Vundo ou autre chose?

lachoukrate -
Eliane - 26 févr. 2009 à 11:14

Bonjour,
Depuis deux jours j'ai lu un paquet de postes, mais malgré les aides que ca m'a apporté, j'ai pas réussi à trouver mon probleme exact. J'ai installé spybot, ccleaner, hijackthis, avg spyware. Mais mon probleme vient d'un probleme de "crc check failed", mon antivir ne marche plus, soit une mauvaise manip de ma part, soit un virus... Lorsque j'essaie de l'enlever ou de le réinstaller, il veut pas!!! J'ai essayé d'installer avg antivirus, mais lors de l'installation il me dit une erreur est survenue, et s'arrete. En gros je n'ai plus d'antivirus opérationnel.
Tout a l'heure une page antivirus 2009 signé windows xp, s'est ouverte sans que je l'autorise et m'a fait un scan en me disant que j'avais : spyware.iemonster.b, zlob.pornadvertiser.xplisit (c'est sexuel??? :-)) et trojan.infostealer.banker.s. Je sens que mon ordi va me lacher :-( Je n'ai pas de disque d'install de windows (2000) et j'aimerai éviter le formatage.
Je suis pas douée en informatique, j'apprends sur le tas. Mais grace à toutes vos réponses je commence à etre callée en désinfection d'ordi, mais pas suffisamment hélas pour sauver le mien.
J'ai des logs de hijackthis et spybot.
Merci à celui qui pourra m'aider
et merci à tous pour votre aide si précieuse meme si c'est pas en direct, j'ai compris énormément de choses en lisant vos réponses...

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 16:41:23 05/01/2009

+ Résultat de l'analyse:

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Ignoré.
HKU\S-1-5-21-57989841-602162358-682003330-1000\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@247realmedia[1].txt -> TrackingCookie.247realmedia : Ignoré.
C:\Documents and Settings\chouchouk\Local Settings\Temp\Cookies\chouchouk@247realmedia[2].txt -> TrackingCookie.247realmedia : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@2o7[2].txt -> TrackingCookie.2o7 : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@autoscout24.112.2o7[1].txt -> TrackingCookie.2o7 : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@divx.112.2o7[1].txt -> TrackingCookie.2o7 : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@electronicarts.112.2o7[1].txt -> TrackingCookie.2o7 : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@himedia.112.2o7[1].txt -> TrackingCookie.2o7 : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@notrefamille.112.2o7[1].txt -> TrackingCookie.2o7 : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@parship.122.2o7[1].txt -> TrackingCookie.2o7 : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@paypal.112.2o7[1].txt -> TrackingCookie.2o7 : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@veohnetwork.122.2o7[1].txt -> TrackingCookie.2o7 : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@adbrite[2].txt -> TrackingCookie.Adbrite : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@rotator.adjuggler[2].txt -> TrackingCookie.Adjuggler : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@adrevolver[2].txt -> TrackingCookie.Adrevolver : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@dynamic.media.adrevolver[1].txt -> TrackingCookie.Adrevolver : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@media.adrevolver[2].txt -> TrackingCookie.Adrevolver : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@adtech[2].txt -> TrackingCookie.Adtech : Ignoré.
C:\Documents and Settings\chouchouk\Local Settings\Temp\Cookies\chouchouk@adtech[1].txt -> TrackingCookie.Adtech : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@advertising[1].txt -> TrackingCookie.Advertising : Ignoré.
C:\Documents and Settings\chouchouk\Local Settings\Temp\Cookies\chouchouk@advertising[2].txt -> TrackingCookie.Advertising : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@atdmt[2].txt -> TrackingCookie.Atdmt : Ignoré.
C:\Documents and Settings\chouchouk\Local Settings\Temp\Cookies\chouchouk@atdmt[2].txt -> TrackingCookie.Atdmt : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@bluestreak[2].txt -> TrackingCookie.Bluestreak : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@iv2.bluestreak[1].txt -> TrackingCookie.Bluestreak : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@casinotropez[1].txt -> TrackingCookie.Casinotropez : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@com[1].txt -> TrackingCookie.Com : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@fl01.ct2.comclick[2].txt -> TrackingCookie.Comclick : Ignoré.
C:\Documents and Settings\chouchouk\Local Settings\Temp\Cookies\chouchouk@fl01.ct2.comclick[1].txt -> TrackingCookie.Comclick : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@doubleclick[1].txt -> TrackingCookie.Doubleclick : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@estat[1].txt -> TrackingCookie.Estat : Ignoré.
C:\Documents and Settings\chouchouk\Local Settings\Temp\Cookies\chouchouk@estat[1].txt -> TrackingCookie.Estat : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@www.etracker[1].txt -> TrackingCookie.Etracker : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@adopt.euroclick[2].txt -> TrackingCookie.Euroclick : Ignoré.
C:\Documents and Settings\chouchouk\Local Settings\Temp\Cookies\chouchouk@adopt.euroclick[2].txt -> TrackingCookie.Euroclick : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@fastclick[2].txt -> TrackingCookie.Fastclick : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@ehg-dig.hitbox[2].txt -> TrackingCookie.Hitbox : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@hitbox[1].txt -> TrackingCookie.Hitbox : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@ivwbox[2].txt -> TrackingCookie.Ivwbox : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@search.live[1].txt -> TrackingCookie.Live : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@mediaplex[1].txt -> TrackingCookie.Mediaplex : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@ie.search.msn[1].txt -> TrackingCookie.Msn : Ignoré.
C:\Documents and Settings\chouchouk\Local Settings\Temp\Cookies\chouchouk@ie.search.msn[2].txt -> TrackingCookie.Msn : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@overture[1].txt -> TrackingCookie.Overture : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@ads.pointroll[2].txt -> TrackingCookie.Pointroll : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@bs.serving-sys[2].txt -> TrackingCookie.Serving-sys : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@serving-sys[1].txt -> TrackingCookie.Serving-sys : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@smartadserver[2].txt -> TrackingCookie.Smartadserver : Ignoré.
C:\Documents and Settings\chouchouk\Local Settings\Temp\Cookies\chouchouk@smartadserver[1].txt -> TrackingCookie.Smartadserver : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@specificclick[2].txt -> TrackingCookie.Specificclick : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@statcounter[2].txt -> TrackingCookie.Statcounter : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@toplist[1].txt -> TrackingCookie.Toplist : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@cms.trafficmp[1].txt -> TrackingCookie.Trafficmp : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@aem.solution.weborama[2].txt -> TrackingCookie.Weborama : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@agircarrco.solution.weborama[2].txt -> TrackingCookie.Weborama : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@aimfar.solution.weborama[1].txt -> TrackingCookie.Weborama : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@boursoramabanque.solution.weborama[2].txt -> TrackingCookie.Weborama : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@cetelem.solution.weborama[1].txt -> TrackingCookie.Weborama : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@cnam.solution.weborama[2].txt -> TrackingCookie.Weborama : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@dolcegusto16avril11juin.solution.weborama[2].txt -> TrackingCookie.Weborama : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@francecredit2.solution.weborama[2].txt -> TrackingCookie.Weborama : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@interhome.solution.weborama[2].txt -> TrackingCookie.Weborama : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@intermarche.solution.weborama[2].txt -> TrackingCookie.Weborama : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@nespresso.solution.weborama[2].txt -> TrackingCookie.Weborama : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@samsung.solution.weborama[2].txt -> TrackingCookie.Weborama : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@sanofi.solution.weborama[2].txt -> TrackingCookie.Weborama : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@vivelledop.solution.weborama[2].txt -> TrackingCookie.Weborama : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@weborama[2].txt -> TrackingCookie.Weborama : Ignoré.
C:\Documents and Settings\chouchouk\Local Settings\Temp\Cookies\chouchouk@banquepopulaire.solution.weborama[2].txt -> TrackingCookie.Weborama : Ignoré.
C:\Documents and Settings\chouchouk\Local Settings\Temp\Cookies\chouchouk@boursoramabanque.solution.weborama[2].txt -> TrackingCookie.Weborama : Ignoré.
C:\Documents and Settings\chouchouk\Local Settings\Temp\Cookies\chouchouk@intermarche.solution.weborama[2].txt -> TrackingCookie.Weborama : Ignoré.
C:\Documents and Settings\chouchouk\Local Settings\Temp\Cookies\chouchouk@weborama[2].txt -> TrackingCookie.Weborama : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@statse.webtrendslive[2].txt -> TrackingCookie.Webtrendslive : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@content.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Ignoré.
C:\Documents and Settings\chouchouk\Cookies\chouchouk@zedo[1].txt -> TrackingCookie.Zedo : Ignoré.

Fin du rapport

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:40:18, on 05/01/2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\drivers\KodakCCS.exe
C:\WINNT\system\msddll.exe
C:\WINNT\system32\HPZipm12.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ScsiAccess.EXE
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\Explorer.exe
C:\Program Files\QuickTime\qttask.exe
D:\HP Software Update\HPWuSchd2.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINNT\system32\sysmgr.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
D:\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\WINNT\system32\sistray.exe
C:\Program Files\MultiRes\MultiRes.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINNT\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jeuxvideo-flash.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww17.ads.eorezo.com/cgi-bin/advert/getads.cgi?x_format=redirect&x_dp_id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\Mctray.exe
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {0EEDB912-C5FA-486F-8334-57288578C627} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] "D:\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [Microsoft(R) System Manager] C:\WINNT\system32\sysmgr.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: MultiRes.lnk = C:\Program Files\MultiRes\MultiRes.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINNT\system32\sistray.exe
O8 - Extra context menu item: Download with &Shareaza - res://C:\Program Files\Shareaza\Plugins\RazaWebHook.dll/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - http://www.sis.com/ocis/OSInfo.cab
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/ocis/SiSAutodetectNT.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://plugin.driveragent.com/files/driveragent.cab
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Events Log (Event) - Unknown owner - C:\WINNT\system32\drivers\csrss.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINNT\system32\drivers\KodakCCS.exe
O23 - Service: m43158.exe - Unknown owner - \\82.253.79.183\Admin$\m75034.exe (file missing)
O23 - Service: m46247.exe - Unknown owner - \\82.253.79.183\Admin$\m53463.exe (file missing)
O23 - Service: McAfee Security Agent Taskbar Extension. - Unknown owner - C:\WINNT\Mctray.exe (file missing)
O23 - Service: msddll - Unknown owner - C:\WINNT\system\msddll.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: ptssvc - Unknown owner - D:\Kodak EasyShare software\bin\ptssvc.exe (file missing)
O23 - Service: ScsiAccess - Unknown owner - C:\WINNT\system32\ScsiAccess.EXE
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: VMwareService - Unknown owner - C:\WINNT\system\VMwareService.exe
O23 - Service: Windows Spool Services (WinSpoolSvc) - Unknown owner - C:\WINNT\system32\csrsc.exe (file missing)

A voir également:

Vundo ou autre chose?
Flouter quelque chose sur une photo - Guide
Image ours polaire sur une plage qui cache quelque chose - Forum Graphisme
Je suis une chose que les garçons utilisent deux fois par jour et les filles une fois toute leur vie ✓ - Forum Loisirs / Divertissements
Quelque chose de tres lent - Guide
Sur la plage... - Forum Loisirs / Divertissements

282 réponses

Réponse 101 / 282

Lyonnais92 Messages postés 25159 Date d'inscription Statut Contributeur sécurité Dernière intervention 1 537

Bonjour,

tout est revenu.

Télécharger haxfix.exe

http://users.telenet.be/marcvn/tools/haxfix.exe

et le sauvegarde sur le bureau.

* Double cliquer sur haxfix.exe pour installer haxfix. (l'installation standard est c:\program Files\haxfix)
* Cocher "Create a desktop icon"
* Cliquer "Next"
* Quand l'installation est terminée, s'assurer que "Launch HaxFix" est coché
* Cliquer "Finish"

Une "fenêtre DOS" à fond rouge s'ouvre avec les options suivantes:
1. Make logfile (créer un rapport)
2. Run auto fix (lancer la réparation en mode automatique)
3. Run manual fix (lancer la réparation en mode manuel)
E. Exit Haxfix (quitter Haxfix)

* Selectionner l'option 1. Make logfile en tapant 1 puis taper "Entrée"
* Haxfix va analyser le système. Quand il a fini, un rapport s'ouvrira: haxlog.txt > (c:\haxlog.txt)
* Copier le contenu de ce rapport et l'inclure (coller) dans votre réponse.

Réponse 102 / 282

Utilisateur anonyme

chapeau !!!! ;-)

Réponse 103 / 282

lachoukrate Messages postés 234 Date d'inscription Statut Membre Dernière intervention 2

Bonjour,

voici le rapport haxfix, je l'ai refait ce matin, car hier soir, il m'a dit des trucs qui m'ont pas plut...

le voici

HAXFIX logfile - by Marckie

version 5.057
ven. 16/01/2009 9:28:09,51
running from C:\HaxFix

--- Checking for Haxdoor ---

checking for a3d files
a3d files not found

checking for matching notify keys
no matching notify keys found

checking for matching services
no matching services found

checking for matching safeboot services
no matching safeboot services found

--- Checking for Goldun - Spybanker ---

checking for SSODL keys
no ssodl keys found

checking for notify keys
syncps

checking for services
no services found

checking for random used files and services
these files are not necessarily malicious
C:\Documents and Settings\All Users\DRM\drmv2.sst
C:\Documents and Settings\chouchouk\Local Settings\Temp\catchme.sys
C:\Program Files\Nokia\Nokia PC Suite 6\Resource\MusicManager_Nokia.ngr
C:\Program Files\OpenOffice.org 2.4\program\icd680mi.dll
C:\Program Files\OpenOffice.org 2.4\program\ipb680mi.dll
C:\Program Files\OpenOffice.org 2.4\program\juh.dll
C:\Program Files\OpenOffice.org 2.4\program\officebean.dll
C:\Program Files\OpenOffice.org 2.4\program\unsafe_uno_uno.dll
C:\Program Files\OpenOffice.org 2.4\share\template\fr\wizard\report\cnt-05.ott
C:\Program Files\VideoLAN\VLC\plugins\liba52sys_plugin.dll
C:\Program Files\VideoLAN\VLC\plugins\libau_plugin.dll
C:\Program Files\VideoLAN\VLC\plugins\libfloat32tou16_plugin.dll
C:\Program Files\VideoLAN\VLC\plugins\liblpcm_plugin.dll
C:\Program Files\VideoLAN\VLC\plugins\libmux_mpjpeg_plugin.dll
C:\Program Files\VideoLAN\VLC\plugins\libpacketizer_copy_plugin.dll
C:\Program Files\VideoLAN\VLC\plugins\libpodcast_plugin.dll
C:\Program Files\VideoLAN\VLC\plugins\librawvideo_plugin.dll
C:\Program Files\VideoLAN\VLC\plugins\libshowintf_plugin.dll
C:\Program Files\VideoLAN\VLC\plugins\libstream_out_gather_plugin.dll
C:\WINNT\Fonts\modern.fon
C:\WINNT\Help\notepad.hlp
C:\WINNT\inf\netvt86.inf
C:\WINNT\inf\mdmarcht.PNF
C:\WINNT\system32\syncmc.sys
C:\WINNT\system32\gpkrsrc.dll
C:\WINNT\system32\dllcache\gpkrsrc.dll
C:\WINNT\system32\dllcache\modern.fon
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme
Imagepath REG_EXPAND_SZ \??\C:\DOCUME~1\CHOUCH~1\LOCALS~1\Temp\catchme.sys

checking for browser helper objects
no known browser helper objects found

checking for appinit files
no files found

checking for possible infected files
please submit these file here: https://www.bleepingcomputer.com/submit-malware.php?channel=11
no files found

checking for Active Setup Installed Components
no known Active Setup Installed Components found

checking iexplore.exe
iexplore.exe is not infected

--- Checking for other Goldun, Spybanker and Haxdoor files ---
C:\WINNT\system32\a9k.bin
C:\WINNT\system32\ntld.bin
C:\WINNT\system32\ojhaaasdd.dat
C:\WINNT\system32\P2.INI
C:\WINNT\system32\p3.ini
C:\WINNT\system32\preved.bat
C:\WINNT\system32\ps1.dat
C:\WINNT\system32\qm.dll
C:\WINNT\system32\qm.sys
C:\WINNT\system32\qo.dll
C:\WINNT\system32\qo.sys
C:\WINNT\system32\qy.dll
C:\WINNT\system32\qy.sys
C:\WINNT\system32\qz.dll
C:\WINNT\system32\qz.sys
C:\WINNT\system32\rc.dat
C:\WINNT\system32\rdata.bin
C:\WINNT\system32\winsms.bat
C:\WINNT\system32\winsms.dll
C:\WINNT\system32\wmdconf32.dll
C:\WINNT\system32\wmedia16.exe
C:\WINNT\system32\wmldap.dll
C:\WINNT\system32\wrapk.sys
C:\WINNT\system32\x8.xxd
C:\WINNT\system32\xd.bin
C:\WINNT\system32\xd.txt
C:\WINNT\system32\xg.ffc
C:\WINNT\system32\xlift.sys
C:\WINNT\system32\xmd.dat
C:\WINNT\system32\yvpp01.dll
C:\WINNT\system32\yvpp02.sys
C:\WINNT\system32\zq.dll
C:\WINNT\system32\zq.sys
C:\WINNT\system32\zxcsedr.dll
C:\WINNT\system32\zzddawert.dat
C:\WINNT\system32\drivers\iscflash.sys
C:\WINNT\system32\Spool\c.ini
C:\WINNT\system32\kwave.sys --- rootkitfile
C:\WINNT\system32\drivers\mrxdavv.sys --- rootkitfile

--- Catchme logfile - thank you Gmer ---

--- Analysing Catchme logfile ---

L'ordi rame un peu ce matin, j'ai du le rallumer, quant a antivir, j'ai réussi à le supprimé, je l'ai retéléchargé mais il ne veut toujours pas redémarrer, il dit que tel ou tel fichiers/dossiers a été modifié...

Je dois partir sur paris tout le we, je ne pourrai donc rien faire de plus avant lundi.
Je vous souhaite donc un bon week end
Merci
et merci gen... ;-) (à moins que ca ne me soit pas adressé lol)

Réponse 104 / 282

Lyonnais92 Messages postés 25159 Date d'inscription Statut Contributeur sécurité Dernière intervention 1 537

Bonjour,

l'outil trouve pas mal de choses.

* Ouvrir le dossier C:\Program Files\haxfix et double-cliquer sur fix.bat
(ou double-cliquer sur l'icone du bureau fix.bat )
* Fermer toutes les autres fenêtres, car Haxfix re-démarerra le système.
* Selectionner l'option 2. Run auto fix en tapant 2 puis "Entrée"

si une infection est trouvée, Vous aurez un message demandant de fermer toutes les autres fenêtres ouvertes.

* Fermer toutes les autres fenêtres sauf la fenêtre à fond rouge de haxfix puis taper "Entrée"
* La machine sera re-démarrée
* En fin de re-démarrage un rapport s'ouvrira > (c:\haxfix.txt)
* Poster le contenu de ce rapport ainsi qu'un nouveau rapport HijackThis

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 105 / 282

lachoukrate Messages postés 234 Date d'inscription Statut Membre Dernière intervention 2

bonjour :-)

voici rapport haxfix pour commencer puis HJT pour continuer
merci...HAXFIX logfile - by Marckie

version 5.057
lun. 19/01/2009 15:29:00,82

--- Auto Haxdoorfix ---

Haxdoorfix Part 1

no infections found

Haxdoorfix Part 2

searching for notifykeys
no notifykeys found

searching for services
no services found

searching for safeboot services
no safeboot services found

--- Goldun- and SpyBankerfix ---

searching for other goldun- spybanker- and haxdoorfiles:
C:\WINNT\system32\a9k.bin
C:\WINNT\system32\ntld.bin
C:\WINNT\system32\ojhaaasdd.dat
C:\WINNT\system32\P2.INI
C:\WINNT\system32\p3.ini
C:\WINNT\system32\preved.bat
C:\WINNT\system32\ps1.dat
C:\WINNT\system32\qm.dll
C:\WINNT\system32\qm.sys
C:\WINNT\system32\qo.dll
C:\WINNT\system32\qo.sys
C:\WINNT\system32\qy.dll
C:\WINNT\system32\qy.sys
C:\WINNT\system32\qz.dll
C:\WINNT\system32\qz.sys
C:\WINNT\system32\rc.dat
C:\WINNT\system32\rdata.bin
C:\WINNT\system32\winsms.bat
C:\WINNT\system32\winsms.dll
C:\WINNT\system32\wmdconf32.dll
C:\WINNT\system32\wmedia16.exe
C:\WINNT\system32\wmldap.dll
C:\WINNT\system32\wrapk.sys
C:\WINNT\system32\x8.xxd
C:\WINNT\system32\xd.bin
C:\WINNT\system32\xd.txt
C:\WINNT\system32\xg.ffc
C:\WINNT\system32\xlift.sys
C:\WINNT\system32\xmd.dat
C:\WINNT\system32\yvpp01.dll
C:\WINNT\system32\yvpp02.sys
C:\WINNT\system32\zq.dll
C:\WINNT\system32\zq.sys
C:\WINNT\system32\zxcsedr.dll
C:\WINNT\system32\zzddawert.dat
C:\WINNT\system32\drivers\iscflash.sys
C:\WINNT\system32\Spool\c.ini
C:\WINNT\system32\kwave.sys --- rootkitfile
C:\WINNT\system32\drivers\mrxdavv.sys --- rootkitfile

checking iexplore.exe
iexplore.exe is not infected

searching for SSODLkeys
no SSODLkeys found

searching for browser helper objects
no known browser helper objects found

searching for appinit files

checking for Active Setup Installed Components
no known Active Setup Installed Components found

searching for notifykeys
syncps

searching for services
no services found

--- Registrysettings ---

not necessary

.....rebooting the computer.....

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:42:15, on 19/01/2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\drivers\KodakCCS.exe
C:\WINNT\system32\HPZipm12.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\i386kd.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\ScsiAccess.EXE
C:\WINNT\system32\stisvc.exe
C:\Program Files\QuickTime\qttask.exe
D:\HP Software Update\HPWuSchd2.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINNT\system32\mspmspsv.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\WINNT\system\VMwareService.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\reader_s.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\services.exe
C:\WINNT\TEMP\TMPE.tmp
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
C:\WINNT\Explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.xeoo.com/?p=h&a=f
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww17.ads.eorezo.com/cgi-bin/advert/getads.cgi?x_format=redirect&x_dp_id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: UserInit=C:\WINNT\SYSTEM32\Userinit.exe,C:\WINNT\TEMP\init.exe,C:\WINNT\system32\i386kd.exe,C:\WINNT\system32\pdbcopy.exe,C:\WINNT\system32\undname.exe,C:\WINNT\system32\codeblocks.exe,C:\WINNT\system32\undname.exe,C:\WINNT\system32\makehm.exe,C:\WINNT\system32\windres.exe,C:\WINNT\system32\idaw64.exe,
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] "D:\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [rs32net] C:\WINNT\System32\rs32net.exe
O4 - HKLM\..\Run: [PromoReg] C:\WINNT\TEMP\TMPE.tmp
O4 - HKLM\..\Run: [services] C:\WINNT\services.exe
O4 - HKLM\..\Run: [reader_s] C:\WINNT\System32\reader_s.exe
O4 - HKLM\..\Run: [HaxFix] C:\HaxFix.exe /after
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [rs32net] C:\WINNT\System32\rs32net.exe
O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\chouchouk\reader_s.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [WDSS] "C:\pxd32.exe" * (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [reader_s] C:\Documents and Settings\chouchouk\reader_s.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [rs32net] C:\WINNT\System32\rs32net.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [] C:\Documents and Settings\Default User\.exe /i (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: MultiRes.lnk = C:\Program Files\MultiRes\MultiRes.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINNT\system32\sistray.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Download with &Shareaza - res://C:\Program Files\Shareaza\Plugins\RazaWebHook.dll/3000
O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - http://www.sis.com/ocis/OSInfo.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/ocis/SiSAutodetectNT.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://plugin.driveragent.com/files/driveragent.cab
O20 - Winlogon Notify: mchfqsar - C:\WINNT\SYSTEM32\mchfqsar32.dll
O20 - Winlogon Notify: syncps - C:\WINNT\SYSTEM32\syncps.dll
O22 - SharedTaskScheduler: jgzfkj9w38rksndfi7r4 - {C5BF49A2-94F3-42BD-F434-3604812C8955} - (no file)
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Unknown owner - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Unknown owner - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: FCI - Unknown owner - C:\WINNT\system32\svchost.exe:ext.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICF - Unknown owner - C:\WINNT\system32\svchost.exe:ext.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINNT\system32\drivers\KodakCCS.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: ptssvc - Unknown owner - D:\Kodak EasyShare software\bin\ptssvc.exe (file missing)
O23 - Service: ScsiAccess - Unknown owner - C:\WINNT\system32\ScsiAccess.EXE
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: VMwareService - Unknown owner - C:\WINNT\system\VMwareService.exe

Réponse 106 / 282

Lyonnais92 Messages postés 25159 Date d'inscription Statut Contributeur sécurité Dernière intervention 1 537

Bonjour,

désinstalle Spybot S&D et supprime son répertoire.

Tu loe réinstalleras en fin de désinfection si tu le souhaites.

Pour le moment, il gêne la désinfection.

===================
On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.

Réponse 107 / 282

lachoukrate Messages postés 234 Date d'inscription Statut Membre Dernière intervention 2

c'est une étape sur laquelle j'ai déja bien galéré avec gen. Est ce que je dois créer/utiliser des disquettes d'instal, car sur mon cd d'install le i386\winnt32/cdmcons n'existe pas, j'ai i386\winnt32.exe uniquement, et quand je valide il m'ouvre l'assistant d'installation de windows 2000 mais pas de console de récup. Je ne sais pas comment faire pour démarrer l'ordi par le cd (le BIOS???)... Comment je dois m'y prendre sur cette étape (j'ai pourtant lu toutes les pages et liens et c'est toujours pas bien clair pour moi). Si je télécharge les disquettes je choisis quoi windows XP pro, familiale?

Réponse 108 / 282

Lyonnais92 Messages postés 25159 Date d'inscription Statut Contributeur sécurité Dernière intervention 1 537

Re,

si je comprends bien ce qui est écrit ici :

http://jc.bellamy.free.fr/fr/windows2000.html#consolerecup

(cherche l'item installation de la console si tu n'est pas directement dessus),

insère ton CD,

fais démarrer puis exécuter et tape

X:\i386\winnt32.exe /cmdcons

(ce ne sera pas X, ce doit être ton lecteur CD, donc D probablement).

Recommence l'installation de Combofix.

Réponse 109 / 282

lachoukrate Messages postés 234 Date d'inscription Statut Membre Dernière intervention 2

est il possible que ca ne figure pas dans mon installation, car meme en ouvrant tous les fichiers i386 je ne le trouve pas, pourtant dans l'aide du fichier wint 32/cmd ils en parlent. J'ai tout lu le 2d lien. A ce moment la faut il que je réinstalle des composant tels que débogage (je sais pas ce que ca veut dire, ou un truc similaire). De plus je ne trouve pas pour redémarrer a partir du CD. Je ne connais absolument pas cette procedure. Je suis désolée, mais ce post(post 58 + 103) qui m'a déja demandé énormément de recherche, me rend perplexe et impuissante
Euh Haxfix c'est relancé, au moment ou l'ordi a redémarré sans que je lui demande...

10 mn après ...

bon j'ai trouvé pour le bios, mais j'attends que haxfix est fini de répéter inlassablement depuis taleur : findstr : impossible d'ouvrir c:\haxfix\rootkit.log

Réponse 110 / 282

Lyonnais92 Messages postés 25159 Date d'inscription Statut Contributeur sécurité Dernière intervention 1 537

Re,

tu as le fichier i386\winnt32.exe sur le CD ?

Il me semble que oui.

Il n'y a pas de fichier i386\winnt32.exe/cmdcons.

Il y a un paramètre cmdcons à passer avec un espace entre exe et /

=============

tu as un rapport pour haxfix ?

Réponse 111 / 282

lachoukrate Messages postés 234 Date d'inscription Statut Membre Dernière intervention 2

YEEEEEEEEEEEEEEEEEEEEEEEESSSSSSSS
J'ai trouvé la console de récupération. C'est l'espace qui a fait la différence... Désolée je l'avais pas vu :-(
MERCI
Bon j'essaie de gérer la suite, mais d'abord nourrir le ti bonhomme,
a ce soir et bonne appétit en attendant :-)

j'attends toujours le rapport haxfix

Réponse 112 / 282

lachoukrate Messages postés 234 Date d'inscription Statut Membre Dernière intervention 2

re,

alors après maintes recherches : est ce que :
-passer par le portable, enregistrer combofix sur la clé usb et le mettre sur le pc est possible (d'après ce que j'ai pu lire a droite et a gauche : NON, il faudrait l'enregistrer directement sur le lien). N'arrivant pas à atteindre la page par le pc (404 Not found ou le serveur ne peut afficher la page...) . J'ai retapé l'adresse entièremet sous mozilla ou IE je n'arrive pas à l'atteindre. Par le biais de la clé usb, il faut dézipper le dossier et après j'ai tous les fichiers qui s'affichent.Meme en clic droit il ne me propose jamais exécuter ou enregistrer la cible sous... Donc aucune réaction de combofix. Ou me suis je donc trompée cette fois ci? Je vous assure que je ne le fais pas expres, et je suis désolée de vous prendre autant de temps pour des "broutilles" de débutante :-(

a propos la console est installée et le rapport haxfix s'est lopé sur un rebootage, donc pas de traces;...

Réponse 113 / 282

Lyonnais92 Messages postés 25159 Date d'inscription Statut Contributeur sécurité Dernière intervention 1 537

Re,

tu peux faire comme tu dis.

Plus exactement :

télécharge Combofix et enregistre le sur le Bureau de l'ordi sain.

Renomme le lachoukrate

Copie le sur le Bureau de l'ordi infecté et exécute le après avoir fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware

poste le rapport (C:\combofix.txt)

Réponse 114 / 282

Utilisateur anonyme

petit bonsoir au Lyonnais que je remercie encore d'avoir récupéré le topic :-)

ainsi qu'a la choukrate

Réponse 115 / 282

lachoukrate Messages postés 234 Date d'inscription Statut Membre Dernière intervention 2

C'est parti pour le démarrage de combofix...
A suivre...
Merci... :-)

Réponse 116 / 282

lachoukrate Messages postés 234 Date d'inscription Statut Membre Dernière intervention 2

ET VOILA CE FAMEUX COMBOFIX.LOG
EN TOUT CAS J'Y COMPRENDS ABSOLUMENT RIEN DU TOUT LOL; vU LE MAL QU'IL M'A DONNé CE RAPPORT! IL AURAIT PU ETRE UN PEU PLUS CLAIR, MAIS C'EST DéFINITIVEMENT PAS MON RAYON. ET C'EST POUR CA QUE C'EST AUSSI GéNIAL D'AVOIR DES GENS COMME VOUS...
En espérant que je me fasse moins de cheveux blancs, sur les prochaines étapes ;-)

ComboFix 09-01-19.03 - chouchouk 2009-01-19 23:37:05.1 - NTFSx86
Microsoft Windows 2000 Professionnel 5.0.2195.4.1252.1.1036.18.480.300 [GMT 1:00]
Lancé depuis: F:\lachoukrate.exe
.
[i] ADS - svchost.exe: deleted 108544 bytes in 1 streams. /i

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\winnt\services.exe
c:\winnt\system32\4.tmp
c:\winnt\system32\B.tmp
c:\winnt\system32\C.tmp
c:\winnt\system32\codeblocks.exe
c:\winnt\system32\drivers\protect.sys
c:\winnt\system32\drivers\TDSSmaxt.sys
c:\winnt\system32\i
c:\winnt\system32\idaw64.exe
c:\winnt\system32\mchfqsar.dll
c:\winnt\system32\mchfqsar32.dll
c:\winnt\system32\Microsoft\backup.ftp
c:\winnt\system32\Microsoft\backup.tftp
c:\winnt\system32\rs32net.exe
c:\winnt\system32\TDSScfum.dll
c:\winnt\system32\TDSSfxwp.dll
c:\winnt\system32\TDSSnmxh.log
c:\winnt\system32\TDSSnrsr.dll
c:\winnt\system32\TDSSofxh.dll
c:\winnt\system32\TDSSosvd.dat
c:\winnt\system32\TDSSrhym.log
c:\winnt\system32\TDSSriqp.dll
c:\winnt\system32\TDSSsbhc.dll
c:\winnt\system32\TDSStkdv.log
c:\winnt\system32\windres.exe
c:\winnt\Temp\[u]0/u.EXE
c:\winnt\Web\default.htt

[COLOR=RED] c:\winnt\system32\services.exe . . . est infecté!!/COLOR

[COLOR=RED] c:\winnt\system32\svchost.exe . . . est infecté!!/COLOR

[COLOR=RED] c:\winnt\system32\spoolsv.exe . . . est infecté!!/COLOR

[COLOR=RED] c:\winnt\explorer.exe . . . est infecté!!/COLOR

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_TDSSserv.sys
-------\Legacy_TDSSserv.sys
-------\Legacy_FCI
-------\Legacy_ICF
-------\Legacy_MCAFEE_SECURITY_AGENT_TASKBAR_EXTENSION.
-------\Legacy_MSDDLL
-------\Legacy_PROTECT
-------\Legacy_RESTORE
-------\Legacy_WINSPOOLSVC
-------\Service_FCI
-------\Service_ICF
-------\Service_protect
-------\Service_restore

((((((((((((((((((((((((((((( Fichiers créés du 2008-12-19 au 2009-01-19 ))))))))))))))))))))))))))))))))))))
.

2009-01-19 23:44 . 09-01-19 23:44 54,156 --ah----- c:\winnt\QTFont.qfn
2009-01-19 23:44 . 09-01-19 23:44 1,409 --a------ c:\winnt\QTFont.for
2009-01-19 21:32 . 09-01-19 22:03 58,368 --a------ c:\winnt\system32\deviceemulator.exe
2009-01-19 20:40 . 09-01-19 20:40 58,368 --a------ c:\winnt\system32\hhupd.exe
2009-01-19 20:06 . 09-01-19 20:06 53,248 --a------ c:\winnt\services.ex_
2009-01-19 18:31 . 09-01-19 18:31 232,960 --a------ c:\documents and settings\chouchouk\swreg.exe
2009-01-19 18:31 . 09-01-19 18:31 188,928 --a------ c:\documents and settings\chouchouk\catchme.exe
2009-01-19 18:31 . 09-01-19 18:31 97,124 --a------ c:\documents and settings\chouchouk\vfind.exe
2009-01-19 18:31 . 09-01-19 18:31 94,720 --a------ c:\documents and settings\chouchouk\dumphive.exe
2009-01-19 18:31 . 09-01-19 18:31 88,064 --a------ c:\documents and settings\chouchouk\swsc.exe
2009-01-19 18:31 . 09-01-19 18:31 83,968 --a------ c:\documents and settings\chouchouk\reboot.exe
2009-01-19 18:31 . 09-01-19 18:31 65,536 --a------ c:\documents and settings\chouchouk\process.exe
2009-01-19 18:31 . 09-01-19 18:31 50,176 --a------ c:\documents and settings\chouchouk\md5file.exe
2009-01-19 18:31 . 09-01-19 18:31 49,664 --a------ c:\documents and settings\chouchouk\moveex.exe
2009-01-16 01:26 . 09-01-16 01:24 512,214 --a------ C:\HaxFix.exe
2009-01-16 01:25 . 09-01-19 18:32 <DIR> d-------- C:\HaxFix
2009-01-16 00:24 . 09-01-16 00:24 <DIR> d-------- c:\winnt\system32\Kaspersky Lab
2009-01-16 00:12 . 09-01-16 00:12 0 --a------ c:\winnt\system32\1E.tmp
2009-01-16 00:04 . 09-01-16 00:04 0 --a------ c:\winnt\system32\1B.tmp
2009-01-15 23:50 . 09-01-15 23:50 0 --a------ c:\winnt\system32\19.tmp
2009-01-15 23:33 . 09-01-15 23:33 29,184 --a------ c:\winnt\system32\15.tm_
2009-01-15 23:33 . 09-01-15 23:33 28,672 --a------ c:\winnt\system32\16.tm_
2009-01-15 16:37 . 09-01-19 20:05 91,136 --a------ c:\winnt\system32\makehm.exe
2009-01-15 15:12 . 09-01-19 21:48 72,192 --a------ c:\winnt\system32\reader_s.exe
2009-01-15 15:12 . 09-01-19 20:05 28,672 --a------ c:\winnt\system32\reader_s.tmp
2009-01-15 15:06 . 09-01-15 15:06 <DIR> d-------- C:\_OTMoveIt
2009-01-15 15:03 . 09-01-19 21:48 90,624 --a------ c:\winnt\system32\pdbcopy.exe
2009-01-15 13:37 . 09-01-15 13:37 120,320 --a------ c:\winnt\system32\13.tmp
2009-01-15 13:37 . 09-01-15 13:37 29,184 --a------ c:\winnt\system32\14.tmp
2009-01-15 13:31 . 09-01-15 13:31 6,810 --a------ c:\winnt\system32\12.tmp
2009-01-14 16:32 . 09-01-14 16:32 57,856 --a------ c:\winnt\system32\7z.exe
2009-01-14 16:16 . 09-01-15 14:57 57,856 --a------ c:\winnt\system32\i386kd.exe
2009-01-14 15:57 . 09-01-14 15:57 <DIR> d-------- c:\program files\Support Tools
2009-01-14 12:52 . 09-01-15 13:36 286,208 --a------ C:\ipasj.exe
2009-01-12 18:09 . 09-01-12 18:09 186,592 --a------ c:\winnt\system32\drivers\windrvr6.sys
2009-01-12 18:08 . 09-01-12 18:12 <DIR> d-------- c:\program files\U.B. Funkeys
2009-01-12 17:44 . 03-06-23 13:00 95,744 --a------ c:\winnt\system32\appmg.dll
2009-01-11 22:07 . 09-01-11 22:07 0 --a------ c:\winnt\nsreg.dat
2009-01-11 22:01 . 09-01-11 22:01 7,679,120 --a------ c:\program files\setupmozilla.exe
2009-01-11 17:57 . 09-01-15 23:33 58,368 --a------ c:\winnt\system32\undname.exe
2009-01-11 15:20 . 09-01-11 16:59 <DIR> d-------- C:\ToolBar SD
2009-01-11 15:19 . 09-01-11 15:19 343,017 --a------ c:\program files\ToolBarSD.exe
2009-01-10 19:25 . 09-01-10 19:25 144,034 --a------ C:\Sans titre.bmp
2009-01-10 11:03 . 09-01-10 11:03 24,172 --a------ c:\winnt\system32\syncps.dl_
2009-01-10 11:03 . 09-01-10 11:03 8,672 --a------ c:\winnt\system32\syncmc.sys
2009-01-09 21:02 . 09-01-09 21:02 <DIR> d-------- c:\program files\MSXML 4.0
2009-01-09 20:56 . 09-01-09 20:56 <DIR> d-------- c:\program files\microsoft frontpage
2009-01-09 11:14 . 09-01-09 11:14 <DIR> d-------- c:\winnt\ERUNT
2009-01-08 23:36 . 09-01-09 00:03 <DIR> d-------- C:\rsit
2009-01-08 10:06 . 09-01-16 12:30 28,672 --a------ c:\documents and settings\Default User\reader_s.exe
2009-01-08 09:53 . 09-01-15 15:12 58,368 --a------ c:\winnt\system32\vmware-ufad.exe
2009-01-08 01:03 . 09-01-19 22:03 39,936 --a------ c:\documents and settings\chouchouk\reader_s.exe
2009-01-08 00:34 . 07-09-15 01:24 31,232 --a------ c:\winnt\system32\reg.exe
2009-01-08 00:29 . 09-01-16 09:16 <DIR> d-------- c:\program files\Navilog1
2009-01-08 00:26 . 09-01-08 00:26 133,240 --a------ C:\pxd32.ex_
2009-01-07 03:51 . 09-01-07 03:51 <DIR> d-------- c:\documents and settings\chouchouk\Application Data\Malwarebytes
2009-01-07 03:44 . 09-01-07 03:44 <DIR> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-01-07 01:42 . 07-05-30 13:10 10,872 --a------ c:\winnt\system32\drivers\AvgAsCln.sys
2009-01-07 01:29 . 09-01-19 15:41 <DIR> d-------- C:\hijackthis
2009-01-06 23:52 . 09-01-06 23:52 <DIR> d-------- c:\program files\Runtimeware.com
2009-01-06 23:52 . 04-03-09 01:00 609,824 --a------ c:\winnt\system32\comctl32.ocx
2009-01-05 22:04 . 09-01-05 22:04 <DIR> d-------- c:\documents and settings\chouchouk\Application Data\AVGTOOLBAR
2009-01-05 22:00 . 09-01-05 22:00 <DIR> d-------- c:\program files\AVG
2009-01-05 13:34 . 09-01-05 13:35 <DIR> d-------- c:\program files\CCleaner
2009-01-05 13:30 . 09-01-05 13:30 <DIR> d-------- c:\program files\Trend Micro
2009-01-04 23:35 . 09-01-04 23:35 <DIR> d-------- c:\documents and settings\chouchouk\Application Data\Grisoft
2009-01-04 23:32 . 09-01-04 23:32 <DIR> d-------- c:\documents and settings\All Users\Application Data\Grisoft
2009-01-04 18:53 . 09-01-04 18:53 1,297,408 -rahs---- c:\winnt\system\VMwareService.exe
2009-01-03 16:08 . 09-01-19 15:57 <DIR> d-a------ c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-01-03 15:55 . 09-01-03 15:55 <DIR> d-------- c:\winnt\BDOSCAN8
2009-01-03 15:08 . 08-10-16 14:08 27,672 --a------ c:\winnt\system32\wuapi.dll.mui
2009-01-01 16:28 . 09-01-01 16:28 <DIR> d-------- c:\documents and settings\chouchouk\Application Data\dvdcss

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-19 14:19 51,472 ----a-w c:\winnt\system32\svchost.exe
2009-01-16 09:13 --------- d-----w c:\documents and settings\chouchouk\Application Data\OpenOffice.org2
2008-10-23 05:27 237,840 ----a-w c:\winnt\system32\GDI32.DLL
2008-03-19 11:34 271 ---h--w c:\program files\desktop.ini
2008-03-19 11:34 22,115 ---h--w c:\program files\folder.htt
2003-06-23 12:00 32,528 -c--a-w c:\winnt\inf\wbfirdma.sys
2007-04-16 12:44 164,975 --sha-r c:\winnt\system32\vjyfddz.dll
.

------- Sigcheck -------

09-01-19 15:19 51472 20d100d77c1e525e8b93c1baf790303b c:\winnt\system32\svchost.exe
03-06-23 13:00 19216 3a8b8be18658ac004bd0819c3d0eff4a c:\winnt\system32\dllcache\svchost.exe

03-06-23 13:00 255760 8138db26d09d8a42ca236614f4667c1e c:\winnt\explorer.exe
03-06-23 13:00 255760 bfdb123e98f1becd9533d514a8d4ee49 c:\winnt\system32\dllcache\explorer.exe

03-06-23 13:00 103184 0a252beed78595ba61a70256473f83d7 c:\winnt\$NtUpdateRollupPackUninstall$\services.exe
05-06-03 11:25 106768 db1345acfc881a1b1579cee3e22bd542 c:\winnt\SoftwareDistribution\Download\5f1f98b38a02ea4262e21bbeb3ede9f0\services.exe
05-06-03 11:25 106768 c2e4e765c5c58c1f3b8eaf7b4e5b1e8a c:\winnt\system32\SERVICES.EXE
05-06-03 11:25 106768 f19d99e3297e85cbe685af30d7794c7d c:\winnt\system32\dllcache\services.exe

03-06-23 13:00 56592 9554f127c42b96c07b86bc509d7e96ae c:\winnt\$NtUninstallKB896423$\spoolsv.exe
05-07-12 05:59 58128 31d17c08a046d93a652e1ba5acae3f42 c:\winnt\system32\spoolsv.exe
05-07-12 05:59 58640 4ddd1ae635e6806de1cd021c416d151e c:\winnt\system32\dllcache\spoolsv.exe

08-10-16 14:09 51224 c7abd7cfda6a1ae6caa0c18b2a50f349 c:\winnt\system32\wuauclt.exe
07-07-30 19:19 53080 5042abb5ddccf2c9afc51b690901a59f c:\winnt\system32\dllcache\wuauclt.exe

03-06-23 13:00 29968 26aa199e672ffe9b5fdada140342e9ee c:\winnt\system32\userinit.exe
03-06-23 13:00 29968 d82eaa637094b6e3318ed80a49f315da c:\winnt\system32\dllcache\userinit.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Yahoo! Pager"="c:\program files\Yahoo!\Messenger\YahooMessenger.exe" [07-08-30 17:43 4670704]
"reader_s"="c:\documents and settings\chouchouk\reader_s.exe" [09-01-19 22:03 39936]
"internat.exe"="internat.exe" [03-06-23 13:00 33552 c:\winnt\system32\internat.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [08-06-25 08:24 90112]
"HP Software Update"="d:\hp software update\HPWuSchd2.exe" [04-09-13 15:49 225280]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [08-06-10 03:27 144784]
"PCSuiteTrayApplication"="c:\program files\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [07-06-18 14:10 282624]
"!AVG Anti-Spyware"="c:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [07-06-11 10:25 6731312]
"reader_s"="c:\winnt\System32\reader_s.exe" [09-01-19 21:48 72192]
"Synchronization Manager"="mobsync.exe" [03-06-23 13:00 255760 c:\winnt\system32\mobsync.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [07-06-19 09:17 1253376]
"reader_s"="c:\documents and settings\chouchouk\reader_s.exe" [09-01-19 22:03 39936]
"internat.exe"="internat.exe" [03-06-23 13:00 33552 c:\winnt\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\program files\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-23 13:00 202000]

c:\documents and settings\chouchouk\Menu D‚marrer\Programmes\D‚marrage\
MultiRes.lnk - c:\program files\MultiRes\MultiRes.exe [2006-09-12 70144]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - d:\digital imaging\bin\hpqtra08.exe [2004-11-04 303104]
Logiciel Kodak EasyShare.lnk - c:\program files\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2004-04-27 680075]
Utility Tray.lnk - c:\winnt\system32\sistray.exe [2008-04-04 307200]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= mmdrv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001

R?4 qtmdb;Time Installer;c:\winnt\system32\svchost.exe -k netsvcs [2003-06-23 51472]
R3 openhci;Pilote de contrôleur hôte ouvert USB Microsoft;c:\winnt\system32\drivers\openhci.sys [2003-06-23 24784]
R3 SiS7012;Service for AC'97 Sample Driver (WDM);c:\winnt\system32\drivers\sis7012.sys [2004-11-03 267136]
R3 SISNIC2K;SiS PCI Fast Ethernet Adapter Driver for NDIS5;c:\winnt\system32\drivers\sisnic2k.sys [2006-02-14 32768]
R4 VMwareService;VMwareService;c:\winnt\system\VMwareService.exe [2009-01-04 1297408]
S3 banshee;banshee;c:\winnt\system32\drivers\banshee.sys [2008-03-24 38928]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\winnt\system32\drivers\fbxusb32.sys [2004-10-20 21344]
S3 nv3;nv3;c:\winnt\system32\drivers\nv3.sys [2008-03-19 201328]
S3 PAC7302;PAC7302 VGA USB Camera;c:\winnt\system32\drivers\PAC7302.SYS [2008-06-03 457856]
S4 ptssvc;ptssvc;d:\kodak easyshare software\bin\ptssvc.exe --> d:\kodak easyshare software\bin\ptssvc.exe [?]
S4 spupdsvc;Windows Service Pack Installer update service;c:\winnt\system32\spupdsvc.exe [2008-03-19 22752]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - IPNAT
*NewlyCreated* - RASAUTO
*NewlyCreated* - SHAREDACCESS

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
qtmdb
.
Contenu du dossier 'Tâches planifiées'

2009-01-07 c:\winnt\Tasks\Norton Security Scan.job
- c:\program files\Norton Security Scan\Nss.exe []
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-rs32net - c:\winnt\System32\rs32net.exe
HKLM-Run-avgnt - c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
HKU-Default-Run-WDSS - C:\pxd32.exe
HKU-Default-Run-rs32net - c:\winnt\System32\rs32net.exe
SharedTaskScheduler-{C5BF49A2-94F3-42BD-F434-3604812C8955} - (no file)

.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.xeoo.com/?p=h&a=f
mStart Page = hxxp://ads.eorezo.com/cgi-bin/advert/getads.cgi?x_format=redirect&x_dp_id=9
uSearchURL,(Default) = hxxp://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
IE: Download with &Shareaza - c:\program files\Shareaza\Plugins\RazaWebHook.dll/3000
LSP: %SystemRoot%\system32\msafd.dll
FF - ProfilePath - c:\documents and settings\chouchouk\Application Data\Mozilla\Firefox\Profiles\gh9pde39.default\
FF - prefs.js: browser.search.selectedEngine - xeoo.com
FF - prefs.js: keyword.URL - hxxp://xeoo.com/?p=url&a=firefox&k=
FF - plugin: c:\program files\QuickTime\Plugins\npqtplugin8.dll

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("pref.browser.homepage.disable_button.bookmark_page", false);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("pref.browser.homepage.disable_button.current_page", false);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("pref.browser.homepage.disable_button.restore_default", false);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.places.importBookmarksHTML", true);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.places.importDefaults", false);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.search.selectedEngine", "xeoo.com");
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("keyword.URL", "http://xeoo.com/?p=url&a=firefox&k=");
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.startup.homepage", "http://www.xeoo.com/?p=h&a=firefox");
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-19 23:45:28
Windows 5.0.2195 Service Pack 4 NTFS

detected NTDLL code modification:
ZwOpenFile

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

c:\winnt\system32\Perflib_Perfdata_718.dat 16384 bytes
c:\winnt\system32\Perflib_Perfdata_72c.dat 16384 bytes
c:\winnt\system32\Perflib_Perfdata_750.dat 16384 bytes

Scan terminé avec succès
Fichiers cachés: 3

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\qtmdb]
"ServiceDll"="c:\winnt\system32\vjyfddz.dll"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(192)
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL
c:\winnt\system32\rsabase.dll

- - - - - - - > 'explorer.exe'(1952)
c:\winnt\AppPatch\AcLayers.DLL
.
Heure de fin: 2009-01-19 23:52:09 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-01-19 22:52:03

Avant-CF: 482,766,848 octets libres
Après-CF: 519,614,464 octets libres

271 --- E O F --- 2009-01-09 20:05:36

Réponse 117 / 282

Lyonnais92 Messages postés 25159 Date d'inscription Statut Contributeur sécurité Dernière intervention 1 537

Re,

Ce rapport apporte de bonnes nouvelles :

suppression des fichiers du rootkit TDSS et de quelques autres

et des mauvaises :

4 fichiers système sont infectés et il reste des fichiers nuisibles

On va essayer de tuer tout ça.

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C5BF49A2-94F3-42BD-F434-3604812C8955}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C5BF49A2-94F3-42BD-F434-3604812C8955}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9FEA4E4B-E2C0-4F99-AF33-B467B3BBEA0A}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9FEA4E4B-E2C0-4F99-AF33-B467B3BBEA0A}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C5BF49A2-94F3-42BD-F434-3604812C8955}]
"C:\WINNT\system32\rwhbfb873unjdfdg.dll"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"reader_s"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"reader_s"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoFolderOptions"=-
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\pxd32.exe"=-

File::
c:\winnt\system32\hhupd.exe
c:\winnt\system32\1E.tmp
c:\winnt\system32\1B.tmp
c:\winnt\system32\19.tmp
c:\winnt\system32\15.tm_
c:\winnt\system32\16.tm_
c:\winnt\system32\13.tmp
c:\winnt\system32\14.tmp
c:\winnt\system32\12.tmp
C:\WINNT\system32\reader_s.tmp
C:\WINNT\system32\reader_s.exe
c:\winnt\system32\syncmc.sys
c:\documents and settings\Default User\reader_s.exe
c:\documents and settings\chouchouk\reader_s.exe
c:\program files\folder.htt

FCopy::
c:\winnt\system32\dllcache\svchost.exe | c:\winnt\system32\svchost.exe
c:\winnt\system32\dllcache\explorer.exe | c:\winnt\explorer.exe
c:\winnt\system32\dllcache\services.exe | c:\winnt\system32\SERVICES.EXE
c:\winnt\system32\dllcache\spoolsv.exe | c:\winnt\system32\spoolsv.exe

Enregistre ce fichier sous le nom CFscript

Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

Réponse 118 / 282

lachoukrate Messages postés 234 Date d'inscription Statut Membre Dernière intervention 2

je crois que je vais remettre tout cela à demain, trop fatiguée, un sale virus m'a chopé moi aussi, je voudrais pas faire de bétises.
Je te remercie pour ton aide, et je te souhaite une bonne nuit.
A demain lyonnais 92 :-)

Réponse 119 / 282

lachoukrate Messages postés 234 Date d'inscription Statut Membre Dernière intervention 2

bonjour,

voici pour commencer combofix
j'envoie HJT ensuite
merci :-) ca a l'air d'aller beaucoup mieux déja...

ComboFix 09-01-19.05 - chouchouk 20/01/2009 16:34:49.2 - NTFSx86
Microsoft Windows 2000 Professionnel 5.0.2195.4.1252.1.1036.18.480.228 [GMT 1:00]
Lancé depuis: c:\documents and settings\chouchouk\Bureau\lachoukrate.exe
Commutateurs utilisés :: c:\documents and settings\chouchouk\Bureau\CFscript.txt

FILE ::
c:\documents and settings\chouchouk\reader_s.exe
c:\documents and settings\Default User\reader_s.exe
c:\program files\folder.htt
c:\winnt\system32\12.tmp
c:\winnt\system32\13.tmp
c:\winnt\system32\14.tmp
c:\winnt\system32\15.tm_
c:\winnt\system32\16.tm_
c:\winnt\system32\19.tmp
c:\winnt\system32\1B.tmp
c:\winnt\system32\1E.tmp
c:\winnt\system32\hhupd.exe
c:\winnt\system32\reader_s.exe
c:\winnt\system32\reader_s.tmp
c:\winnt\system32\syncmc.sys
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\chouchouk\reader_s.exe
c:\documents and settings\Default User\reader_s.exe
c:\program files\folder.htt
c:\winnt\system32\12.tmp
c:\winnt\system32\13.tmp
c:\winnt\system32\14.tmp
c:\winnt\system32\15.tm_
c:\winnt\system32\16.tm_
c:\winnt\system32\19.tmp
c:\winnt\system32\1B.tmp
c:\winnt\system32\1E.tmp
c:\winnt\system32\actcontroller.exe
c:\winnt\system32\drivers\protect.sys
c:\winnt\system32\hhupd.exe
c:\winnt\system32\reader_s.exe
c:\winnt\system32\reader_s.tmp
c:\winnt\system32\syncmc.sys
c:\winnt\temp\[u]0/u.EXE

[COLOR=RED] c:\winnt\system32\services.exe . . . est infecté!!/COLOR

[COLOR=RED] c:\winnt\system32\svchost.exe . . . est infecté!!/COLOR

[COLOR=RED] c:\winnt\system32\spoolsv.exe . . . est infecté!!/COLOR

[COLOR=RED] c:\winnt\explorer.exe . . . est infecté!!/COLOR

.
--------------- FCopy ---------------

c:\winnt\system32\dllcache\svchost.exe --> c:\winnt\system32\svchost.exe
c:\winnt\system32\dllcache\explorer.exe --> c:\winnt\explorer.exe
c:\winnt\system32\dllcache\services.exe --> c:\winnt\system32\SERVICES.EXE
c:\winnt\system32\dllcache\spoolsv.exe --> c:\winnt\system32\spoolsv.exe
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_PROTECT
-------\Service_protect
-------\Service_restore

((((((((((((((((((((((((((((( Fichiers créés du 2008-12-20 au 2009-01-20 ))))))))))))))))))))))))))))))))))))
.

2009-01-20 16:43 . 09-01-20 16:43 16,384 --a----t- c:\winnt\system32\Perflib_Perfdata_6494.dat
2009-01-20 16:43 . 09-01-20 16:43 16,384 --a----t- c:\winnt\system32\Perflib_Perfdata_634.dat
2009-01-20 16:18 . 09-01-20 16:19 28,672 --a------ c:\winnt\system32\B.tm_
2009-01-20 00:49 . 09-01-20 00:49 465,110 ---h----- c:\winnt\ShellIconCache
2009-01-20 00:04 . 09-01-20 00:04 43,008 --a------ c:\winnt\services.ex_
2009-01-19 23:47 . 09-01-19 23:54 1,429 --a------ c:\winnt\imsins.BAK
2009-01-19 23:44 . 09-01-20 16:43 54,156 --ah----- c:\winnt\QTFont.qfn
2009-01-19 23:44 . 09-01-20 16:43 1,409 --a------ c:\winnt\QTFont.for
2009-01-19 21:32 . 09-01-19 22:03 58,368 --a------ c:\winnt\system32\deviceemulator.exe
2009-01-19 18:31 . 09-01-19 18:31 232,960 --a------ c:\documents and settings\chouchouk\swreg.exe
2009-01-19 18:31 . 09-01-19 18:31 188,928 --a------ c:\documents and settings\chouchouk\catchme.exe
2009-01-19 18:31 . 09-01-19 18:31 97,124 --a------ c:\documents and settings\chouchouk\vfind.exe
2009-01-19 18:31 . 09-01-19 18:31 94,720 --a------ c:\documents and settings\chouchouk\dumphive.exe
2009-01-19 18:31 . 09-01-19 18:31 88,064 --a------ c:\documents and settings\chouchouk\swsc.exe
2009-01-19 18:31 . 09-01-19 18:31 83,968 --a------ c:\documents and settings\chouchouk\reboot.exe
2009-01-19 18:31 . 09-01-19 18:31 65,536 --a------ c:\documents and settings\chouchouk\process.exe
2009-01-19 18:31 . 09-01-19 18:31 50,176 --a------ c:\documents and settings\chouchouk\md5file.exe
2009-01-19 18:31 . 09-01-19 18:31 49,664 --a------ c:\documents and settings\chouchouk\moveex.exe
2009-01-16 01:26 . 09-01-16 01:24 512,214 --a------ C:\HaxFix.exe
2009-01-16 01:25 . 09-01-19 18:32 <DIR> d-------- C:\HaxFix
2009-01-16 00:24 . 09-01-16 00:24 <DIR> d-------- c:\winnt\system32\Kaspersky Lab
2009-01-15 16:37 . 09-01-19 20:05 91,136 --a------ c:\winnt\system32\makehm.exe
2009-01-15 15:06 . 09-01-15 15:06 <DIR> d-------- C:\_OTMoveIt
2009-01-15 15:03 . 09-01-19 21:48 90,624 --a------ c:\winnt\system32\pdbcopy.exe
2009-01-14 16:32 . 09-01-14 16:32 57,856 --a------ c:\winnt\system32\7z.exe
2009-01-14 16:16 . 09-01-15 14:57 57,856 --a------ c:\winnt\system32\i386kd.exe
2009-01-14 15:57 . 09-01-14 15:57 <DIR> d-------- c:\program files\Support Tools
2009-01-14 12:52 . 09-01-15 13:36 286,208 --a------ C:\ipasj.exe
2009-01-12 18:09 . 09-01-12 18:09 186,592 --a------ c:\winnt\system32\drivers\windrvr6.sys
2009-01-12 18:08 . 09-01-12 18:12 <DIR> d-------- c:\program files\U.B. Funkeys
2009-01-12 17:44 . 03-06-23 13:00 95,744 --a------ c:\winnt\system32\appmg.dll
2009-01-11 22:07 . 09-01-11 22:07 0 --a------ c:\winnt\nsreg.dat
2009-01-11 22:01 . 09-01-11 22:01 7,679,120 --a------ c:\program files\setupmozilla.exe
2009-01-11 17:57 . 09-01-15 23:33 58,368 --a------ c:\winnt\system32\undname.exe
2009-01-11 15:20 . 09-01-11 16:59 <DIR> d-------- C:\ToolBar SD
2009-01-11 15:19 . 09-01-11 15:19 343,017 --a------ c:\program files\ToolBarSD.exe
2009-01-10 19:25 . 09-01-10 19:25 144,034 --a------ C:\Sans titre.bmp
2009-01-10 11:03 . 09-01-10 11:03 24,172 --a------ c:\winnt\system32\syncps.dl_
2009-01-09 21:02 . 09-01-09 21:02 <DIR> d-------- c:\program files\MSXML 4.0
2009-01-09 20:56 . 09-01-09 20:56 <DIR> d-------- c:\program files\microsoft frontpage
2009-01-09 11:14 . 09-01-09 11:14 <DIR> d-------- c:\winnt\ERUNT
2009-01-08 23:36 . 09-01-09 00:03 <DIR> d-------- C:\rsit
2009-01-08 09:53 . 09-01-15 15:12 58,368 --a------ c:\winnt\system32\vmware-ufad.exe
2009-01-08 00:34 . 07-09-15 01:24 31,232 --a------ c:\winnt\system32\reg.exe
2009-01-08 00:29 . 09-01-16 09:16 <DIR> d-------- c:\program files\Navilog1
2009-01-08 00:26 . 09-01-08 00:26 133,240 --a------ C:\pxd32.ex_
2009-01-07 03:51 . 09-01-07 03:51 <DIR> d-------- c:\documents and settings\chouchouk\Application Data\Malwarebytes
2009-01-07 03:44 . 09-01-07 03:44 <DIR> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-01-07 01:42 . 07-05-30 13:10 10,872 --a------ c:\winnt\system32\drivers\AvgAsCln.sys
2009-01-07 01:29 . 09-01-19 15:41 <DIR> d-------- C:\hijackthis
2009-01-06 23:52 . 09-01-06 23:52 <DIR> d-------- c:\program files\Runtimeware.com
2009-01-06 23:52 . 04-03-09 01:00 609,824 --a------ c:\winnt\system32\comctl32.ocx
2009-01-05 22:04 . 09-01-05 22:04 <DIR> d-------- c:\documents and settings\chouchouk\Application Data\AVGTOOLBAR
2009-01-05 22:00 . 09-01-05 22:00 <DIR> d-------- c:\program files\AVG
2009-01-05 13:34 . 09-01-05 13:35 <DIR> d-------- c:\program files\CCleaner
2009-01-05 13:30 . 09-01-05 13:30 <DIR> d-------- c:\program files\Trend Micro
2009-01-04 23:35 . 09-01-04 23:35 <DIR> d-------- c:\documents and settings\chouchouk\Application Data\Grisoft
2009-01-04 23:32 . 09-01-04 23:32 <DIR> d-------- c:\documents and settings\All Users\Application Data\Grisoft
2009-01-04 18:53 . 09-01-04 18:53 1,297,408 -rahs---- c:\winnt\system\VMwareService.exe
2009-01-03 19:24 . 07-10-25 09:00 230,912 -----c--- c:\winnt\system32\dllcache\wmasf.dll
2009-01-03 19:24 . 08-02-15 14:24 96,528 --a------ c:\winnt\system32\dnsrslvr.dll
2009-01-03 16:08 . 09-01-19 15:57 <DIR> d-a------ c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-01-03 15:55 . 09-01-03 15:55 <DIR> d-------- c:\winnt\BDOSCAN8
2009-01-03 15:08 . 08-10-16 14:08 27,672 --a------ c:\winnt\system32\wuapi.dll.mui
2009-01-01 16:28 . 09-01-01 16:28 <DIR> d-------- c:\documents and settings\chouchouk\Application Data\dvdcss

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-16 09:13 --------- d-----w c:\documents and settings\chouchouk\Application Data\OpenOffice.org2
2008-10-23 05:27 237,840 ----a-w c:\winnt\system32\GDI32.DLL
2008-03-19 11:34 271 ---h--w c:\program files\desktop.ini
2003-06-23 12:00 32,528 -c--a-w c:\winnt\inf\wbfirdma.sys
2007-04-16 12:44 164,975 --sha-r c:\winnt\system32\vjyfddz.dll
.

------- Sigcheck -------

03-06-23 13:00 19216 3a8b8be18658ac004bd0819c3d0eff4a c:\winnt\system32\svchost.exe
03-06-23 13:00 19216 3a8b8be18658ac004bd0819c3d0eff4a c:\winnt\system32\dllcache\svchost.exe

03-06-23 13:00 255760 bfdb123e98f1becd9533d514a8d4ee49 c:\winnt\explorer.exe
03-06-23 13:00 255760 bfdb123e98f1becd9533d514a8d4ee49 c:\winnt\system32\dllcache\explorer.exe

03-06-23 13:00 103184 0a252beed78595ba61a70256473f83d7 c:\winnt\$NtUpdateRollupPackUninstall$\services.exe
05-06-03 11:25 106768 db1345acfc881a1b1579cee3e22bd542 c:\winnt\SoftwareDistribution\Download\5f1f98b38a02ea4262e21bbeb3ede9f0\services.exe
05-06-03 11:25 106768 db1345acfc881a1b1579cee3e22bd542 c:\winnt\system32\SERVICES.EXE
05-06-03 11:25 106768 db1345acfc881a1b1579cee3e22bd542 c:\winnt\system32\dllcache\services.exe

03-06-23 13:00 56592 9554f127c42b96c07b86bc509d7e96ae c:\winnt\$NtUninstallKB896423$\spoolsv.exe
05-07-12 05:59 58640 4ddd1ae635e6806de1cd021c416d151e c:\winnt\system32\spoolsv.exe
05-07-12 05:59 58640 4ddd1ae635e6806de1cd021c416d151e c:\winnt\system32\dllcache\spoolsv.exe

08-10-16 14:09 51224 c7abd7cfda6a1ae6caa0c18b2a50f349 c:\winnt\system32\wuauclt.exe
07-07-30 19:19 53080 5042abb5ddccf2c9afc51b690901a59f c:\winnt\system32\dllcache\wuauclt.exe

03-06-23 13:00 29968 26aa199e672ffe9b5fdada140342e9ee c:\winnt\system32\userinit.exe
03-06-23 13:00 29968 d82eaa637094b6e3318ed80a49f315da c:\winnt\system32\dllcache\userinit.exe
.
((((((((((((((((((((((((((((( snapshot@lun. 2009-01-19_23.49.25.87 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-06-03 10:31:00 142,096 ------w c:\winnt\Driver Cache\i386\faxui.dll
+ 2005-06-03 10:24:18 117,328 ------w c:\winnt\Driver Cache\i386\ftdisk.sys
+ 2004-12-02 12:59:18 85,888 ------w c:\winnt\Driver Cache\i386\halmacpi.dll
+ 2005-06-03 10:30:50 505,104 ------w c:\winnt\Driver Cache\i386\ntdll.dll
- 2005-10-20 19:02:28 178,176 ----a-w c:\winnt\ERDNT\Hiv-backup\ERDNT.EXE
+ 2005-10-20 19:02:28 177,664 ----a-w c:\winnt\ERDNT\Hiv-backup\ERDNT.EXE
- 2005-10-20 19:02:28 178,176 ----a-w c:\winnt\ERDNT\subs\ERDNT.EXE
+ 2005-10-20 19:02:28 177,664 ----a-w c:\winnt\ERDNT\subs\ERDNT.EXE
- 2000-08-31 07:00:00 75,264 ----a-w c:\winnt\NIRCMD.exe
+ 2000-08-31 07:00:00 108,544 ----a-w c:\winnt\NIRCMD.exe
- 2003-12-10 02:47:42 24,848 ----a-w c:\winnt\system32\CHKDSK.EXE
+ 2003-12-10 02:47:42 90,384 ----a-w c:\winnt\system32\CHKDSK.EXE
- 2002-08-30 17:24:06 529,680 ----a-w c:\winnt\system32\comctl32.dll
+ 2006-08-28 08:44:10 530,192 ----a-w c:\winnt\system32\comctl32.dll
- 2005-04-21 08:03:08 127,568 -c--a-w c:\winnt\system32\dllcache\afd.sys
+ 2008-05-08 08:38:06 119,152 -c--a-w c:\winnt\system32\dllcache\afd.sys
- 2003-12-10 02:47:42 254,224 -c--a-w c:\winnt\system32\dllcache\chkdsk.exe
+ 2003-12-10 02:47:42 24,848 -c--a-w c:\winnt\system32\dllcache\chkdsk.exe
- 2002-08-30 17:24:06 529,680 -c--a-w c:\winnt\system32\dllcache\comctl32.dll
+ 2006-08-28 08:44:10 530,192 -c--a-w c:\winnt\system32\dllcache\comctl32.dll
- 2002-08-30 17:08:12 76,288 -c--a-w c:\winnt\system32\dllcache\directdb.dll
+ 2008-06-25 14:35:50 75,776 -c--a-w c:\winnt\system32\dllcache\DIRECTDB.DLL
- 2006-07-06 11:45:50 137,488 -c--a-w c:\winnt\system32\dllcache\dnsapi.dll
+ 2008-06-25 09:42:08 137,488 -c--a-w c:\winnt\system32\dllcache\dnsapi.dll
- 2006-07-06 11:45:50 96,528 -c--a-w c:\winnt\system32\dllcache\dnsrslvr.dll
+ 2008-02-15 13:24:24 96,528 -c--a-w c:\winnt\system32\dllcache\dnsrslvr.dll
- 2003-06-23 12:00:00 499,741 -c--a-w c:\winnt\system32\dllcache\dxmasf.dll
+ 2006-08-24 12:17:20 500,278 -c--a-w c:\winnt\system32\dllcache\dxmasf.dll
- 2005-06-03 10:24:18 92,432 -c--a-w c:\winnt\system32\dllcache\fontview.exe
+ 2005-06-03 10:24:18 59,664 -c--a-w c:\winnt\system32\dllcache\fontview.exe
- 2002-08-30 17:08:12 593,408 -c--a-w c:\winnt\system32\dllcache\inetcomm.dll
+ 2008-06-25 14:35:58 601,088 -c--a-w c:\winnt\system32\dllcache\INETCOMM.DLL
- 2002-08-30 17:08:12 50,688 -c--a-w c:\winnt\system32\dllcache\inetres.dll
+ 2008-06-25 15:33:10 50,688 -c--a-w c:\winnt\system32\dllcache\INETRES.DLL
- 2006-05-17 09:43:58 465,864 -c--a-w c:\winnt\system32\dllcache\jscript.dll
+ 2008-01-05 02:06:08 458,752 -c--a-w c:\winnt\system32\dllcache\jscript.dll
- 2005-01-13 16:19:18 129,296 -c----w c:\winnt\system32\dllcache\LLSSRV.EXE
+ 2005-01-13 16:19:18 96,528 -c----w c:\winnt\system32\dllcache\LLSSRV.EXE
- 2003-06-23 12:00:00 76,560 -c--a-w c:\winnt\system32\dllcache\logagent.exe
+ 2008-06-10 00:31:06 115,200 -c--a-w c:\winnt\system32\dllcache\logagent.exe
- 2003-06-23 12:00:00 108,816 -c--a-w c:\winnt\system32\dllcache\msafd.dll
+ 2008-06-25 09:42:08 105,744 -c--a-w c:\winnt\system32\dllcache\msafd.dll
- 2008-10-16 09:50:06 2,706,432 -c--a-w c:\winnt\system32\dllcache\MSHTML.DLL
+ 2008-12-11 13:22:44 2,706,432 -c--a-w c:\winnt\system32\dllcache\MSHTML.DLL
- 2002-08-30 17:24:06 44,032 -c--a-w c:\winnt\system32\dllcache\msident.dll
+ 2008-06-25 15:33:10 44,032 -c--a-w c:\winnt\system32\dllcache\MSIDENT.DLL
- 2002-08-30 17:08:12 101,888 -c--a-w c:\winnt\system32\dllcache\msimn.exe
+ 2008-06-25 15:33:10 100,864 -c--a-w c:\winnt\system32\dllcache\MSIMN.EXE
- 2002-08-30 17:08:12 1,174,016 -c--a-w c:\winnt\system32\dllcache\msoe.dll
+ 2008-06-25 14:36:02 1,176,064 -c--a-w c:\winnt\system32\dllcache\MSOE.DLL
- 2002-08-30 17:08:34 228,864 -c--a-w c:\winnt\system32\dllcache\msoeacct.dll
+ 2008-06-25 15:33:12 229,376 -c--a-w c:\winnt\system32\dllcache\MSOEACCT.DLL
- 2002-08-30 17:08:12 2,541,056 -c--a-w c:\winnt\system32\dllcache\msoeres.dll
+ 2008-06-25 15:33:16 2,542,592 -c--a-w c:\winnt\system32\dllcache\MSOERES.DLL
- 2002-08-30 17:08:34 91,136 -c--a-w c:\winnt\system32\dllcache\msoert2.dll
+ 2008-06-25 14:35:50 91,136 -c--a-w c:\winnt\system32\dllcache\MSOERT2.DLL
- 2003-06-23 12:00:00 66,832 -c--a-w c:\winnt\system32\dllcache\mswsock.dll
+ 2008-06-25 09:42:08 67,344 -c--a-w c:\winnt\system32\dllcache\mswsock.dll
- 2005-06-03 10:24:58 854,288 -c--a-w c:\winnt\system32\dllcache\netmon.exe
+ 2005-06-03 10:24:58 822,032 -c--a-w c:\winnt\system32\dllcache\netmon.exe
- 2003-06-23 12:00:00 364,544 -c--a-w c:\winnt\system32\dllcache\npdsplay.dll
+ 2005-11-29 15:27:06 364,544 -c--a-w c:\winnt\system32\dllcache\npdsplay.dll
- 2002-08-30 17:08:12 93,184 -c--a-w c:\winnt\system32\dllcache\oeimport.dll
+ 2008-06-25 15:33:18 93,184 -c--a-w c:\winnt\system32\dllcache\OEIMPORT.DLL
- 2002-08-30 17:08:12 70,656 -c--a-w c:\winnt\system32\dllcache\oemig50.exe
+ 2008-06-25 15:33:18 70,656 -c--a-w c:\winnt\system32\dllcache\OEMIG50.EXE
- 2002-08-30 17:08:12 32,768 -c--a-w c:\winnt\system32\dllcache\oemiglib.dll
+ 2008-06-25 15:33:18 32,256 -c--a-w c:\winnt\system32\dllcache\OEMIGLIB.DLL
- 2003-06-23 12:00:00 246,544 -c--a-w c:\winnt\system32\dllcache\strmdll.dll
+ 2008-06-19 06:43:24 247,326 -c--a-w c:\winnt\system32\dllcache\strmdll.dll
- 2007-10-05 06:54:54 320,368 -c--a-w c:\winnt\system32\dllcache\tcpip.sys
+ 2008-06-18 10:05:06 320,528 -c--a-w c:\winnt\system32\dllcache\tcpip.sys
- 2002-02-26 14:58:06 462,906 -c--a-w c:\winnt\system32\dllcache\vbscript.dll
+ 2008-01-05 02:06:08 401,408 -c--a-w c:\winnt\system32\dllcache\vbscript.dll
- 2007-06-26 13:52:08 2,286,080 -c--a-w c:\winnt\system32\dllcache\VGX.DLL
+ 2008-04-29 09:22:46 2,290,688 -c--a-w c:\winnt\system32\dllcache\VGX.DLL
- 2002-08-30 17:08:34 55,808 -c--a-w c:\winnt\system32\dllcache\wab.exe
+ 2008-06-25 15:33:18 55,808 -c--a-w c:\winnt\system32\dllcache\WAB.EXE
- 2002-08-30 17:08:34 459,776 -c--a-w c:\winnt\system32\dllcache\wab32.dll
+ 2008-06-25 15:33:20 465,920 -c--a-w c:\winnt\system32\dllcache\WAB32.DLL
- 2002-08-30 17:08:34 30,720 -c--a-w c:\winnt\system32\dllcache\wabfind.dll
+ 2008-06-25 15:33:20 30,720 -c--a-w c:\winnt\system32\dllcache\WABFIND.DLL
- 2002-08-30 17:08:34 76,800 -c--a-w c:\winnt\system32\dllcache\wabimp.dll
+ 2008-06-25 15:33:20 77,824 -c--a-w c:\winnt\system32\dllcache\WABIMP.DLL
- 2002-08-30 17:08:34 38,912 -c--a-w c:\winnt\system32\dllcache\wabmig.exe
+ 2008-06-25 14:35:52 103,936 -c--a-w c:\winnt\system32\dllcache\WABMIG.EXE
- 2004-12-02 03:03:36 157,456 -c--a-w c:\winnt\system32\dllcache\wins.exe
+ 2004-12-02 03:03:36 156,944 -c--a-w c:\winnt\system32\dllcache\wins.exe
+ 2008-06-10 17:18:18 1,053,696 -c----w c:\winnt\system32\dllcache\WMNetmgr.dll
+ 2008-06-01 19:19:32 335,872 -c----w c:\winnt\system32\dllcache\WMStream.dll
+ 2007-10-25 08:01:10 2,109,440 -c----w c:\winnt\system32\dllcache\wmvcore.dll
- 2006-07-06 11:45:50 137,488 ----a-w c:\winnt\system32\dnsapi.dll
+ 2008-06-25 09:42:08 137,488 ----a-w c:\winnt\system32\dnsapi.dll
- 2005-04-21 08:03:08 127,568 ----a-w c:\winnt\system32\drivers\AFD.SYS
+ 2008-05-08 08:38:06 119,152 ----a-w c:\winnt\system32\drivers\AFD.SYS
- 2007-10-05 06:54:54 320,368 ------w c:\winnt\system32\drivers\tcpip.sys
+ 2008-06-18 10:05:06 320,528 ------w c:\winnt\system32\drivers\tcpip.sys
- 2003-06-23 12:00:00 499,741 ----a-w c:\winnt\system32\dxmasf.dll
+ 2006-08-24 12:17:20 500,278 ----a-w c:\winnt\system32\dxmasf.dll
- 2004-12-02 13:19:44 131,856 ----a-w c:\winnt\system32\fltmc.exe
+ 2004-12-02 13:19:44 34,064 ----a-w c:\winnt\system32\fltmc.exe
- 2005-06-03 10:24:18 59,664 -c--a-w c:\winnt\system32\FONTVIEW.EXE
+ 2005-06-03 10:24:18 157,456 ----a-w c:\winnt\system32\FONTVIEW.EXE
- 2005-06-03 10:24:20 88,848 ----a-w c:\winnt\system32\GRPCONV.EXE
+ 2005-06-03 10:24:20 56,080 ----a-w c:\winnt\system32\GRPCONV.EXE
- 2002-08-30 17:08:12 593,408 ----a-w c:\winnt\system32\inetcomm.dll
+ 2008-06-25 14:35:58 601,088 ----a-w c:\winnt\system32\INETCOMM.DLL
- 2002-08-30 17:08:12 50,688 ----a-w c:\winnt\system32\inetres.dll
+ 2008-06-25 15:33:10 50,688 ----a-w c:\winnt\system32\INETRES.DLL
- 2006-05-17 09:43:58 465,864 ----a-w c:\winnt\system32\jscript.dll
+ 2008-01-05 02:06:08 458,752 ----a-w c:\winnt\system32\jscript.dll
- 2002-12-11 13:04:20 92,672 ----a-w c:\winnt\system32\logagent.exe
+ 2008-06-10 00:31:06 115,200 ----a-w c:\winnt\system32\logagent.exe
- 2003-06-23 12:00:00 108,816 ----a-w c:\winnt\system32\msafd.dll
+ 2008-06-25 09:42:08 105,744 ----a-w c:\winnt\system32\msafd.dll
- 2008-10-16 09:50:06 2,706,432 ----a-w c:\winnt\system32\MSHTML.DLL
+ 2008-12-11 13:22:44 2,706,432 ----a-w c:\winnt\system32\MSHTML.DLL
- 2002-08-30 17:24:06 44,032 ----a-w c:\winnt\system32\msident.dll
+ 2008-06-25 15:33:10 44,032 ----a-w c:\winnt\system32\MSIDENT.DLL
- 2002-08-30 17:08:34 228,864 ----a-w c:\winnt\system32\msoeacct.dll
+ 2008-06-25 15:33:12 229,376 ----a-w c:\winnt\system32\MSOEACCT.DLL
- 2002-08-30 17:08:34 91,136 ----a-w c:\winnt\system32\msoert2.dll
+ 2008-06-25 14:35:50 91,136 ----a-w c:\winnt\system32\MSOERT2.DLL
- 2005-06-03 10:24:50 268,048 ----a-w c:\winnt\system32\mstask.exe
+ 2005-06-03 10:24:50 137,488 ----a-w c:\winnt\system32\mstask.exe
- 2003-06-23 12:00:00 66,832 ----a-w c:\winnt\system32\mswsock.dll
+ 2008-06-25 09:42:08 67,344 ----a-w c:\winnt\system32\mswsock.dll
- 2005-06-03 10:25:06 410,896 ----a-w c:\winnt\system32\NTVDM.EXE
+ 2005-06-03 10:25:06 509,200 ----a-w c:\winnt\system32\NTVDM.EXE
- 2004-05-16 05:02:14 166,672 ----a-w c:\winnt\system32\psxss.exe
+ 2004-05-16 05:02:14 101,648 ----a-w c:\winnt\system32\psxss.exe
- 2007-07-27 09:41:40 16,760 ------w c:\winnt\system32\spmsg.dll
+ 2007-07-27 08:41:40 16,760 ------w c:\winnt\system32\spmsg.dll
- 2007-01-05 07:49:50 22,752 -c--a-w c:\winnt\system32\spupdsvc.exe
+ 2005-06-28 08:21:34 22,752 ----a-w c:\winnt\system32\spupdsvc.exe
- 2003-06-23 12:00:00 246,544 ----a-w c:\winnt\system32\strmdll.dll
+ 2008-06-19 06:43:24 247,326 ----a-w c:\winnt\system32\strmdll.dll
- 2002-02-26 14:58:06 462,906 ----a-w c:\winnt\system32\vbscript.dll
+ 2008-01-05 02:06:08 401,408 ----a-w c:\winnt\system32\vbscript.dll
- 2005-06-03 10:25:32 104,720 ----a-w c:\winnt\system32\w32tm.exe
+ 2005-06-03 10:25:32 71,952 ----a-w c:\winnt\system32\w32tm.exe
- 2002-12-11 15:23:48 218,112 ----a-w c:\winnt\system32\wmasf.dll
+ 2007-10-25 08:00:50 230,912 ----a-w c:\winnt\system32\wmasf.dll
- 2002-12-11 15:23:58 981,504 ----a-w c:\winnt\system32\wmnetmgr.dll
+ 2008-06-10 17:18:18 1,053,696 ----a-w c:\winnt\system32\WMNetmgr.dll
- 2001-10-01 17:50:30 1,118,208 ----a-w c:\winnt\system32\wmpui.dll
+ 2007-04-30 10:07:36 1,122,304 ----a-w c:\winnt\system32\wmpui.dll
- 2001-10-01 17:47:28 335,360 -c--a-w c:\winnt\system32\wmstream.dll
+ 2008-06-01 19:19:32 335,872 ----a-w c:\winnt\system32\WMStream.dll
- 2002-12-11 17:02:38 2,058,888 ----a-w c:\winnt\system32\wmvcore.dll
+ 2007-10-25 08:01:10 2,109,440 ----a-w c:\winnt\system32\wmvcore.dll
.
-- Instantané actualisé --
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Yahoo! Pager"="c:\program files\Yahoo!\Messenger\YahooMessenger.exe" [07-08-30 17:43 4670704]
"internat.exe"="internat.exe" [03-06-23 13:00 33552 c:\winnt\system32\internat.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [08-06-25 08:24 90112]
"HP Software Update"="d:\hp software update\HPWuSchd2.exe" [04-09-13 15:49 225280]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [08-06-10 03:27 144784]
"PCSuiteTrayApplication"="c:\program files\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [07-06-18 14:10 282624]
"!AVG Anti-Spyware"="c:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [07-06-11 10:25 6731312]
"PromoReg"="c:\winnt\TEMP\TMP6.tmp" [09-01-20 16:43 395264]
"Synchronization Manager"="mobsync.exe" [03-06-23 13:00 255760 c:\winnt\system32\mobsync.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [07-06-19 09:17 1253376]
"internat.exe"="internat.exe" [03-06-23 13:00 33552 c:\winnt\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\program files\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-23 13:00 202000]

c:\documents and settings\chouchouk\Menu D‚marrer\Programmes\D‚marrage\
MultiRes.lnk - c:\program files\MultiRes\MultiRes.exe [2006-09-12 70144]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - d:\digital imaging\bin\hpqtra08.exe [2004-11-04 303104]
Logiciel Kodak EasyShare.lnk - c:\program files\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2004-04-27 680075]
Utility Tray.lnk - c:\winnt\system32\sistray.exe [2008-04-04 307200]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= mmdrv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001

R?4 qtmdb;Time Installer;c:\winnt\system32\svchost.exe -k netsvcs [2003-06-23 19216]
R3 openhci;Pilote de contrôleur hôte ouvert USB Microsoft;c:\winnt\system32\drivers\openhci.sys [2003-06-23 24784]
R3 SiS7012;Service for AC'97 Sample Driver (WDM);c:\winnt\system32\drivers\sis7012.sys [2004-11-03 267136]
R3 SISNIC2K;SiS PCI Fast Ethernet Adapter Driver for NDIS5;c:\winnt\system32\drivers\sisnic2k.sys [2006-02-14 32768]
R4 VMwareService;VMwareService;c:\winnt\system\VMwareService.exe [2009-01-04 1297408]
S3 banshee;banshee;c:\winnt\system32\drivers\banshee.sys [2008-03-24 38928]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\winnt\system32\drivers\fbxusb32.sys [2004-10-20 21344]
S3 nv3;nv3;c:\winnt\system32\drivers\nv3.sys [2008-03-19 201328]
S3 PAC7302;PAC7302 VGA USB Camera;c:\winnt\system32\drivers\PAC7302.SYS [2008-06-03 457856]
S4 ptssvc;ptssvc;d:\kodak easyshare software\bin\ptssvc.exe --> d:\kodak easyshare software\bin\ptssvc.exe [?]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
qtmdb
.
Contenu du dossier 'Tâches planifiées'

2009-01-07 c:\winnt\Tasks\Norton Security Scan.job
- c:\program files\Norton Security Scan\Nss.exe []
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-reader_s - c:\winnt\System32\reader_s.exe
HKU-Default-Run-reader_s - c:\documents and settings\chouchouk\reader_s.exe

.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.xeoo.com/?p=h&a=f
mStart Page = hxxp://ads.eorezo.com/cgi-bin/advert/getads.cgi?x_format=redirect&x_dp_id=9
uSearchURL,(Default) = hxxp://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
IE: Download with &Shareaza - c:\program files\Shareaza\Plugins\RazaWebHook.dll/3000
LSP: %SystemRoot%\system32\msafd.dll
FF - ProfilePath - c:\documents and settings\chouchouk\Application Data\Mozilla\Firefox\Profiles\gh9pde39.default\
FF - prefs.js: browser.search.selectedEngine - xeoo.com
FF - prefs.js: keyword.URL - hxxp://xeoo.com/?p=url&a=firefox&k=
FF - plugin: c:\program files\QuickTime\Plugins\npqtplugin8.dll

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("pref.browser.homepage.disable_button.bookmark_page", false);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("pref.browser.homepage.disable_button.current_page", false);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("pref.browser.homepage.disable_button.restore_default", false);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.places.importBookmarksHTML", true);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.places.importDefaults", false);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.search.selectedEngine", "xeoo.com");
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("keyword.URL", "http://xeoo.com/?p=url&a=firefox&k=");
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.startup.homepage", "http://www.xeoo.com/?p=h&a=firefox");
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-20 16:43:29
Windows 5.0.2195 Service Pack 4 NTFS

detected NTDLL code modification:
ZwOpenFile

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\qtmdb]
"ServiceDll"="c:\winnt\system32\vjyfddz.dll"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(192)
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL
c:\winnt\system32\rsabase.dll
.
Heure de fin: 2009-01-20 16:49:00 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-01-20 15:48:48
ComboFix2.txt 2009-01-19 22:52:11

Avant-CF: 501 956 608 octets libres
Après-CF: 493,195,264 octets libres

407 --- E O F --- 2009-01-20 15:45:23

Réponse 120 / 282

lachoukrate Messages postés 234 Date d'inscription Statut Membre Dernière intervention 2

puis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:07:36, on 20/01/2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\drivers\KodakCCS.exe
C:\WINNT\system32\HPZipm12.exe
C:\WINNT\system32\ScsiAccess.EXE
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\QuickTime\qttask.exe
D:\HP Software Update\HPWuSchd2.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
D:\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\WINNT\system32\sistray.exe
C:\Program Files\MultiRes\MultiRes.exe
C:\WINNT\system32\msiexec.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\reader_s.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system\VMwareService.exe
C:\WINNT\TEMP\TMP6.tmp
C:\WINNT\system32\wuauclt.exe
C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
C:\WINNT\explorer.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.xeoo.com/?p=h&a=f
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww17.ads.eorezo.com/cgi-bin/advert/getads.cgi?x_format=redirect&x_dp_id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] "D:\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [reader_s] C:\WINNT\System32\reader_s.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [reader_s] C:\Documents and Settings\chouchouk\reader_s.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: MultiRes.lnk = C:\Program Files\MultiRes\MultiRes.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINNT\system32\sistray.exe
O8 - Extra context menu item: Download with &Shareaza - res://C:\Program Files\Shareaza\Plugins\RazaWebHook.dll/3000
O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - http://www.sis.com/ocis/OSInfo.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/ocis/SiSAutodetectNT.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://plugin.driveragent.com/files/driveragent.cab
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Unknown owner - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Unknown owner - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINNT\system32\drivers\KodakCCS.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: ptssvc - Unknown owner - D:\Kodak EasyShare software\bin\ptssvc.exe (file missing)
O23 - Service: ScsiAccess - Unknown owner - C:\WINNT\system32\ScsiAccess.EXE
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: VMwareService - Unknown owner - C:\WINNT\system\VMwareService.exe

Discussions similaires

Devinette

Que peut faire 3fois/j un homme, mais qu'1fois/j une femme

visualiser une image présente dans le cache

on dis une chose positive ou positif ?

Aide pour une devinette

Votre réponse

Discussions similaires