 en quarantaine bon apres il m ai apparu ce system security qui s ouvre chaque fois que je bouge j ai essaye spy bot qui me trouve rien adaware c cleaner puis j ai voulu enlever antivir pour remettre avast je peu plus remettre l un ou l autre antivir il y a son icone mais je peu plus l ouvrir au secours avant que je passe le netbook par la fenetre

pour moi ce n'est pas une réponse suffisante, je veux bien t'aider mais si tu fais un effort sur les solutions que je te propose, ce qui implique que tu détailles les problèmes rencontrés. Si tu n'es pas d'accord dis-le moi direct.

mais non j avais repondu en deux fois l explication est au dessus des que j essaye de ou de faire ce que tu me dis internet s arrete pareil des que je veu aller sur le site alwil pour telecharger avst et des fois je tape quelque chose il me redirige sur n importe quoi mama search voila ce n est pas que je veu pas faire comme tu dis

Dans ce cas, fais le scan en mode sans échec avec prise en charge réseau http://www.pcloisirs.eu/mode_sans_echec.htm

bon bien je m excuse peu tu m expliquer comment faire pas à pas d apres ce que je comprends un autre programme c est incruste en plus de antivir car dans ajout supression programe il fait 5O mo au lieu de 21 et en plus l ajout supression de programe dans le pannau de configuration ne marche pas dessus en plus il faut m expliquer en detail car je suis vraiment nulle merci

On reste cadrés sur le scan en ligne pour le moment. Pour cela, appuie sur F8 au démarrage de l'ordinateur, une fois par seconde. ensuite choisis "mode sans échec avec prise en charge réseau" et quand windows apparait fais le scan infdiqué

bon je viens dessayer j ai mis la ligne mode sans echec comme vous me dite en sur brillance mais apres faut t il faire autre chose car il se passe rien et il mme semble avoir fait ca ailleurs et il y avait un compte à rebours pour faire le chois la il apparais pas je crois que je commence a comprendre pourquoi le type l a vendu.Je vais reessater sans illusions

Si tu n'y arrives pas poste le contenu du fichier texte C:\GenProc\outil\hijackthislog.txt

oui donc je retourne à genproc je le retelecharge s il me laisse faire je suis vraiment pas douee en plus il me dis que j ai pas assez d espace disponible sur le disque le seul truc qu on peut effacer ca serait avira mais il veu pas

il ne me laisse plus telecharger certain programes utiles comme file assassin et hijack this des que je vais sur le site trend micro par exemple et que je clique sur hijack il arrete la connexion si je vais telecharger ce programe sur un autre ordi sur une clef usb ca pourrait marcher ou pas

Bon, tu dois vraiment avoir une saleté, bien coriace. Essayons cette dernière tentative

Télécharge combofix (sUBs) http://download.bleepingcomputer.com/sUBs/ComboFix.exe] sur ton Bureau

Double clique combofix.exe et suis les instructions.

Installe la console de récupération si proposé et continue.

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

voilComboFix 09-02-28.01 - EEEPC 2009-03-01 14:13:02.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1015.651 [GMT 1:00]
Lancé depuis: c:\documents and settings\EEEPC\Bureau\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated)
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\EEEPC\Bureau\System Security.lnk
c:\documents and settings\EEEPC\Menu Démarrer\Programmes\System Security
c:\documents and settings\EEEPC\Menu Démarrer\Programmes\System Security\System Security.lnk

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-02-01 au 2009-03-01 ))))))))))))))))))))))))))))))))))))
.

2009-11-25 00:17 . 2002-01-01 01:14 <REP> d----c--- c:\windows\system32\Atheros_L2
2009-02-28 18:00 . 2009-03-01 09:17 <REP> d----c--- c:\program files\Lavasoft
2009-02-28 18:00 . 2009-03-01 09:17 <REP> d----c--- c:\documents and settings\All Users\Application Data\Lavasoft
2009-02-28 16:53 . 2009-02-28 16:57 <REP> d----c--- c:\windows\BDOSCAN8
2009-02-26 15:56 . 2009-02-26 15:56 <REP> d--h-c--- c:\windows\msdownld.tmp
2009-02-26 15:43 . 2007-04-17 10:32 2,455,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dat
2009-02-26 15:43 . 2007-03-08 06:10 1,048,576 -----c--- c:\windows\system32\dllcache\ieframe.dll.mui
2009-02-26 15:43 . 2008-12-20 23:46 459,264 -----c--- c:\windows\system32\dllcache\msfeeds.dll
2009-02-26 15:43 . 2008-12-20 23:46 383,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dll
2009-02-26 15:43 . 2008-12-20 23:46 267,776 -----c--- c:\windows\system32\dllcache\iertutil.dll
2009-02-26 15:43 . 2008-12-20 23:46 52,224 -----c--- c:\windows\system32\dllcache\msfeedsbs.dll
2009-02-26 15:43 . 2008-12-19 10:10 13,824 -----c--- c:\windows\system32\dllcache\ieudinit.exe
2009-02-26 15:42 . 2008-12-20 23:46 6,066,688 -----c--- c:\windows\system32\dllcache\ieframe.dll
2009-02-26 15:42 . 2008-12-20 23:46 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll
2009-02-26 15:42 . 2007-08-13 18:54 33,792 --a--c--- c:\windows\system32\dllcache\custsat.dll
2009-02-26 15:39 . 2009-02-26 15:39 <REP> d----c--- c:\program files\Windows Live Toolbar
2009-02-26 14:32 . 2009-02-26 14:32 <REP> d----c--- c:\program files\Yahoo!
2009-02-26 14:32 . 2009-02-26 14:32 <REP> d----c--- c:\program files\CCleaner
2009-02-26 14:32 . 2009-02-26 14:32 <REP> d----c--- c:\documents and settings\EEEPC\Application Data\Yahoo!
2009-02-26 14:32 . 2009-02-26 14:35 <REP> d----c--- c:\documents and settings\All Users\Application Data\Yahoo! Companion
2009-02-26 13:26 . 2009-02-26 13:27 <REP> d----c--- C:\GenProc
2009-02-26 08:16 . 2009-02-26 08:16 200,208 --a--c--- c:\windows\system32\vumer.dll
2009-02-25 09:52 . 2009-02-25 09:52 <REP> d----c--- c:\program files\Avira
2009-02-25 09:52 . 2009-02-25 09:52 <REP> d----c--- c:\documents and settings\All Users\Application Data\Avira
2009-02-25 09:09 . 2009-02-28 17:44 <REP> d----c--- c:\documents and settings\EEEPC\.housecall6.6
2009-02-25 09:08 . 2009-02-25 09:08 <REP> d----c--- c:\windows\Sun
2009-02-25 09:07 . 2009-02-28 17:15 410,984 --a--c--- c:\windows\system32\deploytk.dll
2009-02-25 08:35 . 2009-02-25 08:35 <REP> d----c--- c:\documents and settings\All Users\Application Data\1825537224
2009-02-25 08:05 . 2009-03-01 14:20 <REP> d----c--- c:\documents and settings\EEEPC\Tracing
2009-02-25 08:03 . 2009-02-25 08:03 <REP> d----c--- c:\program files\Windows Live SkyDrive
2009-02-24 13:50 . 2009-02-25 07:48 <REP> d----c--- c:\program files\Alice
2009-02-23 18:18 . 2009-02-23 18:18 <REP> d----c--- c:\program files\TechCity Solutions
2009-02-23 14:52 . 2009-02-23 14:52 <REP> d----c--- c:\documents and settings\EEEPC\Application Data\Malwarebytes
2009-02-23 14:52 . 2009-02-23 14:52 <REP> d----c--- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-02-23 08:32 . 2009-03-01 08:51 <REP> d----c--- c:\program files\Spybot - Search & Destroy
2009-02-23 08:32 . 2009-02-28 17:59 <REP> d----c--- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-02-22 18:37 . 2009-02-22 18:39 4,212 ---h-c--- c:\windows\system32\zllictbl.dat
2009-02-22 18:35 . 2009-02-24 14:47 <REP> d----c--- c:\windows\Internet Logs
2009-02-22 17:08 . 2003-03-18 21:20 1,060,864 --a--c--- c:\windows\system32\MFC71.dll
2009-02-22 17:07 . 2009-02-22 17:07 <REP> d----c--- c:\program files\Alwil Software
2009-02-22 09:40 . 2009-02-22 09:40 <REP> d----c--- c:\program files\Microsoft Sync Framework
2009-02-22 09:39 . 2009-02-22 09:39 <REP> d----c--- c:\program files\Microsoft SQL Server Compact Edition
2009-02-22 09:38 . 2009-02-22 09:39 <REP> d----c--- c:\program files\Windows Live
2009-02-22 09:38 . 2009-02-22 09:38 <REP> d----c--- c:\program files\Microsoft
2009-02-22 09:33 . 2009-02-22 09:33 <REP> d----c--- c:\program files\Fichiers communs\Windows Live
2009-02-20 15:53 . 2009-02-20 15:53 <REP> d----c--- c:\documents and settings\EEEPC\Application Data\AdobeUM
2009-02-06 18:52 . 2009-02-06 18:52 49,504 --a--c--- c:\windows\system32\sirenacm.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-23 17:18 --------- dc-h--w c:\program files\InstallShield Installation Information
2009-01-15 17:22 --------- dc----w c:\documents and settings\EEEPC\Application Data\Azureus
2009-01-14 01:30 --------- dc----w c:\documents and settings\All Users\Application Data\ma-config.com
2009-01-14 01:21 --------- dc----w c:\program files\Intel
2009-01-08 01:31 --------- dc----w c:\documents and settings\All Users\Application Data\NOS
2008-12-20 22:47 826,368 -c--a-w c:\windows\system32\wininet.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2006-03-03 15360]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AsusACPIServer"="c:\program files\Asus\EeePC ACPI\AsAcpiSvr.exe" [2008-03-20 544768]
"AsusTray"="c:\program files\Asus\EeePC ACPI\AsTray.exe" [2008-03-27 102400]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-22 104984]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-22 121368]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-22 100888]
"ACU"="c:\program files\Atheros\ACU.exe" [2007-05-03 376921]
"AliceSAV"="c:\program files\TechCity Solutions\AliceSAV\AliceAgent.exe" [2005-09-14 80384]
"467518897"="c:\documents and settings\All Users\Application Data\1825537224\467518897.exe" [2009-02-25 1197593]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"RTHDCPL"="RTHDCPL.EXE" [2008-03-07 c:\windows\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-03 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\adbfbdcaced]
2004-07-07 03:26 280079 c:\windows\system32\adbfbdcaced.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0aswBoot.exe /M:34449cba

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a--c--- 2008-03-07 01:14 16858112 c:\windows\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 yqfvxkza;yqfvxkza;c:\windows\system32\drivers\yqfvxkza.sys [2008-03-18 23424]
R2 SeaPort;SeaPort;c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-01-14 226656]
R3 AsusACPI;ASUS ACPI Driver;c:\windows\system32\drivers\ASUSACPI.SYS [2008-04-05 11264]
R3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver;c:\windows\system32\drivers\usb8023.sys [2008-11-30 12672]
R3 WSIMD;wsimd Service;c:\windows\system32\drivers\wsimd.sys [2002-01-01 57024]
S0 04784bb3f94c4e27cf350d599e99171e;04784bb3f94c4e27cf350d599e99171e;c:\windows\system32\04784bb3f94c4e27cf350d599e99171e.sys --> c:\windows\system32\04784bb3f94c4e27cf350d599e99171e.sys [?]
S3 AtcL002;NDIS Miniport Driver for Atheros L2 Fast Ethernet Controller;c:\windows\system32\drivers\l251x86.sys [2008-04-15 30720]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\program files\NOS\bin\getPlus_HelperSvc.exe --> c:\program files\NOS\bin\getPlus_HelperSvc.exe [?]
S3 Ktp;Elantech Smart-Pad;c:\windows\system32\drivers\ETD.sys [2008-04-07 25088]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{484ba444-ff4a-11dd-b52d-0015afa2e845}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\m.exe /s

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{927d5950-fe43-11d5-b518-002215ee08af}]
\Shell\AutoRun\command - F:\wdsync.exe
.
Contenu du dossier 'Tâches planifiées'

2009-02-28 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe []

2009-03-01 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{3D578A15-4D8E-4EF9-BC9A-70A74FAA9AB3} - c:\windows\system32\browsew.dll
Notify-dimsntfy - (no file)
MSConfigStartUp-Alcmtr - ALCMTR.EXE


.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
uInternet Connection Wizard,ShellNext = hxxp://eeepc.asus.com/global
uSearchURL,(Default) = hxxp://www.google.fr/keyword/%s
IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - hxxp://fichiers.touslesdrivers.com/fichiers/hardwaredetection/hardwaredetecti(...)
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-01 14:19:45
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
AliceSAV = c:\program files\TechCity Solutions\AliceSAV\AliceAgent.exe????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1634560575-1191945786-1831919508-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(528)
c:\windows\system32\adbfbdcaced.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\acs.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\igfxext.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-03-01 14:24:01 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-03-01 13:23:54

Avant-CF: 117 157 888 octets libres
Après-CF: 193,736,704 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP �dition familiale" /noexecute=optin /fastdetect

188 --- E O F --- 2009-02-28 08:27:35
a merci d avance

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :



Enregistre ce fichier sous le nom CFScript

Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

Une fenêtre bleue va apparaître : au message "Type 1 to continue, or 2 to abort", tape 1 puis valide.

Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal.

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher : poste son contenu.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

ComboFix 09-02-28.01 - EEEPC 2009-03-01 18:39:24.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1015.635 [GMT 1:00]
Lancé depuis: c:\documents and settings\EEEPC\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\EEEPC\Bureau\CFScript.txt
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated)
* Un nouveau point de restauration a été créé

FILE ::
c:\windows\system32\adbfbdcaced.dll
c:\windows\system32\vumer.dll
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\1825537224
c:\documents and settings\All Users\Application Data\1825537224\467518897.exe
c:\documents and settings\All Users\Application Data\1825537224\config.udb
c:\documents and settings\All Users\Application Data\1825537224\init.udb
c:\documents and settings\All Users\Application Data\1825537224\Langs.udb
c:\documents and settings\EEEPC\Bureau\System Security.lnk
c:\documents and settings\EEEPC\Menu Démarrer\Programmes\System Security
c:\documents and settings\EEEPC\Menu Démarrer\Programmes\System Security\System Security.lnk
c:\windows\system32\adbfbdcaced.dll
c:\windows\system32\vumer.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_YQFVXKZA
-------\Service_04784bb3f94c4e27cf350d599e99171e
-------\Service_yqfvxkza


((((((((((((((((((((((((((((( Fichiers créés du 2009-02-01 au 2009-03-01 ))))))))))))))))))))))))))))))))))))
.

2009-11-25 00:17 . 2002-01-01 01:14 <REP> d----c--- c:\windows\system32\Atheros_L2
2009-02-28 18:00 . 2009-03-01 09:17 <REP> d----c--- c:\program files\Lavasoft
2009-02-28 18:00 . 2009-03-01 09:17 <REP> d----c--- c:\documents and settings\All Users\Application Data\Lavasoft
2009-02-28 16:53 . 2009-02-28 16:57 <REP> d----c--- c:\windows\BDOSCAN8
2009-02-26 15:56 . 2009-02-26 15:56 <REP> d--h-c--- c:\windows\msdownld.tmp
2009-02-26 15:43 . 2007-04-17 10:32 2,455,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dat
2009-02-26 15:43 . 2007-03-08 06:10 1,048,576 -----c--- c:\windows\system32\dllcache\ieframe.dll.mui
2009-02-26 15:43 . 2008-12-20 23:46 459,264 -----c--- c:\windows\system32\dllcache\msfeeds.dll
2009-02-26 15:43 . 2008-12-20 23:46 383,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dll
2009-02-26 15:43 . 2008-12-20 23:46 267,776 -----c--- c:\windows\system32\dllcache\iertutil.dll
2009-02-26 15:43 . 2008-12-20 23:46 52,224 -----c--- c:\windows\system32\dllcache\msfeedsbs.dll
2009-02-26 15:43 . 2008-12-19 10:10 13,824 -----c--- c:\windows\system32\dllcache\ieudinit.exe
2009-02-26 15:42 . 2008-12-20 23:46 6,066,688 -----c--- c:\windows\system32\dllcache\ieframe.dll
2009-02-26 15:42 . 2008-12-20 23:46 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll
2009-02-26 15:42 . 2007-08-13 18:54 33,792 --a--c--- c:\windows\system32\dllcache\custsat.dll
2009-02-26 15:39 . 2009-02-26 15:39 <REP> d----c--- c:\program files\Windows Live Toolbar
2009-02-26 14:32 . 2009-02-26 14:32 <REP> d----c--- c:\program files\Yahoo!
2009-02-26 14:32 . 2009-02-26 14:32 <REP> d----c--- c:\program files\CCleaner
2009-02-26 14:32 . 2009-02-26 14:32 <REP> d----c--- c:\documents and settings\EEEPC\Application Data\Yahoo!
2009-02-26 14:32 . 2009-02-26 14:35 <REP> d----c--- c:\documents and settings\All Users\Application Data\Yahoo! Companion
2009-02-26 13:26 . 2009-02-26 13:27 <REP> d----c--- C:\GenProc
2009-02-25 09:52 . 2009-02-25 09:52 <REP> d----c--- c:\program files\Avira
2009-02-25 09:52 . 2009-02-25 09:52 <REP> d----c--- c:\documents and settings\All Users\Application Data\Avira
2009-02-25 09:09 . 2009-02-28 17:44 <REP> d----c--- c:\documents and settings\EEEPC\.housecall6.6
2009-02-25 09:08 . 2009-02-25 09:08 <REP> d----c--- c:\windows\Sun
2009-02-25 09:07 . 2009-02-28 17:15 410,984 --a--c--- c:\windows\system32\deploytk.dll
2009-02-25 08:05 . 2009-03-01 18:46 <REP> d----c--- c:\documents and settings\EEEPC\Tracing
2009-02-25 08:03 . 2009-02-25 08:03 <REP> d----c--- c:\program files\Windows Live SkyDrive
2009-02-24 13:50 . 2009-02-25 07:48 <REP> d----c--- c:\program files\Alice
2009-02-23 18:18 . 2009-02-23 18:18 <REP> d----c--- c:\program files\TechCity Solutions
2009-02-23 14:52 . 2009-02-23 14:52 <REP> d----c--- c:\documents and settings\EEEPC\Application Data\Malwarebytes
2009-02-23 14:52 . 2009-02-23 14:52 <REP> d----c--- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-02-23 08:32 . 2009-03-01 08:51 <REP> d----c--- c:\program files\Spybot - Search & Destroy
2009-02-23 08:32 . 2009-02-28 17:59 <REP> d----c--- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-02-22 18:37 . 2009-02-22 18:39 4,212 ---h-c--- c:\windows\system32\zllictbl.dat
2009-02-22 18:35 . 2009-02-24 14:47 <REP> d----c--- c:\windows\Internet Logs
2009-02-22 17:08 . 2003-03-18 21:20 1,060,864 --a--c--- c:\windows\system32\MFC71.dll
2009-02-22 17:07 . 2009-02-22 17:07 <REP> d----c--- c:\program files\Alwil Software
2009-02-22 09:40 . 2009-02-22 09:40 <REP> d----c--- c:\program files\Microsoft Sync Framework
2009-02-22 09:39 . 2009-02-22 09:39 <REP> d----c--- c:\program files\Microsoft SQL Server Compact Edition
2009-02-22 09:38 . 2009-02-22 09:39 <REP> d----c--- c:\program files\Windows Live
2009-02-22 09:38 . 2009-02-22 09:38 <REP> d----c--- c:\program files\Microsoft
2009-02-22 09:33 . 2009-02-22 09:33 <REP> d----c--- c:\program files\Fichiers communs\Windows Live
2009-02-20 15:53 . 2009-02-20 15:53 <REP> d----c--- c:\documents and settings\EEEPC\Application Data\AdobeUM
2009-02-06 18:52 . 2009-02-06 18:52 49,504 --a--c--- c:\windows\system32\sirenacm.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-23 17:18 --------- dc-h--w c:\program files\InstallShield Installation Information
2009-01-15 17:22 --------- dc----w c:\documents and settings\EEEPC\Application Data\Azureus
2009-01-14 01:30 --------- dc----w c:\documents and settings\All Users\Application Data\ma-config.com
2009-01-14 01:21 --------- dc----w c:\program files\Intel
2009-01-08 01:31 --------- dc----w c:\documents and settings\All Users\Application Data\NOS
2008-12-20 22:47 826,368 -c--a-w c:\windows\system32\wininet.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3D578A15-4D8E-4EF9-BC9A-70A74FAA9AB3}]
c:\windows\system32\browsew.dll [BU]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2006-03-03 15360]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AsusACPIServer"="c:\program files\Asus\EeePC ACPI\AsAcpiSvr.exe" [2008-03-20 544768]
"AsusTray"="c:\program files\Asus\EeePC ACPI\AsTray.exe" [2008-03-27 102400]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-22 104984]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-22 121368]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-22 100888]
"ACU"="c:\program files\Atheros\ACU.exe" [2007-05-03 376921]
"AliceSAV"="c:\program files\TechCity Solutions\AliceSAV\AliceAgent.exe" [2005-09-14 80384]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"RTHDCPL"="RTHDCPL.EXE" [2008-03-07 c:\windows\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-03 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0aswBoot.exe /M:34449cba

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a--c--- 2008-03-07 01:14 16858112 c:\windows\RTHDCPL.EXE

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 yqfvxkza;yqfvxkza;c:\windows\system32\drivers\yqfvxkza.sys [2008-03-18 23424]
R2 SeaPort;SeaPort;c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-01-14 226656]
R3 AsusACPI;ASUS ACPI Driver;c:\windows\system32\drivers\ASUSACPI.SYS [2008-04-05 11264]
R3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver;c:\windows\system32\drivers\usb8023.sys [2008-11-30 12672]
R3 WSIMD;wsimd Service;c:\windows\system32\drivers\wsimd.sys [2002-01-01 57024]
S3 AtcL002;NDIS Miniport Driver for Atheros L2 Fast Ethernet Controller;c:\windows\system32\drivers\l251x86.sys [2008-04-15 30720]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\program files\NOS\bin\getPlus_HelperSvc.exe --> c:\program files\NOS\bin\getPlus_HelperSvc.exe [?]
S3 Ktp;Elantech Smart-Pad;c:\windows\system32\drivers\ETD.sys [2008-04-07 25088]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - YQFVXKZA

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{484ba444-ff4a-11dd-b52d-0015afa2e845}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\m.exe /s

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{927d5950-fe43-11d5-b518-002215ee08af}]
\Shell\AutoRun\command - F:\wdsync.exe
.
Contenu du dossier 'Tâches planifiées'

2009-02-28 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe []

2009-03-01 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
uInternet Connection Wizard,ShellNext = hxxp://eeepc.asus.com/global
uSearchURL,(Default) = hxxp://www.google.fr/keyword/%s
IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - hxxp://fichiers.touslesdrivers.com/fichiers/hardwaredetection/hardwaredetecti(...)
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-01 18:46:44
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
AliceSAV = c:\program files\TechCity Solutions\AliceSAV\AliceAgent.exe????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1634560575-1191945786-1831919508-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\acs.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\igfxext.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-03-01 18:50:19 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-03-01 17:50:11
ComboFix2.txt 2009-03-01 13:24:05

Avant-CF: 163 364 864 octets libres
Après-CF: 186,130,432 octets libres

187 --- E O F --- 2009-02-28 08:27:35

refais la même manip que précédemment mais avec le script ci-dessous :

bon voila j ai fait mais au bout d un moment le scan c est stoppe et ça m a dit:stop c 000021 a unknow hard error et dessous unknow hard error j ai du eteindre puis rallumer je precise que l icone system security et la fenetre de scan system security a disparu deja avant cette auperation avortee et que pendant ce scan et l autre antivir detecter un trojan ou virus mais chaque fois j ai appuyer sur ignorer pour laisser finir le scan a bien l icone praplui dans la barre de tache c est reouverte et elle ne part plus quand on approche la souris mais par contre je vois que le programe quand je vais à ajout supression programe pese toujours 50 et quelque mo alors qu il est cense n en faire que 21

ce problème de taille de programme est secondaire, dans l'immédiat ce qui compte c'est d'être certain de se débarrasser des malwares

ce driver c:\windows\system32\drivers\yqfvxkza.sys est hautement suspect, je veux m'assurer qu'il n'existe plus, pour cela poste un nouveau rapport combofix (sans utiliser de script, donc)

ComboFix 09-02-28.01 - EEEPC 2009-03-01 21:15:01.4 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1015.663 [GMT 1:00]
Lancé depuis: c:\documents and settings\EEEPC\Bureau\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Outdated)
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_YQFVXKZA
-------\Service_yqfvxkza


((((((((((((((((((((((((((((( Fichiers créés du 2009-02-01 au 2009-03-01 ))))))))))))))))))))))))))))))))))))
.

2009-11-25 00:17 . 2002-01-01 01:14 <REP> d----c--- c:\windows\system32\Atheros_L2
2009-02-28 18:00 . 2009-03-01 09:17 <REP> d----c--- c:\program files\Lavasoft
2009-02-28 18:00 . 2009-03-01 09:17 <REP> d----c--- c:\documents and settings\All Users\Application Data\Lavasoft
2009-02-28 16:53 . 2009-02-28 16:57 <REP> d----c--- c:\windows\BDOSCAN8
2009-02-26 15:56 . 2009-02-26 15:56 <REP> d--h-c--- c:\windows\msdownld.tmp
2009-02-26 15:43 . 2007-04-17 10:32 2,455,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dat
2009-02-26 15:43 . 2007-03-08 06:10 1,048,576 -----c--- c:\windows\system32\dllcache\ieframe.dll.mui
2009-02-26 15:43 . 2008-12-20 23:46 459,264 -----c--- c:\windows\system32\dllcache\msfeeds.dll
2009-02-26 15:43 . 2008-12-20 23:46 383,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dll
2009-02-26 15:43 . 2008-12-20 23:46 267,776 -----c--- c:\windows\system32\dllcache\iertutil.dll
2009-02-26 15:43 . 2008-12-20 23:46 52,224 -----c--- c:\windows\system32\dllcache\msfeedsbs.dll
2009-02-26 15:43 . 2008-12-19 10:10 13,824 -----c--- c:\windows\system32\dllcache\ieudinit.exe
2009-02-26 15:42 . 2008-12-20 23:46 6,066,688 -----c--- c:\windows\system32\dllcache\ieframe.dll
2009-02-26 15:42 . 2008-12-20 23:46 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll
2009-02-26 15:42 . 2007-08-13 18:54 33,792 --a--c--- c:\windows\system32\dllcache\custsat.dll
2009-02-26 15:39 . 2009-02-26 15:39 <REP> d----c--- c:\program files\Windows Live Toolbar
2009-02-26 14:32 . 2009-02-26 14:32 <REP> d----c--- c:\program files\Yahoo!
2009-02-26 14:32 . 2009-02-26 14:32 <REP> d----c--- c:\program files\CCleaner
2009-02-26 14:32 . 2009-02-26 14:32 <REP> d----c--- c:\documents and settings\EEEPC\Application Data\Yahoo!
2009-02-26 14:32 . 2009-02-26 14:35 <REP> d----c--- c:\documents and settings\All Users\Application Data\Yahoo! Companion
2009-02-26 13:26 . 2009-02-26 13:27 <REP> d----c--- C:\GenProc
2009-02-25 09:52 . 2009-02-25 09:52 <REP> d----c--- c:\program files\Avira
2009-02-25 09:52 . 2009-02-25 09:52 <REP> d----c--- c:\documents and settings\All Users\Application Data\Avira
2009-02-25 09:09 . 2009-02-28 17:44 <REP> d----c--- c:\documents and settings\EEEPC\.housecall6.6
2009-02-25 09:08 . 2009-02-25 09:08 <REP> d----c--- c:\windows\Sun
2009-02-25 09:07 . 2009-02-28 17:15 410,984 --a--c--- c:\windows\system32\deploytk.dll
2009-02-25 08:05 . 2009-03-01 21:21 <REP> d----c--- c:\documents and settings\EEEPC\Tracing
2009-02-25 08:03 . 2009-02-25 08:03 <REP> d----c--- c:\program files\Windows Live SkyDrive
2009-02-24 13:50 . 2009-02-25 07:48 <REP> d----c--- c:\program files\Alice
2009-02-23 18:18 . 2009-02-23 18:18 <REP> d----c--- c:\program files\TechCity Solutions
2009-02-23 14:52 . 2009-02-23 14:52 <REP> d----c--- c:\documents and settings\EEEPC\Application Data\Malwarebytes
2009-02-23 14:52 . 2009-02-23 14:52 <REP> d----c--- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-02-23 08:32 . 2009-03-01 08:51 <REP> d----c--- c:\program files\Spybot - Search & Destroy
2009-02-23 08:32 . 2009-02-28 17:59 <REP> d----c--- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-02-22 18:37 . 2009-02-22 18:39 4,212 ---h-c--- c:\windows\system32\zllictbl.dat
2009-02-22 18:35 . 2009-02-24 14:47 <REP> d----c--- c:\windows\Internet Logs
2009-02-22 17:08 . 2003-03-18 21:20 1,060,864 --a--c--- c:\windows\system32\MFC71.dll
2009-02-22 17:07 . 2009-02-22 17:07 <REP> d----c--- c:\program files\Alwil Software
2009-02-22 09:40 . 2009-02-22 09:40 <REP> d----c--- c:\program files\Microsoft Sync Framework
2009-02-22 09:39 . 2009-02-22 09:39 <REP> d----c--- c:\program files\Microsoft SQL Server Compact Edition
2009-02-22 09:38 . 2009-02-22 09:39 <REP> d----c--- c:\program files\Windows Live
2009-02-22 09:38 . 2009-02-22 09:38 <REP> d----c--- c:\program files\Microsoft
2009-02-22 09:33 . 2009-02-22 09:33 <REP> d----c--- c:\program files\Fichiers communs\Windows Live
2009-02-20 15:53 . 2009-02-20 15:53 <REP> d----c--- c:\documents and settings\EEEPC\Application Data\AdobeUM
2009-02-06 18:52 . 2009-02-06 18:52 49,504 --a--c--- c:\windows\system32\sirenacm.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-01 18:16 23,424 -c--a-w c:\windows\system32\drivers\lfptalbf.sys
2009-02-23 17:18 --------- dc-h--w c:\program files\InstallShield Installation Information
2009-01-15 17:22 --------- dc----w c:\documents and settings\EEEPC\Application Data\Azureus
2009-01-14 01:30 --------- dc----w c:\documents and settings\All Users\Application Data\ma-config.com
2009-01-14 01:21 --------- dc----w c:\program files\Intel
2009-01-08 01:31 --------- dc----w c:\documents and settings\All Users\Application Data\NOS
2008-12-20 22:47 826,368 -c--a-w c:\windows\system32\wininet.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3D578A15-4D8E-4EF9-BC9A-70A74FAA9AB3}]
c:\windows\system32\browsew.dll [BU]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2006-03-03 15360]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AsusACPIServer"="c:\program files\Asus\EeePC ACPI\AsAcpiSvr.exe" [2008-03-20 544768]
"AsusTray"="c:\program files\Asus\EeePC ACPI\AsTray.exe" [2008-03-27 102400]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-22 104984]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-22 121368]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-22 100888]
"ACU"="c:\program files\Atheros\ACU.exe" [2007-05-03 376921]
"AliceSAV"="c:\program files\TechCity Solutions\AliceSAV\AliceAgent.exe" [2005-09-14 80384]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"RTHDCPL"="RTHDCPL.EXE" [2008-03-07 c:\windows\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-03 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0aswBoot.exe /M:34449cba

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a--c--- 2008-03-07 01:14 16858112 c:\windows\RTHDCPL.EXE

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 yqfvxkza;yqfvxkza;c:\windows\system32\drivers\yqfvxkza.sys [2008-03-18 23424]
R2 SeaPort;SeaPort;c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-01-14 226656]
R3 AsusACPI;ASUS ACPI Driver;c:\windows\system32\drivers\ASUSACPI.SYS [2008-04-05 11264]
R3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver;c:\windows\system32\drivers\usb8023.sys [2008-11-30 12672]
R3 WSIMD;wsimd Service;c:\windows\system32\drivers\wsimd.sys [2002-01-01 57024]
S3 AtcL002;NDIS Miniport Driver for Atheros L2 Fast Ethernet Controller;c:\windows\system32\drivers\l251x86.sys [2008-04-15 30720]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\program files\NOS\bin\getPlus_HelperSvc.exe --> c:\program files\NOS\bin\getPlus_HelperSvc.exe [?]
S3 Ktp;Elantech Smart-Pad;c:\windows\system32\drivers\ETD.sys [2008-04-07 25088]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - YQFVXKZA

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{484ba444-ff4a-11dd-b52d-0015afa2e845}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\m.exe /s

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{927d5950-fe43-11d5-b518-002215ee08af}]
\Shell\AutoRun\command - F:\wdsync.exe
.
Contenu du dossier 'Tâches planifiées'

2009-02-28 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe []

2009-03-01 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
uInternet Connection Wizard,ShellNext = hxxp://eeepc.asus.com/global
uSearchURL,(Default) = hxxp://www.google.fr/keyword/%s
IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - hxxp://fichiers.touslesdrivers.com/fichiers/hardwaredetection/hardwaredetecti(...)
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-01 21:21:33
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
AliceSAV = c:\program files\TechCity Solutions\AliceSAV\AliceAgent.exe????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1634560575-1191945786-1831919508-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\acs.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\igfxext.exe
.
**************************************************************************
.
Heure de fin: 2009-03-01 21:24:36 - La machine a redémarré [EEEPC]
ComboFix-quarantined-files.txt 2009-03-01 20:24:28
ComboFix2.txt 2009-03-01 17:50:22
ComboFix3.txt 2009-03-01 13:24:05

Avant-CF: 161,337,344 octets libres
Après-CF: 169,394,176 octets libres

173 --- E O F --- 2009-02-28 08:27:35

Vas sur ce site http://www.virustotal.com/fr/
Colle dans la case à gauche de "parcourir" :
c:\windows\system32\drivers\yqfvxkza.sys
clique ensuite sur "Envoyer le fichier" puis patiente jusqu'à apparition du message "Situation actuelle: terminé " ; copie alors le rapport dans ta réponse.

c:\windows\system32\drivers\yqfvxkza.sys

Suomi | ihMdI | | עברית | | Slovenščina | Dansk | Русский | Română | Türkçe | Nederlands | Ελληνικά | Svenska | Português | Italiano | | | Magyar | Deutsch | Česky | Polski | Español | English
Virustotal est un service qui analyse les fichiers suspects et facilite la détection rapide des virus, vers, chevaux de Troie et toutes sortes de malwares détectés par les moteurs antivirus. Plus d'informations...
Fichier yqfvxkza.sys_ reçu le 2009.03.01 21:47:49 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 2/39 (5.13%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:


Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.03.01 -
AhnLab-V3 5.0.0.2 2009.02.27 -
AntiVir 7.9.0.98 2009.03.01 TR/Trash.Gen
Authentium 5.1.0.4 2009.03.01 -
Avast 4.8.1335.0 2009.02.28 -
AVG 8.0.0.237 2009.03.01 -
BitDefender 7.2 2009.03.01 -
CAT-QuickHeal 10.00 2009.02.28 -
ClamAV 0.94.1 2009.03.01 -
Comodo 986 2009.02.20 -
DrWeb 4.44.0.09170 2009.03.01 -
eSafe 7.0.17.0 2009.02.26 -
eTrust-Vet 31.6.6378 2009.03.01 -
F-Prot 4.4.4.56 2009.03.01 -
F-Secure 8.0.14470.0 2009.03.01 -
Fortinet 3.117.0.0 2009.03.01 -
GData 19 2009.03.01 -
Ikarus T3.1.1.45.0 2009.03.01 -
K7AntiVirus 7.10.649 2009.02.27 -
Kaspersky 7.0.0.125 2009.03.01 -
McAfee 5540 2009.03.01 -
McAfee+Artemis 5540 2009.03.01 -
Microsoft 1.4306 2009.03.01 -
NOD32 3897 2009.02.28 -
Norman 6.00.06 2009.02.27 -
nProtect 2009.1.8.0 2009.03.01 -
Panda 10.0.0.10 2009.03.01 -
PCTools 4.4.2.0 2009.03.01 -
Prevx1 V2 2009.03.01 -
Rising 21.18.62.00 2009.03.01 -
SecureWeb-Gateway 6.7.6 2009.03.01 Trojan.Trash.Gen
Sophos 4.39.0 2009.03.01 -
Sunbelt 3.2.1858.2 2009.02.28 -
Symantec 10 2009.03.01 -
TheHacker 6.3.2.6.268 2009.03.01 -
TrendMicro 8.700.0.1004 2009.03.01 -
VBA32 3.12.10.1 2009.03.01 -
ViRobot 2009.2.28.1628 2009.02.28 -
VirusBuster 4.5.11.0 2009.03.01 -
Information additionnelle
File size: 23424 bytes
MD5...: 658e03fe0b8303169a5f4e59950df517
SHA1..: 4eb69f72d832c40271adb6a69ff57f2923cb3d3f
SHA256: b052cd6823964139b32abb5dbff299e5968350430b09e36cb10cf5377eb261dc
SHA512: 43ab2820e09bea4c93178bb1a5c9460b723449cf9cab01cd782588a859224eaa
9e457daa402a26c09284191ed0382f2223555cb920af1570347c4f7e393bd796
ssdeep: 384:azGWBkWG81BfZQV4GEun8No42esxCf2ORYOJL7npzGm6sD/G9l560X0RL8mW
BkW:w0jeGEbYmejS6l5F/

PEiD..: -
TrID..: File type identification
Autodesk FLIC Image File (extensions: flc, fli, cel) (100.0%)
PEInfo: -


ATTENTION: VirusTotal est un service gratuit offert par Hispasec Sistemas. Il n'y a aucune garantie quant à la disponibilité et la continuité de ce service. Bien que le taux de détection permis par l'utilisation de multiples moteurs antivirus soit bien supérieur à celui offert par seulement un produit, ces résultats NE garantissent PAS qu'un fichier est sans danger. Il n'y a actuellement aucune solution qui offre un taux d'efficacité de 100% pour la détection des virus et malwares.

VirusTotal © Hispasec Sistemas - Blog - Contact: info@virustotal.com - Terms of Service & Privacy Policy

On va faire autrement, combofix ne semble pas pouvoir le supprimer.

Télécharge The Avenger ici http://swandog46.geekstogo.com/avenger2/download.php et dézippe-le sur ton bureau.
Lance le fichier avenger.exe, valide le message d'accueil par OK et copie les lignes de la citation suivante, d'un trait, dans le cadre "input Script here" :



--> Clique ensuite sur "Execute", puis accepte de redémarrer ton pc
Après le redémarrage, un rapport devrait apparaitre (sinon ouvre le fichier C:\avenger.txt) et copie/colle son contenu ici, ainsi qu'un nouveau Log combofix

ComboFix 09-02-28.01 - EEEPC 2009-03-01 22:24:40.5 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1015.667 [GMT 1:00]
Lancé depuis: c:\documents and settings\EEEPC\Bureau\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Outdated)
.

((((((((((((((((((((((((((((( Fichiers créés du 2009-02-01 au 2009-03-01 ))))))))))))))))))))))))))))))))))))
.

2009-11-25 00:17 . 2002-01-01 01:14 <REP> d----c--- c:\windows\system32\Atheros_L2
2009-02-28 18:00 . 2009-03-01 09:17 <REP> d----c--- c:\program files\Lavasoft
2009-02-28 18:00 . 2009-03-01 09:17 <REP> d----c--- c:\documents and settings\All Users\Application Data\Lavasoft
2009-02-28 16:53 . 2009-02-28 16:57 <REP> d----c--- c:\windows\BDOSCAN8
2009-02-26 15:56 . 2009-02-26 15:56 <REP> d--h-c--- c:\windows\msdownld.tmp
2009-02-26 15:43 . 2007-04-17 10:32 2,455,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dat
2009-02-26 15:43 . 2007-03-08 06:10 1,048,576 -----c--- c:\windows\system32\dllcache\ieframe.dll.mui
2009-02-26 15:43 . 2008-12-20 23:46 459,264 -----c--- c:\windows\system32\dllcache\msfeeds.dll
2009-02-26 15:43 . 2008-12-20 23:46 383,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dll
2009-02-26 15:43 . 2008-12-20 23:46 267,776 -----c--- c:\windows\system32\dllcache\iertutil.dll
2009-02-26 15:43 . 2008-12-20 23:46 52,224 -----c--- c:\windows\system32\dllcache\msfeedsbs.dll
2009-02-26 15:43 . 2008-12-19 10:10 13,824 -----c--- c:\windows\system32\dllcache\ieudinit.exe
2009-02-26 15:42 . 2008-12-20 23:46 6,066,688 -----c--- c:\windows\system32\dllcache\ieframe.dll
2009-02-26 15:42 . 2008-12-20 23:46 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll
2009-02-26 15:42 . 2007-08-13 18:54 33,792 --a--c--- c:\windows\system32\dllcache\custsat.dll
2009-02-26 15:39 . 2009-02-26 15:39 <REP> d----c--- c:\program files\Windows Live Toolbar
2009-02-26 14:32 . 2009-02-26 14:32 <REP> d----c--- c:\program files\Yahoo!
2009-02-26 14:32 . 2009-02-26 14:32 <REP> d----c--- c:\program files\CCleaner
2009-02-26 14:32 . 2009-02-26 14:32 <REP> d----c--- c:\documents and settings\EEEPC\Application Data\Yahoo!
2009-02-26 14:32 . 2009-02-26 14:35 <REP> d----c--- c:\documents and settings\All Users\Application Data\Yahoo! Companion
2009-02-26 13:26 . 2009-02-26 13:27 <REP> d----c--- C:\GenProc
2009-02-25 09:52 . 2009-02-25 09:52 <REP> d----c--- c:\program files\Avira
2009-02-25 09:52 . 2009-02-25 09:52 <REP> d----c--- c:\documents and settings\All Users\Application Data\Avira
2009-02-25 09:09 . 2009-02-28 17:44 <REP> d----c--- c:\documents and settings\EEEPC\.housecall6.6
2009-02-25 09:08 . 2009-02-25 09:08 <REP> d----c--- c:\windows\Sun
2009-02-25 09:07 . 2009-02-28 17:15 410,984 --a--c--- c:\windows\system32\deploytk.dll
2009-02-25 08:05 . 2009-03-01 22:20 <REP> d----c--- c:\documents and settings\EEEPC\Tracing
2009-02-25 08:03 . 2009-02-25 08:03 <REP> d----c--- c:\program files\Windows Live SkyDrive
2009-02-24 13:50 . 2009-02-25 07:48 <REP> d----c--- c:\program files\Alice
2009-02-23 18:18 . 2009-02-23 18:18 <REP> d----c--- c:\program files\TechCity Solutions
2009-02-23 14:52 . 2009-02-23 14:52 <REP> d----c--- c:\documents and settings\EEEPC\Application Data\Malwarebytes
2009-02-23 14:52 . 2009-02-23 14:52 <REP> d----c--- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-02-23 08:32 . 2009-03-01 08:51 <REP> d----c--- c:\program files\Spybot - Search & Destroy
2009-02-23 08:32 . 2009-02-28 17:59 <REP> d----c--- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-02-22 18:37 . 2009-02-22 18:39 4,212 ---h-c--- c:\windows\system32\zllictbl.dat
2009-02-22 18:35 . 2009-02-24 14:47 <REP> d----c--- c:\windows\Internet Logs
2009-02-22 17:08 . 2003-03-18 21:20 1,060,864 --a--c--- c:\windows\system32\MFC71.dll
2009-02-22 17:07 . 2009-02-22 17:07 <REP> d----c--- c:\program files\Alwil Software
2009-02-22 09:40 . 2009-02-22 09:40 <REP> d----c--- c:\program files\Microsoft Sync Framework
2009-02-22 09:39 . 2009-02-22 09:39 <REP> d----c--- c:\program files\Microsoft SQL Server Compact Edition
2009-02-22 09:38 . 2009-02-22 09:39 <REP> d----c--- c:\program files\Windows Live
2009-02-22 09:38 . 2009-02-22 09:38 <REP> d----c--- c:\program files\Microsoft
2009-02-22 09:33 . 2009-02-22 09:33 <REP> d----c--- c:\program files\Fichiers communs\Windows Live
2009-02-20 15:53 . 2009-02-20 15:53 <REP> d----c--- c:\documents and settings\EEEPC\Application Data\AdobeUM
2009-02-06 18:52 . 2009-02-06 18:52 49,504 --a--c--- c:\windows\system32\sirenacm.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-01 18:16 23,424 -c--a-w c:\windows\system32\drivers\lfptalbf.sys
2009-02-23 17:18 --------- dc-h--w c:\program files\InstallShield Installation Information
2009-01-15 17:22 --------- dc----w c:\documents and settings\EEEPC\Application Data\Azureus
2009-01-14 01:30 --------- dc----w c:\documents and settings\All Users\Application Data\ma-config.com
2009-01-14 01:21 --------- dc----w c:\program files\Intel
2009-01-08 01:31 --------- dc----w c:\documents and settings\All Users\Application Data\NOS
2008-12-20 22:47 826,368 -c--a-w c:\windows\system32\wininet.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3D578A15-4D8E-4EF9-BC9A-70A74FAA9AB3}]
c:\windows\system32\browsew.dll [BU]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2006-03-03 15360]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AsusACPIServer"="c:\program files\Asus\EeePC ACPI\AsAcpiSvr.exe" [2008-03-20 544768]
"AsusTray"="c:\program files\Asus\EeePC ACPI\AsTray.exe" [2008-03-27 102400]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-22 104984]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-22 121368]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-22 100888]
"ACU"="c:\program files\Atheros\ACU.exe" [2007-05-03 376921]
"AliceSAV"="c:\program files\TechCity Solutions\AliceSAV\AliceAgent.exe" [2005-09-14 80384]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"RTHDCPL"="RTHDCPL.EXE" [2008-03-07 c:\windows\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-03 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0aswBoot.exe /M:34449cba

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a--c--- 2008-03-07 01:14 16858112 c:\windows\RTHDCPL.EXE

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R2 SeaPort;SeaPort;c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-01-14 226656]
R3 AsusACPI;ASUS ACPI Driver;c:\windows\system32\drivers\ASUSACPI.SYS [2008-04-05 11264]
R3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver;c:\windows\system32\drivers\usb8023.sys [2008-11-30 12672]
R3 WSIMD;wsimd Service;c:\windows\system32\drivers\wsimd.sys [2002-01-01 57024]
S3 AtcL002;NDIS Miniport Driver for Atheros L2 Fast Ethernet Controller;c:\windows\system32\drivers\l251x86.sys [2008-04-15 30720]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\program files\NOS\bin\getPlus_HelperSvc.exe --> c:\program files\NOS\bin\getPlus_HelperSvc.exe [?]
S3 Ktp;Elantech Smart-Pad;c:\windows\system32\drivers\ETD.sys [2008-04-07 25088]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{484ba444-ff4a-11dd-b52d-0015afa2e845}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\m.exe /s

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{927d5950-fe43-11d5-b518-002215ee08af}]
\Shell\AutoRun\command - F:\wdsync.exe
.
Contenu du dossier 'Tâches planifiées'

2009-02-28 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe []

2009-03-01 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
uInternet Connection Wizard,ShellNext = hxxp://eeepc.asus.com/global
uSearchURL,(Default) = hxxp://www.google.fr/keyword/%s
IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - hxxp://fichiers.touslesdrivers.com/fichiers/hardwaredetection/hardwaredetecti(...)
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-01 22:26:39
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
AliceSAV = c:\program files\TechCity Solutions\AliceSAV\AliceAgent.exe????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1634560575-1191945786-1831919508-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
Heure de fin: 2009-03-01 22:29:13
ComboFix-quarantined-files.txt 2009-03-01 21:29:10
ComboFix2.txt 2009-03-01 20:24:39
ComboFix3.txt 2009-03-01 17:50:22
ComboFix4.txt 2009-03-01 13:24:05

Avant-CF: 160 886 784 octets libres
Après-CF: 148,234,240 octets libres

153 --- E O F --- 2009-02-28 08:27:35
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "yqfvxkza" deleted successfully.
File "c:\windows\system32\drivers\yqfvxkza.sys" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Sur virustotal : c:\windows\system32\drivers\lfptalbf.sys

Suomi | ihMdI | | עברית | | Slovenščina | Dansk | Русский | Română | Türkçe | Nederlands | Ελληνικά | Svenska | Português | Italiano | | | Magyar | Deutsch | Česky | Polski | Español | English
Virustotal est un service qui analyse les fichiers suspects et facilite la détection rapide des virus, vers, chevaux de Troie et toutes sortes de malwares détectés par les moteurs antivirus. Plus d'informations...
Fichier lfptalbf.sys_ reçu le 2009.03.01 22:59:47 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 2/39 (5.13%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 42 et 60 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:


Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.03.01 -
AhnLab-V3 5.0.0.2 2009.02.27 -
AntiVir 7.9.0.98 2009.03.01 TR/Trash.Gen
Authentium 5.1.0.4 2009.03.01 -
Avast 4.8.1335.0 2009.02.28 -
AVG 8.0.0.237 2009.03.01 -
BitDefender 7.2 2009.03.01 -
CAT-QuickHeal 10.00 2009.02.28 -
ClamAV 0.94.1 2009.03.01 -
Comodo 986 2009.02.20 -
DrWeb 4.44.0.09170 2009.03.01 -
eSafe 7.0.17.0 2009.02.26 -
eTrust-Vet 31.6.6378 2009.03.01 -
F-Prot 4.4.4.56 2009.03.01 -
F-Secure 8.0.14470.0 2009.03.01 -
Fortinet 3.117.0.0 2009.03.01 -
GData 19 2009.03.01 -
Ikarus T3.1.1.45.0 2009.03.01 -
K7AntiVirus 7.10.649 2009.02.27 -
Kaspersky 7.0.0.125 2009.03.01 -
McAfee 5540 2009.03.01 -
McAfee+Artemis 5540 2009.03.01 -
Microsoft 1.4306 2009.03.01 -
NOD32 3898 2009.03.01 -
Norman 6.00.06 2009.02.27 -
nProtect 2009.1.8.0 2009.03.01 -
Panda 10.0.0.10 2009.03.01 -
PCTools 4.4.2.0 2009.03.01 -
Prevx1 V2 2009.03.01 -
Rising 21.18.62.00 2009.03.01 -
SecureWeb-Gateway 6.7.6 2009.03.01 Trojan.Trash.Gen
Sophos 4.39.0 2009.03.01 -
Sunbelt 3.2.1858.2 2009.02.28 -
Symantec 10 2009.03.01 -
TheHacker 6.3.2.6.268 2009.03.01 -
TrendMicro 8.700.0.1004 2009.03.01 -
VBA32 3.12.10.1 2009.03.01 -
ViRobot 2009.2.28.1628 2009.02.28 -
VirusBuster 4.5.11.0 2009.03.01 -
Information additionnelle
File size: 23424 bytes
MD5...: 658e03fe0b8303169a5f4e59950df517
SHA1..: 4eb69f72d832c40271adb6a69ff57f2923cb3d3f
SHA256: b052cd6823964139b32abb5dbff299e5968350430b09e36cb10cf5377eb261dc
SHA512: 43ab2820e09bea4c93178bb1a5c9460b723449cf9cab01cd782588a859224eaa
9e457daa402a26c09284191ed0382f2223555cb920af1570347c4f7e393bd796
ssdeep: 384:azGWBkWG81BfZQV4GEun8No42esxCf2ORYOJL7npzGm6sD/G9l560X0RL8mW
BkW:w0jeGEbYmejS6l5F/

PEiD..: -
TrID..: File type identification
Autodesk FLIC Image File (extensions: flc, fli, cel) (100.0%)
PEInfo: -


ATTENTION: VirusTotal est un service gratuit offert par Hispasec Sistemas. Il n'y a aucune garantie quant à la disponibilité et la continuité de ce service. Bien que le taux de détection permis par l'utilisation de multiples moteurs antivirus soit bien supérieur à celui offert par seulement un produit, ces résultats NE garantissent PAS qu'un fichier est sans danger. Il n'y a actuellement aucune solution qui offre un taux d'efficacité de 100% pour la détection des virus et malwares.

VirusTotal © Hispasec Sistemas - Blog - Contact: info@virustotal.com - Terms of Service & Privacy Policy

ça a l'air d'être le même gabarit que le précédent, on va donc lui réserver le même sort. Script avenger :



puis poste le rapport avenger et un nouveau combofix, en espérant que ce soient les derniers

Comment tu as fait pour ramasser toutes ces saletés ?

mon écran est maintenant tout bleu et rien ne se passe...
L'ordinateur refuse aussi de s'éteindre

L'ordinateur refuse aussi de s'éteindre

càd ?

bon voila ce matin j ai reussis à rallumer a l intuition on va dire car mon surnon je le porte bien bon voiciComboFix 09-02-28.01 - EEEPC 2009-03-02 7:41:46.7 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1015.652 [GMT 1:00]
Lancé depuis: c:\documents and settings\EEEPC\Bureau\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Outdated)
.

((((((((((((((((((((((((((((( Fichiers créés du 2009-02-02 au 2009-03-02 ))))))))))))))))))))))))))))))))))))
.

2009-11-25 00:17 . 2002-01-01 01:14 <REP> d----c--- c:\windows\system32\Atheros_L2
2009-02-28 18:00 . 2009-03-01 09:17 <REP> d----c--- c:\program files\Lavasoft
2009-02-28 18:00 . 2009-03-01 09:17 <REP> d----c--- c:\documents and settings\All Users\Application Data\Lavasoft
2009-02-28 16:53 . 2009-02-28 16:57 <REP> d----c--- c:\windows\BDOSCAN8
2009-02-26 15:56 . 2009-02-26 15:56 <REP> d--h-c--- c:\windows\msdownld.tmp
2009-02-26 15:43 . 2007-04-17 10:32 2,455,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dat
2009-02-26 15:43 . 2007-03-08 06:10 1,048,576 -----c--- c:\windows\system32\dllcache\ieframe.dll.mui
2009-02-26 15:43 . 2008-12-20 23:46 459,264 -----c--- c:\windows\system32\dllcache\msfeeds.dll
2009-02-26 15:43 . 2008-12-20 23:46 383,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dll
2009-02-26 15:43 . 2008-12-20 23:46 267,776 -----c--- c:\windows\system32\dllcache\iertutil.dll
2009-02-26 15:43 . 2008-12-20 23:46 52,224 -----c--- c:\windows\system32\dllcache\msfeedsbs.dll
2009-02-26 15:43 . 2008-12-19 10:10 13,824 -----c--- c:\windows\system32\dllcache\ieudinit.exe
2009-02-26 15:42 . 2008-12-20 23:46 6,066,688 -----c--- c:\windows\system32\dllcache\ieframe.dll
2009-02-26 15:42 . 2008-12-20 23:46 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll
2009-02-26 15:42 . 2007-08-13 18:54 33,792 --a--c--- c:\windows\system32\dllcache\custsat.dll
2009-02-26 15:39 . 2009-02-26 15:39 <REP> d----c--- c:\program files\Windows Live Toolbar
2009-02-26 14:32 . 2009-02-26 14:32 <REP> d----c--- c:\program files\Yahoo!
2009-02-26 14:32 . 2009-02-26 14:32 <REP> d----c--- c:\program files\CCleaner
2009-02-26 14:32 . 2009-02-26 14:32 <REP> d----c--- c:\documents and settings\EEEPC\Application Data\Yahoo!
2009-02-26 14:32 . 2009-02-26 14:35 <REP> d----c--- c:\documents and settings\All Users\Application Data\Yahoo! Companion
2009-02-26 13:26 . 2009-02-26 13:27 <REP> d----c--- C:\GenProc
2009-02-25 09:52 . 2009-02-25 09:52 <REP> d----c--- c:\program files\Avira
2009-02-25 09:52 . 2009-02-25 09:52 <REP> d----c--- c:\documents and settings\All Users\Application Data\Avira
2009-02-25 09:09 . 2009-02-28 17:44 <REP> d----c--- c:\documents and settings\EEEPC\.housecall6.6
2009-02-25 09:08 . 2009-02-25 09:08 <REP> d----c--- c:\windows\Sun
2009-02-25 09:07 . 2009-02-28 17:15 410,984 --a--c--- c:\windows\system32\deploytk.dll
2009-02-25 08:05 . 2002-01-01 00:02 <REP> d----c--- c:\documents and settings\EEEPC\Tracing
2009-02-25 08:03 . 2009-02-25 08:03 <REP> d----c--- c:\program files\Windows Live SkyDrive
2009-02-24 13:50 . 2009-02-25 07:48 <REP> d----c--- c:\program files\Alice
2009-02-23 18:18 . 2009-02-23 18:18 <REP> d----c--- c:\program files\TechCity Solutions
2009-02-23 14:52 . 2009-02-23 14:52 <REP> d----c--- c:\documents and settings\EEEPC\Application Data\Malwarebytes
2009-02-23 14:52 . 2009-02-23 14:52 <REP> d----c--- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-02-23 08:32 . 2009-03-01 08:51 <REP> d----c--- c:\program files\Spybot - Search & Destroy
2009-02-23 08:32 . 2009-02-28 17:59 <REP> d----c--- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-02-22 18:37 . 2009-02-22 18:39 4,212 ---h-c--- c:\windows\system32\zllictbl.dat
2009-02-22 18:35 . 2009-02-24 14:47 <REP> d----c--- c:\windows\Internet Logs
2009-02-22 17:08 . 2003-03-18 21:20 1,060,864 --a--c--- c:\windows\system32\MFC71.dll
2009-02-22 17:07 . 2009-02-22 17:07 <REP> d----c--- c:\program files\Alwil Software
2009-02-22 09:40 . 2009-02-22 09:40 <REP> d----c--- c:\program files\Microsoft Sync Framework
2009-02-22 09:39 . 2009-02-22 09:39 <REP> d----c--- c:\program files\Microsoft SQL Server Compact Edition
2009-02-22 09:38 . 2009-02-22 09:39 <REP> d----c--- c:\program files\Windows Live
2009-02-22 09:38 . 2009-02-22 09:38 <REP> d----c--- c:\program files\Microsoft
2009-02-22 09:33 . 2009-02-22 09:33 <REP> d----c--- c:\program files\Fichiers communs\Windows Live
2009-02-20 15:53 . 2009-02-20 15:53 <REP> d----c--- c:\documents and settings\EEEPC\Application Data\AdobeUM
2009-02-06 18:52 . 2009-02-06 18:52 49,504 --a--c--- c:\windows\system32\sirenacm.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-23 17:18 --------- dc-h--w c:\program files\InstallShield Installation Information
2009-01-15 17:22 --------- dc----w c:\documents and settings\EEEPC\Application Data\Azureus
2009-01-14 01:30 --------- dc----w c:\documents and settings\All Users\Application Data\ma-config.com
2009-01-14 01:21 --------- dc----w c:\program files\Intel
2009-01-08 01:31 --------- dc----w c:\documents and settings\All Users\Application Data\NOS
2008-12-20 22:47 826,368 -c--a-w c:\windows\system32\wininet.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3D578A15-4D8E-4EF9-BC9A-70A74FAA9AB3}]
c:\windows\system32\browsew.dll [BU]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2006-03-03 15360]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AsusACPIServer"="c:\program files\Asus\EeePC ACPI\AsAcpiSvr.exe" [2008-03-20 544768]
"AsusTray"="c:\program files\Asus\EeePC ACPI\AsTray.exe" [2008-03-27 102400]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-22 104984]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-22 121368]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-22 100888]
"ACU"="c:\program files\Atheros\ACU.exe" [2007-05-03 376921]
"AliceSAV"="c:\program files\TechCity Solutions\AliceSAV\AliceAgent.exe" [2005-09-14 80384]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"RTHDCPL"="RTHDCPL.EXE" [2008-03-07 c:\windows\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-03 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0aswBoot.exe /M:34449cba

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a--c--- 2008-03-07 01:14 16858112 c:\windows\RTHDCPL.EXE

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R2 SeaPort;SeaPort;c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-01-14 226656]
R3 AsusACPI;ASUS ACPI Driver;c:\windows\system32\drivers\ASUSACPI.SYS [2008-04-05 11264]
R3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver;c:\windows\system32\drivers\usb8023.sys [2008-11-30 12672]
R3 WSIMD;wsimd Service;c:\windows\system32\drivers\wsimd.sys [2002-01-01 57024]
S3 AtcL002;NDIS Miniport Driver for Atheros L2 Fast Ethernet Controller;c:\windows\system32\drivers\l251x86.sys [2008-04-15 30720]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\program files\NOS\bin\getPlus_HelperSvc.exe --> c:\program files\NOS\bin\getPlus_HelperSvc.exe [?]
S3 Ktp;Elantech Smart-Pad;c:\windows\system32\drivers\ETD.sys [2008-04-07 25088]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{484ba444-ff4a-11dd-b52d-0015afa2e845}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\m.exe /s

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{927d5950-fe43-11d5-b518-002215ee08af}]
\Shell\AutoRun\command - F:\wdsync.exe
.
Contenu du dossier 'Tâches planifiées'

2009-02-28 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe []

2009-03-01 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
uInternet Connection Wizard,ShellNext = hxxp://eeepc.asus.com/global
uSearchURL,(Default) = hxxp://www.google.fr/keyword/%s
IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - hxxp://fichiers.touslesdrivers.com/fichiers/hardwaredetection/hardwaredetecti(...)
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-02 07:43:39
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
AliceSAV = c:\program files\TechCity Solutions\AliceSAV\AliceAgent.exe????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1634560575-1191945786-1831919508-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
Heure de fin: 2009-03-02 7:46:05
ComboFix-quarantined-files.txt 2009-03-02 06:46:00
ComboFix2.txt 2009-03-02 06:34:48
ComboFix3.txt 2009-03-01 21:29:15
ComboFix4.txt 2009-03-01 20:24:39
ComboFix5.txt 2009-03-02 06:41:05

Avant-CF: 153 014 272 octets libres
Après-CF: 135,884,800 octets libres

153 --- E O F --- 2009-02-28 08:27:35

bon je vois que j ai pas repondu au bon endroit plus haut je t ai mmis le rapport combo en manipulant j ai perdu le rapport avenger qui etait sur l ordi ce matin quand j ai reussit a rallumer mais il me semble qu il disait que la ligne n existait pas enfin non je me rappelle plus regarde plus haut il y a le rapport combo je suis desolée de t avoir embete tout dimanche hier soir il s etait fige sur un ecran bleu la jusqu a six heures je travaille à plus tard mmerci pour ce que tu fais

Mince, j'avais oublié ceci : ce fichier c:\windows\system32\browsew.dll tu regardes ce que ça donne sur virustotal ?

tu dois plus en voir le bout

il me dit ca 0 bytes size received / Se ha recibido un archivo vacio

est-ce que tu le vois ce fichier c:\windows\system32\browsew.dll en affichant tous les fichiers http://pagesperso-orange.fr/jesses/Docs/Bases/TousLesFichiers.htm