Besoin de vos lumières

Question

Bonjour,
je dois avoir un problème car j'ai des fenêtres qui s'ouvre toutes seules voiçi le rapport hijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:08:49, on 23/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WebDev 12\Programmes\Moteur\Windows\WD120Admin.exe
C:\WINDOWS\system32	askmgr.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrobat.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://gamespace.daemon-tools.cc/fra/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: (no name) - {1eb36670-8bb2-4053-a1b2-cd1b409fb84f} - C:\WINDOWS\system32\honumopi.dll
O2 - BHO: solution Class - {99C6D1BB-7555-474C-91DA-D8FB62A9CC75} - C:\WINDOWS\system32\ckAw11aO.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [sipiyeluwe] Rundll32.exe "C:\WINDOWS\system32\gotafahu.dll",s
O4 - HKLM\..\Run: [64684c95] rundll32.exe "C:\WINDOWS\system32\satukivu.dll",b
O4 - HKLM\..\Run: [CPM675b7f09] Rundll32.exe "c:\windows\system32\zuvararo.dll",a
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [sipiyeluwe] Rundll32.exe "C:\WINDOWS\system32\gotafahu.dll",s (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [sipiyeluwe] Rundll32.exe "C:\WINDOWS\system32\gotafahu.dll",s (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\sugonafo.dll C:\WINDOWS\system32\dagenoja.dll c:\windows\system32\zuvararo.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\zuvararo.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\zuvararo.dll
O23 - Service: Adobe Version Cue CS3 {fr_FR}  (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Program Files\Common Files\SolidWorks Shared\Service\SolidWorksLicensing.exe
O23 - Service: WebDev 12 (PC SOFT) (WebDev 12) - PC SOFT - C:\WebDev 12\Programmes\Moteur\Windows\WD120Admin.exe

Destrio5 · Answer

Salut,

Tu as des termites Vundo sur ton PC. Exemple :


O4 - HKLM\..\Run: [sipiyeluwe] Rundll32.exe "C:\WINDOWS\system32\gotafahu.dll",s
O4 - HKLM\..\Run: [64684c95] rundll32.exe "C:\WINDOWS\system32\satukivu.dll",b
O4 - HKLM\..\Run: [CPM675b7f09] Rundll32.exe "c:\windows\system32\zuvararo.dll",a 


---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"

---> Je te conseille vivement d'installer la Console de récupération.

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\Combofix.txt

Tutoriel officiel : 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

matathome · Answer

Voilà le rapport de ComboFix

ComboFix 08-12-21.04 - mat 2008-12-23 14:43:42.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.1015.512 [GMT 1:00]
Lancé depuis: c:\documents and settings\mat\Desktop\ComboFix.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\bold.log
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\system32\46Qo845G.exe.a_a
c:\windows\system32\aiXu44xM.exe
c:\windows\system32\aiXu44xM.exe.a_a
c:\windows\system32\aiXu44xM.exe_
c:\windows\system32\Cache
c:\windows\system32\ckAw11aO.dll
c:\windows\system32\dagenoja.dll
c:\windows\system32\edeguraj.ini
c:\windows\system32\gupureje.dll
c:\windows\system32\ofisahuy.ini
c:\windows\system32\sugonafo.dll
c:\windows\system32\uvikutas.ini
c:\windows\system32\vtUNdecd.dll

----- BITS: Il y a peut-être des sites infectés -----

hxxp://77.74.48.105
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-11-23 au 2008-12-23 ))))))))))))))))))))))))))))))))))))
.

2008-12-23 14:42 . 2008-12-23 14:42 <DIR> d-------- C:\c-fix
2008-12-23 12:17 . 2008-06-19 17:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys
2008-12-23 12:16 . 2008-12-23 12:16 <DIR> d-------- c:\program files\Panda Security
2008-12-22 11:43 . 2008-12-22 11:44 <DIR> d-------- c:\program files\QuickTime
2008-12-22 11:43 . 2008-12-22 11:43 <DIR> d-------- c:\program files\Common Files\Apple
2008-12-22 11:43 . 2008-12-22 11:43 <DIR> d-------- c:\program files\Apple Software Update
2008-12-22 11:43 . 2008-12-22 11:43 <DIR> d-------- c:\documents and settings\All Users\Application Data\Apple Computer
2008-12-22 11:43 . 2008-12-22 11:43 <DIR> d-------- c:\documents and settings\All Users\Application Data\Apple
2008-12-22 10:30 . 2008-12-22 10:30 31,232 --a------ c:\windows\system32\ckAw11aO.dl_
2008-12-21 20:42 . 2008-12-21 20:42 <DIR> d-------- c:\documents and settings\mat\Application Data\MAXON
2008-12-21 16:05 . 2008-12-21 16:04 31,744 --a------ c:\windows\system32\46Qo845G.exe
2008-12-21 16:01 . 2008-12-21 16:01 <DIR> d-------- c:\program files\uTorrent
2008-12-21 16:01 . 2008-12-23 02:49 <DIR> d-------- c:\documents and settings\mat\Application Data\uTorrent
2008-12-21 11:55 . 2008-12-21 11:55 <DIR> d-------- c:\documents and settings\mat\Application Data\EDrawings
2008-12-21 11:54 . 2008-12-21 11:54 <DIR> d-------- c:\program files\Common Files\SolidWorks Shared
2008-12-21 11:54 . 2008-12-21 11:54 <DIR> d-------- c:\program files\Common Files\eDrawings2009
2008-12-21 11:54 . 2008-12-21 11:54 0 --a------ c:\windows\eDrawingOfficeAutomator.INI
2008-12-11 13:52 . 2008-12-11 14:39 <DIR> d-------- c:\documents and settings\mat\Application Data\DBDesigner4
2008-12-10 18:13 . 2008-12-10 18:13 <DIR> d-------- c:\program files\Common Files\INCA Shared
2008-12-10 18:13 . 2003-07-17 10:17 5,174 --a------ c:\windows\system32\nppt9x.vxd
2008-12-10 18:13 . 2005-01-01 01:43 4,682 --a------ c:\windows\system32\npptNT2.sys
2008-12-09 10:15 . 2008-12-09 10:16 <DIR> d-------- C:\INSTALL
2008-12-09 10:15 . 2008-09-18 16:17 33,487,747 --a------ C:\INSTALL.ZIP
2008-12-08 15:56 . 2008-12-08 15:56 <DIR> d-------- c:\program files\Common Files\Macromedia
2008-12-08 15:55 . 2008-12-08 15:56 <DIR> d-------- c:\program files\Macromedia
2008-12-08 12:41 . 2008-12-08 12:43 <DIR> d-------- C:\Photos d'application
2008-12-05 14:25 . 2004-09-01 09:00 2,134,528 --a--c--- c:\windows\system32\dllcache\smtpsnap.dll
2008-12-05 14:24 . 2008-12-05 14:28 <DIR> d-------- c:\windows\system32\Logfiles
2008-12-05 14:24 . 2008-12-05 14:26 <DIR> d-------- C:\Inetpub
2008-12-04 22:11 . 2008-12-05 11:08 <DIR> d-------- C:\WebMaster
2008-12-04 22:02 . 2008-12-04 22:02 <DIR> d-------- c:\program files\Common Files\PC SOFT
2008-12-04 22:02 . 2008-12-09 11:47 <DIR> d---s---- C:\Mes Sites
2008-12-04 22:01 . 2008-12-04 22:01 <DIR> d-------- C:\Mes projets
2008-12-04 22:00 . 2008-12-04 22:00 <DIR> d-------- c:\program files\Apache Software Foundation
2008-12-04 22:00 . 2008-05-29 11:04 202,752 --a------ c:\windows\system32\WDShell.dll
2008-12-04 21:59 . 2008-08-27 10:06 2,338,816 --a------ c:\windows\system32\WD120ODH.DLL
2008-12-04 21:59 . 2008-04-25 20:00 585,728 --a------ c:\windows\system32\WD120ODS.DLL
2008-12-04 21:59 . 2008-07-16 11:26 143,360 --a------ c:\windows\system32\WD120HFO.DLL
2008-12-04 21:51 . 2008-12-09 10:51 <DIR> d-------- C:\WebDev 12
2008-12-01 17:50 . 2008-12-01 17:50 <DIR> d-------- c:\windows\ERUNT
2008-12-01 17:41 . 2008-12-01 18:15 <DIR> d-------- C:\SDFix
2008-12-01 17:40 . 2008-12-01 17:40 3,584 --a------ c:\windows\jrffboht.exe
2008-12-01 17:32 . 2008-12-01 17:32 <DIR> d-------- c:\documents and settings\Administrator
2008-12-01 15:38 . 2008-12-01 15:38 <DIR> d-------- c:\program files\Trend Micro
2008-12-01 14:46 . 2008-12-01 14:46 104,448 --a------ c:\windows\system32\winhlp.exe
2008-12-01 14:46 . 2008-12-01 14:46 104,448 --a------ C:\qthqdso.exe
2008-12-01 14:46 . 2008-12-01 14:46 705 --a------ C:\mguvbfr.exe
2008-12-01 14:46 . 2008-12-01 14:46 705 --a------ C:\kxhvehm.exe
2008-12-01 14:46 . 2008-12-01 14:46 2 --a------ C:\1684556858
2008-12-01 14:43 . 2008-12-01 14:43 39,424 --a------ c:\windows\system32\winrkp32.dll
2008-11-27 14:04 . 2004-03-29 16:23 90,112 --a------ c:\windows\unvise32.exe
2008-11-27 14:02 . 2008-11-27 14:02 <DIR> d-------- c:\program files\MAXON

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-08 14:56 --------- d--h--w c:\program files\InstallShield Installation Information
2008-12-08 14:54 --------- d-----w c:\program files\Common Files\InstallShield
2008-11-20 12:10 --------- d-----w c:\program files\SignMax
2008-11-20 12:10 --------- d-----w c:\documents and settings\mat\Application Data\InstallShield
2008-11-13 02:03 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2008-11-09 17:08 --------- d-----w c:\program files\Common Files\McNeel Shared
2008-11-09 17:07 --------- d-----w c:\program files\Rhinoceros 4.0
2008-11-09 17:07 --------- d-----w c:\documents and settings\All Users\Application Data\McNeel
2008-11-09 17:03 --------- d-----w c:\program files\MagicDisc
2008-10-30 15:49 --------- d-----w c:\program files\PlayDidj
2008-10-29 09:48 --------- d-----w c:\program files\Winamp
2008-10-29 09:48 --------- d-----w c:\documents and settings\mat\Application Data\Winamp
2008-10-27 10:22 --------- d-----w c:\documents and settings\mat\Application Data\MSNInstaller
2008-10-27 07:23 --------- d-----w c:\program files\Windows Live
2008-10-27 07:22 --------- dcsh--w c:\program files\Common Files\WindowsLiveInstaller
2008-10-27 07:19 --------- d-----w c:\documents and settings\All Users\Application Data\WLInstaller
2008-10-26 19:52 --------- d-----w c:\documents and settings\All Users\Application Data\FLEXnet
2008-10-26 19:50 --------- d-----w c:\program files\Common Files\Adobe
2008-10-26 19:45 --------- d-----w c:\documents and settings\All Users\Application Data\ALM
2008-10-26 19:18 --------- d-----w c:\program files\Common Files\Macrovision Shared
2008-10-26 19:01 --------- d-----w c:\program files\DAEMON Tools Lite
2008-10-26 19:01 --------- d-----w c:\documents and settings\mat\Application Data\DAEMON Tools
2008-10-26 18:59 716,272 ----a-w c:\windows\system32\drivers\sptd.sys
2008-10-26 18:49 --------- d-----w c:\documents and settings\mat\Application Data\vlc
2008-10-26 18:47 --------- d-----w c:\program files\VideoLAN
2008-10-26 17:50 50,740 ----a-w c:\windows\BricoPackUninst.cmd
2008-10-26 17:50 4,829 ----a-w c:\windows\BricoPackFoldersDelete.cmd
2008-10-26 17:26 --------- d-----w c:\program files\Analog Devices
2008-10-26 15:56 --------- d-----w c:\program files\microsoft frontpage
2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-09-22 18:31 38,912 --sha-w c:\windows\system32\fefiweta.dll
2008-09-22 18:31 62,209 --sha-w c:\windows\system32\gotafahu.dll
2008-09-22 18:31 62,209 --sha-w c:\windows\system32\honumopi.dll
2008-09-22 17:31 11,264 --sha-w c:\windows\system32\piyuzuju.dll
.

((((((((((((((((((((((((((((( snapshot@2008-12-01_19.43.25.07 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-06-30 09:39:58 128,256 ----a-w c:\windows\Downloaded Program Files\as2stubie.dll
+ 2008-12-22 10:43:13 27,136 ----a-r c:\windows\Installer\{6956856F-B6B3-4BE0-BA0B-8F495BE32033}\AppleSoftwareUpdateIco.exe
+ 2008-12-21 10:54:49 91,648 ----a-r c:\windows\Installer\{707CAB93-7064-42F9-9210-A6A8FED9B2A2}\eModelViewer.exe
+ 2008-12-21 10:54:49 19,790 ----a-r c:\windows\Installer\{707CAB93-7064-42F9-9210-A6A8FED9B2A2}\eModelViewer1.exe
+ 2004-09-01 08:00:00 43,520 ----a-w c:\windows\system32\admwprox.dll
+ 2004-09-01 08:00:00 6,144 ----a-w c:\windows\system32\admxprox.dll
+ 2004-09-01 08:00:00 290,816 ----a-w c:\windows\system32\adsiis.dll
+ 2001-08-17 21:36:10 5,632 ----a-w c:\windows\system32\adsiisex.dll
+ 2008-03-18 14:29:20 29,184 ----a-w c:\windows\system32\akshhl26.dll
+ 2007-09-11 13:40:30 9,216 ----a-w c:\windows\system32\akshsp50.dll
+ 2008-07-18 05:58:46 2,549,248 ----a-w c:\windows\system32\aksllmtp.exe
+ 2007-12-21 14:02:54 31,232 ----a-w c:\windows\system32\aksusb2.dll
+ 2004-09-01 08:00:00 10,240 ----a-w c:\windows\system32\aspperf.dll
+ 2004-09-01 08:00:00 56,320 ----a-w c:\windows\system32\convlog.exe
+ 2007-11-23 11:14:46 11,520 ----a-w c:\windows\system32\drivers\aksclass.sys
+ 2008-03-18 14:45:34 350,720 ----a-w c:\windows\system32\drivers\aksfridge.sys
+ 2007-09-11 13:40:30 238,976 ----a-w c:\windows\system32\drivers\akshasp.sys
+ 2007-09-11 13:40:30 46,336 ----a-w c:\windows\system32\drivers\akshhl.sys
+ 2007-09-11 13:40:30 14,976 ----a-w c:\windows\system32\drivers\aksusb.sys
+ 2008-02-12 10:14:50 586,240 ----a-w c:\windows\system32\drivers\hardlock.sys
+ 2004-09-01 08:00:00 14,336 ----a-w c:\windows\system32\exstrace.dll
+ 2001-08-17 21:36:16 43,520 ----a-w c:\windows\system32\fcachdll.dll
- 2008-11-20 08:12:54 1,437,280 ----a-w c:\windows\system32\FNTCACHE.DAT
+ 2008-12-21 20:17:34 1,437,312 ----a-w c:\windows\system32\FNTCACHE.DAT
+ 2004-09-01 08:00:00 6,144 ----a-w c:\windows\system32\ftpsapi2.dll
+ 2004-09-01 08:00:00 68,608 ----a-w c:\windows\system32\iisext.dll
+ 2004-09-01 08:00:00 64,512 ----a-w c:\windows\system32\iismap.dll
+ 2004-09-01 08:00:00 3,584 ----a-w c:\windows\system32\iismui.dll
+ 2004-09-01 08:00:00 14,336 ----a-w c:\windows\system32\iisreset.exe
+ 2004-09-01 08:00:00 5,632 ----a-w c:\windows\system32\iisrstap.dll
+ 2004-09-01 08:00:00 133,632 ----a-w c:\windows\system32\iisRtl.dll
+ 2004-09-01 08:00:00 19,968 ----a-w c:\windows\system32\inetsloc.dll
+ 2004-09-01 08:00:00 29,696 ----a-w c:\windows\system32\inetsrv\admexs.dll
+ 2004-09-01 08:00:00 49,664 ----a-w c:\windows\system32\inetsrv\ADROT.dll
+ 2004-09-01 08:00:00 108,544 ----a-w c:\windows\system32\inetsrv\AppConf.dll
+ 2001-08-17 21:36:10 45,056 ----a-w c:\windows\system32\inetsrv\aqadmin.dll
+ 2004-09-01 08:00:00 331,264 ----a-w c:\windows\system32\inetsrv\aqueue.dll
+ 2004-09-01 08:00:00 369,664 ----a-w c:\windows\system32\inetsrv\asp.dll
+ 2004-09-01 08:00:00 29,184 ----a-w c:\windows\system32\inetsrv\asptxn.dll
+ 2004-09-01 08:00:00 9,216 ----a-w c:\windows\system32\inetsrv\authfilt.dll
+ 2004-09-01 08:00:00 45,568 ----a-w c:\windows\system32\inetsrv\browscap.dll
+ 2004-09-01 08:00:00 46,592 ----a-w c:\windows\system32\inetsrv\coadmin.dll
+ 2004-09-01 08:00:00 24,064 ----a-w c:\windows\system32\inetsrv\compfilt.dll
+ 2004-09-01 08:00:00 33,792 ----a-w c:\windows\system32\inetsrv\ContRot.dll
+ 2004-09-01 08:00:00 20,480 ----a-w c:\windows\system32\inetsrv\counters.dll
+ 2004-09-01 08:00:00 42,496 ----a-w c:\windows\system32\inetsrv\davcdata.exe
+ 2004-09-01 08:00:00 32,256 ----a-w c:\windows\system32\inetsrv\gzip.dll
+ 2004-09-01 08:00:00 268,288 ----a-w c:\windows\system32\inetsrv\httpext.dll
+ 2004-09-01 08:00:00 8,192 ----a-w c:\windows\system32\inetsrv\httpmib.dll
+ 2004-09-01 08:00:00 61,440 ----a-w c:\windows\system32\inetsrv\httpodbc.dll
+ 2004-09-01 08:00:00 25,088 ----a-w c:\windows\system32\inetsrv\iisadmin.dll
+ 2004-09-01 08:00:00 145,408 ----a-w c:\windows\system32\inetsrv\iischema.dll
+ 2004-09-01 08:00:00 60,928 ----a-w c:\windows\system32\inetsrv\iisclex4.dll
+ 2004-09-01 08:00:00 19,456 ----a-w c:\windows\system32\inetsrv\iiscrmap.dll
+ 2004-09-01 08:00:00 7,168 ----a-w c:\windows\system32\inetsrv\iisfecnv.dll
+ 2004-09-01 08:00:00 79,872 ----a-w c:\windows\system32\inetsrv\iislog.dll
+ 2004-09-01 08:00:00 30,720 ----a-w c:\windows\system32\inetsrv\iisrstas.exe
+ 2004-09-01 08:00:00 6,656 ----a-w c:\windows\system32\inetsrv\iissync.exe
+ 2004-09-01 08:00:00 169,984 ----a-w c:\windows\system32\inetsrv\iisui.dll
+ 2004-09-01 08:00:00 15,872 ----a-w c:\windows\system32\inetsrv\inetinfo.exe
+ 2004-09-01 08:00:00 829,440 ----a-w c:\windows\system32\inetsrv\inetmgr.dll
+ 2004-09-01 08:00:00 7,680 ----a-w c:\windows\system32\inetsrv\inetmgr.exe
+ 2004-09-01 08:00:00 257,024 ----a-w c:\windows\system32\inetsrv\infocomm.dll
+ 2004-09-01 08:00:00 7,168 ----a-w c:\windows\system32\inetsrv\isapips.dll
+ 2004-09-01 08:00:00 68,608 ----a-w c:\windows\system32\inetsrv\isatq.dll
+ 2004-09-01 08:00:00 26,624 ----a-w c:\windows\system32\inetsrv\iscomlog.dll
+ 2004-09-01 08:00:00 9,216 ----a-w c:\windows\system32\inetsrv\iwrps.dll
+ 2004-09-01 08:00:00 22,016 ----a-w c:\windows\system32\inetsrv\logscrpt.dll
+ 2004-09-01 08:00:00 13,312 ----a-w c:\windows\system32\inetsrv\lonsint.dll
+ 2001-08-17 21:36:18 65,536 ----a-w c:\windows\system32\inetsrv\mailmsg.dll
+ 2004-09-01 08:00:00 37,888 ----a-w c:\windows\system32\inetsrv\md5filt.dll
+ 2004-09-01 08:00:00 26,624 ----a-w c:\windows\system32\inetsrv\mdsync.dll
+ 2008-12-23 13:48:51 216,220 ----a-w c:\windows\system32\inetsrv\MetaBase.bin
+ 2004-09-01 08:00:00 85,504 ----a-w c:\windows\system32\inetsrv\metadata.dll
+ 2004-09-01 08:00:00 53,248 ----a-w c:\windows\system32\inetsrv\NEXTLINK.dll
+ 2004-09-01 08:00:00 44,544 ----a-w c:\windows\system32\inetsrv\nsepm.dll
+ 2001-08-17 21:36:28 38,912 ----a-w c:\windows\system32\inetsrv\ntfsdrv.dll
+ 2004-09-01 08:00:00 31,744 ----a-w c:\windows\system32\inetsrv\PageCnt.dll
+ 2004-09-01 08:00:00 20,992 ----a-w c:\windows\system32\inetsrv\PermChk.dll
+ 2004-09-01 08:00:00 7,680 ----a-w c:\windows\system32\inetsrv\pwsdata.dll
+ 2004-09-01 08:00:00 4,096 ----a-w c:\windows\system32\inetsrv\rpcref.dll
+ 2001-08-17 21:36:30 57,856 ----a-w c:\windows\system32\inetsrv\scripto.dll
+ 2004-09-01 08:00:00 221,696 ----a-w c:\windows\system32\inetsrv\seo.dll
+ 2001-08-17 21:36:30 26,112 ----a-w c:\windows\system32\inetsrv\seos.dll
+ 2004-09-01 08:00:00 189,440 ----a-w c:\windows\system32\inetsrv\smtpadm.dll
+ 2004-09-01 08:00:00 2,134,528 ----a-w c:\windows\system32\inetsrv\smtpsnap.dll
+ 2004-09-01 08:00:00 456,704 ----a-w c:\windows\system32\inetsrv\smtpsvc.dll
+ 2004-09-01 08:00:00 45,056 ----a-w c:\windows\system32\inetsrv\ssinc.dll
+ 2004-09-01 08:00:00 46,592 ----a-w c:\windows\system32\inetsrv\sspifilt.dll
+ 2004-09-01 08:00:00 16,896 ----a-w c:\windows\system32\inetsrv\status.dll
+ 2004-09-01 08:00:00 46,592 ----a-w c:\windows\system32\inetsrv\svcext.dll
+ 2004-09-01 08:00:00 31,232 ----a-w c:\windows\system32\inetsrv\tools.dll
+ 2004-09-01 08:00:00 103,424 ----a-w c:\windows\system32\inetsrv\uihelper.dll
+ 2004-09-01 08:00:00 73,728 ----a-w c:\windows\system32\inetsrv\w3ext.dll
+ 2004-09-01 08:00:00 363,520 ----a-w c:\windows\system32\inetsrv\w3svc.dll
+ 2004-09-01 08:00:00 76,800 ----a-w c:\windows\system32\inetsrv\wam.dll
+ 2004-09-01 08:00:00 9,216 ----a-w c:\windows\system32\inetsrv\wamps.dll
+ 2004-09-01 08:00:00 53,248 ----a-w c:\windows\system32\inetsrv\wamreg.dll
+ 2004-09-01 08:00:00 13,312 ----a-w c:\windows\system32\infoadmn.dll
+ 2004-09-01 08:00:00 8,704 ----a-w c:\windows\system32\infoctrs.dll
+ 2008-12-22 19:37:02 83,094 ------w c:\windows\system32\jarugede.dll
+ 2008-12-22 19:37:02 94,847 ----a-w c:\windows\system32\lojaloke.dll
+ 2002-01-05 03:48:16 974,848 ----a-w c:\windows\system32\mfc70.dll
+ 2002-01-05 03:36:38 964,608 ----a-w c:\windows\system32\mfc70u.dll
+ 2002-01-05 02:38:38 54,784 ----a-w c:\windows\system32\msvci70.dll
+ 2002-01-05 02:40:20 487,424 ----a-w c:\windows\system32\msvcp70.dll
+ 2002-01-05 02:37:28 344,064 ----a-w c:\windows\system32\msvcr70.dll
+ 2008-12-22 17:31:40 61,202 --sha-w c:\windows\system32\nopayopa.dll
- 2008-10-31 02:01:42 52,900 ----a-w c:\windows\system32\perfc009.dat
+ 2008-12-05 13:26:59 69,726 ----a-w c:\windows\system32\perfc009.dat
- 2008-10-31 02:01:42 380,486 ----a-w c:\windows\system32\perfh009.dat
+ 2008-12-05 13:26:59 429,202 ----a-w c:\windows\system32\perfh009.dat
+ 2001-08-17 21:36:54 23,040 ----a-w c:\windows\system32\regtrace.exe
+ 2004-09-01 08:00:00 9,728 ----a-w c:\windows\system32\rwnh.dll
+ 2008-12-23 10:07:22 85,092 --sha-w c:\windows\system32\satukivu.dll
+ 2004-09-01 08:00:00 10,752 ----a-w c:\windows\system32\smtpapi.dll
+ 2001-08-17 21:36:32 12,288 ----a-w c:\windows\system32\smtpctrs.dll
+ 2001-08-17 21:36:32 7,168 ----a-w c:\windows\system32\snprfdll.dll
+ 2004-09-01 08:00:00 8,192 ----a-w c:\windows\system32\staxmem.dll
+ 2004-09-01 08:00:00 4,608 ----a-w c:\windows\system32\w3ctrs.dll
+ 2004-09-01 08:00:00 5,632 ----a-w c:\windows\system32\w3svapi.dll
+ 2004-09-01 08:00:00 7,168 ----a-w c:\windows\system32\wamregps.dll
+ 2008-12-22 18:31:50 62,209 --sha-w c:\windows\system32\yohajizi.dll
+ 2008-12-23 10:07:21 94,806 --sha-w c:\windows\system32\zuvararo.dll
.
-- Instantané actualisé --
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1eb36670-8bb2-4053-a1b2-cd1b409fb84f}]
2008-09-22 19:31 62209 --ahs---- c:\windows\system32\honumopi.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-09-01 15360]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-04-05 94208]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-04-05 77824]
"Persistence"="c:\windows\system32\igfxpers.exe" [2005-04-05 114688]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696]
"sipiyeluwe"="c:\windows\system32\gotafahu.dll" [2008-09-22 62209]
"64684c95"="c:\windows\system32\satukivu.dll" [2008-12-23 85092]
"CPM675b7f09"="c:\windows\system32\zuvararo.dll" [2008-12-23 94806]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-09-01 15360]
"jrffboht.exe"="c:\windows\jrffboht.exe" [2008-12-01 3584]

c:\documents and settings\mat\Start Menu\Programs\Startup\
RocketDock.lnk - c:\windows\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe [2006-05-14 344064]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\SharedTaskScheduler]
"{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}"= "c:\windows\system32\zuvararo.dll" [2008-12-23 94806]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"SSODL"= {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\zuvararo.dll [2008-12-23 94806]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli c:\windows\system32\sugonafo.dll

[HKLM\~\startupfolder\C:^Documents and Settings^mat^Start Menu^Programs^Startup^MagicDisc.lnk]
path=c:\documents and settings\mat\Start Menu\Programs\Startup\MagicDisc.lnk
backup=c:\windows\pss\MagicDisc.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
--a------ 2007-05-10 22:46 624248 c:\program files\Adobe\Acrobat 8.0\Acrobat\acrotray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe_ID0EYTHM]
--a------ 2007-03-20 16:40 1884160 c:\progra~1\COMMON~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-01-17 17:51 486856 c:\program files\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 11:34 5724184 c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]
--------- 2004-09-23 13:41 860160 c:\program files\Analog Devices\SoundMAX\SMax4.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
--------- 2004-10-14 10:11 1388544 c:\program files\Analog Devices\SoundMAX\SMax4PNP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"usnjsvc"=3 (0x3)
"WLSetupSvc"=3 (0x3)
"MSDTC"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Common Files\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\winver.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\WINDOWS\\explorer.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:*:Disabled:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:*:Disabled:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:*:Disabled:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:*:Disabled:Adobe Version Cue CS3 Server

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-12-23 28544]
R2 WebDev 12;WebDev 12 (PC SOFT);c:\webdev 12\Programmes\Moteur\Windows\WD120Admin.exe /SERVICE [2008-09-05 1485848]

*Newly Created Service* - PAVBOOT
.
Contenu du dossier 'Tâches planifiées'

2008-12-22 c:\windows\Tasks\At1.job
- c:\windows\system32\46Qo845G.exe [2008-12-21 16:04]

2008-12-21 c:\windows\Tasks\At10.job
- c:\windows\system32\46Qo845G.exe [2008-12-21 16:04]

2008-12-22 c:\windows\Tasks\At11.job
- c:\windows\system32\46Qo845G.exe [2008-12-21 16:04]

2008-12-22 c:\windows\Tasks\At12.job
- c:\windows\system32\46Qo845G.exe [2008-12-21 16:04]

2008-12-23 c:\windows\Tasks\At13.job
- c:\windows\system32\46Qo845G.exe [2008-12-21 16:04]

2008-12-23 c:\windows\Tasks\At14.job
- c:\windows\system32\46Qo845G.exe [2008-12-21 16:04]

2008-12-23 c:\windows\Tasks\At15.job
- c:\windows\system32\46Qo845G.exe [2008-12-21 16:04]

2008-12-22 c:\windows\Tasks\At16.job
- c:\windows\system32\46Qo845G.exe [2008-12-21 16:04]

2008-12-22 c:\windows\Tasks\At17.job
- c:\windows\system32\46Qo845G.exe [2008-12-21 16:04]

2008-12-22 c:\windows\Tasks\At18.job
- c:\windows\system32\46Qo845G.exe [2008-12-21 16:04]

2008-12-22 c:\windows\Tasks\At19.job
- c:\windows\system32\46Qo845G.exe [2008-12-21 16:04]

2008-12-23 c:\windows\Tasks\At2.job
- c:\windows\system32\46Qo845G.exe [2008-12-21 16:04]

2008-12-22 c:\windows\Tasks\At20.job
- c:\windows\system32\46Qo845G.exe [2008-12-21 16:04]

2008-12-22 c:\windows\Tasks\At21.job
- c:\windows\system32\46Qo845G.exe [2008-12-21 16:04]

2008-12-22 c:\windows\Tasks\At22.job
- c:\windows\system32\46Qo845G.exe [2008-12-21 16:04]

2008-12-22 c:\windows\Tasks\At23.job
- c:\windows\system32\46Qo845G.exe [2008-12-21 16:04]

2008-12-22 c:\windows\Tasks\At24.job
- c:\windows\system32\46Qo845G.exe [2008-12-21 16:04]

2008-12-22 c:\windows\Tasks\At25.job
- c:\windows\system32\aiXu44xM.exe []

2008-12-23 c:\windows\Tasks\At26.job
- c:\windows\system32\aiXu44xM.exe []

2008-12-23 c:\windows\Tasks\At27.job
- c:\windows\system32\aiXu44xM.exe []

2008-12-21 c:\windows\Tasks\At28.job
- c:\windows\system32\aiXu44xM.exe []

2008-12-21 c:\windows\Tasks\At29.job
- c:\windows\system32\aiXu44xM.exe []

2008-12-23 c:\windows\Tasks\At3.job
- c:\windows\system32\46Qo845G.exe [2008-12-21 16:04]

2008-12-21 c:\windows\Tasks\At30.job
- c:\windows\system32\aiXu44xM.exe []

2008-12-21 c:\windows\Tasks\At31.job
- c:\windows\system32\aiXu44xM.exe []

2008-12-21 c:\windows\Tasks\At32.job
- c:\windows\system32\aiXu44xM.exe []

2008-12-21 c:\windows\Tasks\At33.job
- c:\windows\system32\aiXu44xM.exe []

2008-12-21 c:\windows\Tasks\At34.job
- c:\windows\system32\aiXu44xM.exe []

2008-12-23 c:\windows\Tasks\At35.job
- c:\windows\system32\aiXu44xM.exe []

2008-12-22 c:\windows\Tasks\At36.job
- c:\windows\system32\aiXu44xM.exe []

2008-12-23 c:\windows\Tasks\At37.job
- c:\windows\system32\aiXu44xM.exe []

2008-12-23 c:\windows\Tasks\At38.job
- c:\windows\system32\aiXu44xM.exe []

2008-12-23 c:\windows\Tasks\At39.job
- c:\windows\system32\aiXu44xM.exe []

2008-12-21 c:\windows\Tasks\At4.job
- c:\windows\system32\46Qo845G.exe [2008-12-21 16:04]

2008-12-22 c:\windows\Tasks\At40.job
- c:\windows\system32\aiXu44xM.exe []

2008-12-22 c:\windows\Tasks\At41.job
- c:\windows\system32\aiXu44xM.exe []

2008-12-22 c:\windows\Tasks\At42.job
- c:\windows\system32\aiXu44xM.exe []

2008-12-22 c:\windows\Tasks\At43.job
- c:\windows\system32\aiXu44xM.exe []

2008-12-22 c:\windows\Tasks\At44.job
- c:\windows\system32\aiXu44xM.exe []

2008-12-22 c:\windows\Tasks\At45.job
- c:\windows\system32\aiXu44xM.exe []

2008-12-22 c:\windows\Tasks\At46.job
- c:\windows\system32\aiXu44xM.exe []

2008-12-22 c:\windows\Tasks\At47.job
- c:\windows\system32\aiXu44xM.exe []

2008-12-22 c:\windows\Tasks\At48.job
- c:\windows\system32\aiXu44xM.exe []

2008-12-21 c:\windows\Tasks\At5.job
- c:\windows\system32\46Qo845G.exe [2008-12-21 16:04]

2008-12-21 c:\windows\Tasks\At6.job
- c:\windows\system32\46Qo845G.exe [2008-12-21 16:04]

2008-12-21 c:\windows\Tasks\At7.job
- c:\windows\system32\46Qo845G.exe [2008-12-21 16:04]

2008-12-21 c:\windows\Tasks\At8.job
- c:\windows\system32\46Qo845G.exe [2008-12-21 16:04]

2008-12-21 c:\windows\Tasks\At9.job
- c:\windows\system32\46Qo845G.exe [2008-12-21 16:04]
.
- - - - ORPHELINS SUPPRIMES - - - -

ShellExecuteHooks-{5ECD31F0-F91A-11d4-B3CA-00D0B70A09D2} - WDShell

.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.daemon-search.com/startpage
uInternet Settings,ProxyOverride = *.local
IE: Ajouter au fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir la sélection en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la sélection en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convertir les liens sélectionnés en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\mat\Application Data\Mozilla\Firefox\Profiles\g069bv1q.default\
FF - component: c:\documents and settings\mat\Application Data\Mozilla\Firefox\Profiles\g069bv1q.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-23 14:48:50
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

c:\windows\system32\uvikutas.ini 120 bytes

Scan terminé avec succès
Fichiers cachés: 1

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\inetsrv\inetinfo.exe
c:\windows\system32\wdfmgr.exe
c:\webdev 12\Programmes\Moteur\Windows\wd120admin.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Heure de fin: 2008-12-23 14:51:58 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-12-23 13:51:56
ComboFix2.txt 2008-12-01 18:43:48

Avant-CF: 14 817 783 808 bytes free
Après-CF: 15,704,993,792 bytes free

463 --- E O F --- 2008-11-20 12:05:56

Destrio5 · Answer

--> Télécharge UsbFix (de Chiquitine29) sur ton Bureau :
http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe

--> Lance l'installation avec les paramètres par défaut.

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.

--> Double-clique sur le raccourci UsbFix sur ton Bureau.

--> Choisis l'option 1 (Nettoyage).

--> Le PC va redémarrer.

--> Après redémarrage, poste le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.

(Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)

matathome · Answer

Tiens le voilà

 

-------------- UsbFix V2.413.6 ---------------

* User : mat - WORK
* Outils mis a jours le 21/12/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à 15:04:50 le 23/12/2008
* Windows Xp - Internet Explorer 7.0.5730.13 
  
  
--------------- [ Processus actifs ] ----------------   
  
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\spoolsv.exe
C:\DOCUME~1\mat\LOCALS~1\Temp\1.tmp\b2e.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
  
--------------- [ Informations lecteurs ] ----------------   
  
C: - Fixed Drive

D: - Fixed Drive

E: - Fixed Drive

F: - Fixed Drive


--------------- [ Lecteur C ] ---------------- 

C: - Fixed Drive


+- Listing des fichiers présents :

[26/10/2008 16:56][--a------] C:\AUTOEXEC.BAT   
[01/09/2004 09:00][-rahs----] C:\NTDETECT.COM   
[01/12/2008 14:46][--a------] C:\kxhvehm.exe   
[01/12/2008 14:46][--a------] C:\mguvbfr.exe   
[01/12/2008 14:46][--a------] C:\qthqdso.exe   
[01/12/2008 19:29][-rahs----] C:\boot.ini   
[23/12/2008 14:52][--a------] C:\ComboFix.txt   
[23/12/2008 14:52][--a------] C:\FindyKill.txt   
[23/12/2008 14:52][--a------] C:\UsbFix.txt   
[26/10/2008 16:56][--a------] C:\CONFIG.SYS   
[26/10/2008 16:56][--a------] C:\IO.SYS   
[26/10/2008 16:56][--a------] C:\MSDOS.SYS   
[26/10/2008 16:56][--a------] C:\pagefile.sys   

--------------- [ Lecteur D ] ---------------- 

D: - Fixed Drive


+- Listing des fichiers présents :

[24/09/2008 10:15][--ahs----] D:\pagefile.sys   

--------------- [ Lecteur E ] ---------------- 

E: - Fixed Drive


+- Listing des fichiers présents :

[20/02/2008 13:14][--a------] E:\DBDesigner4.0.5.6_Setup.exe   

--------------- [ Lecteur F ] ---------------- 

F: - Fixed Drive


+- Listing des fichiers présents :

[08/09/2008 09:50][--a------] F:\WD120PACKEXPRESS055y.exe   
[19/09/2008 17:02][--a------] F:\FlashFXP.ini   
  
--------------- [ Registre / Startup ] ----------------   
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
  
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] 
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
  
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersionun]
   CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
   msnmsgr="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
HKEY_CURRENT_USER\software\microsoft\windows\currentversionun\AdobeUpdater=
   <NO NAME>=

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionun]
   IgfxTray=C:\WINDOWS\system32\igfxtray.exe
   HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
   Persistence=C:\WINDOWS\system32\igfxpers.exe
   QuickTime Task="C:\Program Files\QuickTime\QTTask.exe" -atboottime
   sipiyeluwe=Rundll32.exe "C:\WINDOWS\system32\gotafahu.dll",s
   64684c95=rundll32.exe "C:\WINDOWS\system32\satukivu.dll",b
   CPM675b7f09=Rundll32.exe "c:\windows\system32\zuvararo.dll",a
  
--------------- [ Registre / Mountpoint2 ] ----------------   
  
 
 -> Recherche négative. 
  
--------------- [ Nettoyage des disques ] ----------------   
   
  
--------------- [ Resumé ] ----------------   
  
 -> /!\ Le resultat doit etre interprété par un spécialiste  /!\   
  
[26/10/2008 16:56][--a------] C:\AUTOEXEC.BAT   
[01/09/2004 09:00][-rahs----] C:\NTDETECT.COM   
[01/12/2008 14:46][--a------] C:\kxhvehm.exe   
[01/12/2008 14:46][--a------] C:\mguvbfr.exe   
[01/12/2008 14:46][--a------] C:\qthqdso.exe   
[01/12/2008 19:29][-rahs----] C:\boot.ini   
[20/02/2008 13:14][--a------] E:\DBDesigner4.0.5.6_Setup.exe   
[08/09/2008 09:50][--a------] F:\WD120PACKEXPRESS055y.exe   
[19/09/2008 17:02][--a------] F:\FlashFXP.ini   
 
--------------- ! Fin du rapport ! ----------------

Destrio5 · Answer

---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

Destrio5 · Answer

Refais un scan ComboFix et poste le rapport.

Destrio5 · Answer

/!\ Seul matathome peut suivre cette procédure /!\


1/

---> Clique sur Démarrer, Exécuter, tape notepad clique sur OK.

---> Copie le texte ci-dessous par sélection puis Ctrl+C :






KillAll::

File::
c:\windows\system32\ckAw11aO.dl_ 
c:\windows\system32\46Qo845G.exe 
c:\windows\jrffboht.exe 
c:\windows\Tasks\At?.job  
c:\windows\Tasks\At??.job 

Registry::
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]   
"jrffboht.exe"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] 

DirLook::
C:\1684556858 

FileLook::
c:\windows\system32\winrkp32.dll    






---> Colle la sélection dans le bloc-notes

---> Enregistre ce fichier sur le bureau (Impératif)

---> Nom du fichier : CFScript
---> Type du fichier : tous les fichiers
---> Clique sur Enregistrer
---> Quitte le bloc-notes


2/

---> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif

[*] Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.

[*] Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.

[*] Une fois le scan achevé, un rapport va s'afficher : poste-le

[*] Si le fichier ne s'ouvre pas, il se trouve ici C:\ComboFix\Combofix.txt

Destrio5 · Answer

Fais analyser ce fichier : c:\windows\system32\winrkp32.dll

Sur VirusTotal et poste le lien de l'analyse :
https://www.virustotal.com/gui/

Destrio5 · Answer

Il est pourri le fichier, supprime-le ;)

Destrio5 · Answer

---> Relance MBAM, va dans Quarantaine et supprime tout.

---> Menu Démarrer > Exécuter > Tape combofix /u et valide.

---> Désinstalle UsbFix.

- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

- Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : Les rapports sont sauvegardés dans le dossier C:\rsit.

Destrio5 · Answer

---> Installe Antivir car tu n'as pas d'antivirus :
http://www.commentcamarche.net/telecharger/telecharger 55 antivir

- Télécharge SmitfraudFix (de de S!Ri, balltrap34 et moe31) sur ton Bureau.
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

- Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée.

- Un rapport sera généré, poste-le dans ta prochaine réponse.

[*] process.exe est détecté par certains antivirus comme étant un risktool. Il ne s'agit pas d'un virus mais d'un utilitaire destiné à mettre fin à des processus.[*]

** Ne fais l'étape 2 que si on te le demande, on doit d'abord examiner le premier rapport de SmitfraudFix.

Destrio5 · Answer

- Redémarre ton ordinateur en mode sans échec :
https://blog.sosordi.net/

- Double-clique sur SmitfraudFix.exe, choisis l'option 2 et Entrée.

- Réponds O (Oui) à ces deux questions si elles te sont posées :

Voulez-vous nettoyer le registre ?
Corriger le fichier infecté ?

- Un rapport sera généré, sauvegarde-le sur le Bureau.

- Redémarre en mode normal.

- Poste le rapport SmitfraudFix.

Destrio5 · Answer

---> Supprime SmitfraudFix.

---> Désactive ton antivirus le temps de la manipulation car OTMoveIt3 est détecté comme une infection à tort.

---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau :
http://oldtimer.geekstogo.com/OTMoveIt3.exe

---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant ci-dessous : 





:processes
explorer.exe 

:files 
C:\WINDOWS\system32\6f4b88eb-.txt
C:\WINDOWS\system32
opayopa.dll 

:commands
[purity]
[emptytemp]
[start explorer]
[reboot]





---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

Destrio5 · Answer

Bien.

- Fais un scan en ligne ici https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr (Avec Internet Explorer).

- En bas à droite, clique sur Démarrer Online-scanner.

- Dans la nouvelle fenêtre qui s'affiche, clique sur J'accepte.

- Accepte les Contrôles ActiveX.

- Choisis Poste de travail pour le scan.

- Celui-ci terminé, sauvegarde (Choisis fichier texte) et poste le rapport.

- Pour t'aider à utiliser le scan en ligne :
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566

NOTE : Si tu reçois le message La licence de Kaspersky On-line Scanner est périmée, va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.

Besoin de vos lumières

14 réponses

Votre réponse

Discussions similaires

Newsletters