Sujet Précédent Sujet Suivant

Infecté de virus

Mika -  
 Mika -
Bonjour à tous,

J'ai un gros soucis de virus.
En ouvrant quelque chose que je n'aurai pas du, je me suis retrouvé infecté.
Les symptômes sont que régulièrement AVAST me trouve des fichiers infectés, il interdit la connexion au site : irc.zief.pl, lorsque je me connecte à internet les images du genre le logo de google ne s'affiche pas.

Après quelque recherche je me suis rendu qu'AVAST c'était pas le top, donc j'ai essayer d'installer ANTIVIR mais il y a un problème lors de l'installation et il ne veut pas se lancer.

Comme logiciel de défense j'ai donc AVAST, Ad-aware et Spybot.

Je suis sous windows xp et utilise internet explorer.

Auriez-vous une solution, svp, ça commence à devenir lourd.
Merci d'avance.
A voir également:

60 réponses

Précédent
Réponse 21 / 60
Utilisateur anonyme
 
---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant ci-dessous :

:processes
explorer.exe

:files
C:\WINDOWS\tasks\Ad-Aware Update (Daily).job

:reg
[HKEY_USERS\S-1_5_18\Software\Microsoft\Windows\Currentversion\Run]
"fprujtee.exe"=-
"reader_s"=-
"bndafgka"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"C:\WINDOWS\system32\ljJDVoNH"=-
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

:commands
[purity]
[emptytemp]
[start explorer]
[reboot]

---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
0
Mika
 
Voilà :

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
C:\WINDOWS\tasks\Ad-Aware Update (Daily).job moved successfully.
========== REGISTRY ==========
Registry key HKEY_USERS\S-1_5_18\Software\Microsoft\Windows\Currentversion\Run not found.
Registry key HKEY_USERS\S-1_5_18\Software\Microsoft\Windows\Currentversion\Run not found.
Registry key HKEY_USERS\S-1_5_18\Software\Microsoft\Windows\Currentversion\Run not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\\C:\WINDOWS\system32\ljJDVoNH not found.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\POSTED~1\LOCALS~1\Temp\~DFFB38.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_354.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Opera cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02112009_212134

Files moved on Reboot...
File C:\DOCUME~1\POSTED~1\LOCALS~1\Temp\~DFFB38.tmp not found!
File C:\WINDOWS\temp\Perflib_Perfdata_354.dat not found!
0
Réponse 22 / 60
Utilisateur anonyme
 
desole petite erreur (grrrrr!!) : desactive le tea timer dans les options de spybot

:processes
explorer.exe

:files
C:\WINDOWS\tasks\Ad-Aware Update (Daily).job

:reg
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\Currentversion\Run]
"fprujtee.exe"=-
"reader_s"=-
"bndafgka"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"C:\WINDOWS\system32\ljJDVoNH"=-

:commands
[purity]
[emptytemp]
[start explorer]
[reboot]
0
Mika
 
Il y a pas de soucis, ça arrive.

Voilà le nouveau rapport :

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
File/Folder C:\WINDOWS\tasks\Ad-Aware Update (Daily).job not found.
========== REGISTRY ==========
Registry key HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\Currentversi-on\Run not found.
Registry key HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\Currentversi-on\Run not found.
Registry key HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\Currentversi-on\Run not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\\C:\WINDOWS\system32\ljJDVoNH not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_34c.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Opera cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02112009_213139

Files moved on Reboot...
File C:\WINDOWS\temp\Perflib_Perfdata_34c.dat not found!
0
Réponse 23 / 60
Utilisateur anonyme
 
mets a jour Malwarebyte's(si ce n est le cas) puis redemarre en mode sans echec puis fais un examen complet stp
0
Mika
 
Bah, malheureusement je peux pas le mettre à jour vu que internet ne fonctionne plus sur le pc infecté.
Je vais quand faire l'examen en mode sans échec.
0
Réponse 24 / 60
Utilisateur anonyme
 
ok :)
0
Mika
 
Malwarebytes n'a rien trouvé (en mode sans échec comme demandé), voici quand même le rapport :

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1654
Windows 5.1.2600 Service Pack 3

12/02/2009 11:23:48
mbam-log-2009-02-12 (11-23-48).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|M:\|N:\|O:\|)
Eléments examinés: 165500
Temps écoulé: 2 hour(s), 36 minute(s), 48 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 60
Utilisateur anonyme
 
bonjour :

-- Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
-- Ne pas utiliser en dehors de ce cas de figure : dangereux!

Lors de son exécution,
ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles.
Elle vous permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

<gras>Suivez les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows</gras>

et lorsque cela vous est demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.
Sous XP
https://support.microsoft.com/en-us/help/310994
Sous Vista
http://www.commentcamarche.net/faq/sujet 13735 console de recuperation vista sur cd bootable
**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

Télécharges ComboFix à partir d'un de ces liens :
En premier
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

A lire
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Et important, enregistre le sous "moi.exe" sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur moi.exe

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

? Reviens sur le forum, et

copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

0
Mika
 
J'ai un soucis avec Combofix, comme dans le tutoriel que tu m'as mis en lien combofix me dis "Combofix a détecté que la CONSOLE DE RECUPERATION WINDOWS n'existe pas sur ce PC" mais il me dis plus bas qu'une "connexion internet est indispensable" pour installer la console.
Et sur mon pc plus rien ne fonctionne, y compris internet.
Donc est-ce que je continue quand même combofix ou pas?
0
Réponse 26 / 60
Utilisateur anonyme
 
non

il est preferable de l utiliser avec la console

on va faire autre chose de plus securisant

relance otmoveit et fais bien attention a ce que le copier/coller soit identique(cce n etait pas le cas precedemment) :


:processes
explorer.exe

:reg
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\Currentversi­on\Run]
"fprujtee.exe"=-
"reader_s"=-
"bndafgka"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"C:\WINDOWS\system32\ljJDVoNH"=-

:commands
[purity]
[emptytemp]
[start explorer]
[reboot]
0
Mika
 
Ah bon, bah du coup je vais peut être de poser une question con mais le copier commence à ":processes" et s'arrête à "[reboot]", je n'ai aucun espace ou saut de ligne à prendre en plus dans mon copier/coller ?
0
Mika > Mika
 
Bah voila le rapport (copier du ":processes" au "[reboot]", coller dans word pour le transférer sur l'ordi infecté et coller dans OTmoveIt3) :

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== REGISTRY ==========
Registry key HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\Currentversi¬-on\Run not found.
Registry key HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\Currentversi¬-on\Run not found.
Registry key HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\Currentversi¬-on\Run not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\\C:\WINDOWS\system32\ljJDVoNH not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_348.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Opera cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02122009_145406

Files moved on Reboot...
File C:\WINDOWS\temp\Perflib_Perfdata_348.dat not found!
0
Réponse 27 / 60
Utilisateur anonyme
 
Word pas bon !!! document texte
0
Mika
 
Ah ok, désolé je savais pas.

J'en ai refais un du coup (j'espère que j'ai pas fait de boulette), en prenant que le bloc notes.
Voici le résultat :

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== REGISTRY ==========
Registry key HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\Currentversi­­on\Run not found.
Registry key HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\Currentversi­­on\Run not found.
Registry key HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\Currentversi­­on\Run not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\\C:\WINDOWS\system32\ljJDVoNH not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_33c.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Opera cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02122009_164818

Files moved on Reboot...
File C:\WINDOWS\temp\Perflib_Perfdata_33c.dat not found!
0
Réponse 28 / 60
Utilisateur anonyme
 
telecharge la console de recuperation indiquée plus haut (pour Combofix)et tranfere la par cle usb et suis a la lettre les instructions comme indiqué sur le lien
0
Mika
 
Alors, j'ai télécharger la console mais j'ai un problème.

Quand je lance la console il me dit "Ce programme crée les disquettes de démarrage de l'installation de Windows XP. Pour créer ces disquettes, vous devez fournir 6 disquettes haute densité, formatées et vierges." et dans le tuto ils disent "Tapez la lettre correspondant au lecteur de disquette (il s'agit en général du lecteur A). Une fois que vous avez tapé la lettre du lecteur de disquette...".

Donc le problème c'est que je n'ai pas de lecteur de disquette et que j'ai essayer avec le lecteur ou se trouve m'a clé USB et il ne se passe rien.
0
Réponse 29 / 60
Utilisateur anonyme
 
il faut la glisser sur combofix

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

tu as le ce lien ?il est explique comment faire
0
Mika
 
Euh , j'ai vu qu'il marquait que la console n'était pas installé (pourtant j'ai fait comme tu m'a dit).

Bah voici quand même le rapport :

ComboFix 09-02-11.03 - Poste de Travail 2009-02-12 18:24:40.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1023.736 [GMT 1:00]
Lancé depuis: c:\documents and settings\Poste de Travail\Bureau\moi.exe
Commutateurs utilisés :: c:\documents and settings\Poste de Travail\Bureau\WinXP_FR_PER_BF.EXE
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Outdated)
* Un nouveau point de restauration a été créé

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycled\Recycled
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\Bank.dll
c:\windows\system32\config\systemprofile\reader_s.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\HNoVDJjl.ini
c:\windows\system32\HNoVDJjl.ini2
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\Memman.vxd
c:\windows\system32\nhuoyhfd.ini
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\skinboxer43.dll
c:\windows\system32\SrchSTS.exe
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe
D:\resycled
d:\resycled\boot.com
E:\resycled
e:\resycled\boot.com
F:\resycled
f:\resycled\boot.com

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_Passthru


((((((((((((((((((((((((((((( Fichiers créés du 2009-01-12 au 2009-02-12 ))))))))))))))))))))))))))))))))))))
.

2086-03-17 07:19 . 2086-03-17 07:19 27,023 --a------ C:\acqmod
2086-03-17 07:13 . 2003-03-18 19:05 89,088 --a------ c:\windows\system32\atl71.dll
2086-03-17 07:13 . 2003-03-18 20:44 65,536 --a------ c:\windows\system32\MFC71DEU.DLL
2086-03-17 07:13 . 2003-03-18 20:44 61,440 --a------ c:\windows\system32\MFC71ITA.DLL
2086-03-17 07:13 . 2003-03-18 20:44 61,440 --a------ c:\windows\system32\MFC71ESP.DLL
2086-03-17 07:13 . 2003-03-18 20:44 57,344 --a------ c:\windows\system32\MFC71ENU.DLL
2086-03-17 07:13 . 2003-03-18 20:44 49,152 --a------ c:\windows\system32\MFC71KOR.DLL
2086-03-17 07:13 . 2003-03-18 20:44 49,152 --a------ c:\windows\system32\MFC71JPN.DLL
2086-03-17 07:13 . 2003-03-18 20:44 45,056 --a------ c:\windows\system32\MFC71CHT.DLL
2086-03-17 07:13 . 2003-03-18 20:44 40,960 --a------ c:\windows\system32\MFC71CHS.DLL
2086-03-15 23:37 . 2001-05-11 13:18 420,240 --a------ c:\windows\system32\mpg4c32.dll
2086-03-15 23:37 . 2001-03-26 04:41 245,760 --a------ c:\windows\system32\mp4sds32.ax
2009-02-11 17:45 . 2009-02-11 18:41 <REP> d-------- c:\program files\FindyKill
2009-02-11 17:18 . 2009-02-11 19:04 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-11 17:18 . 2009-02-11 17:18 <REP> d-------- c:\documents and settings\Poste de Travail\Application Data\Malwarebytes
2009-02-11 17:18 . 2009-02-11 17:18 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-02-11 17:18 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-11 17:18 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-11 16:38 . 2009-02-11 16:38 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll
2009-02-11 16:36 . 2009-02-11 16:37 <REP> d-------- c:\windows\ERUNT
2009-02-11 16:33 . 2009-02-11 16:45 <REP> d-------- C:\SDFix
2009-02-11 16:27 . 2009-02-11 16:27 <REP> d-------- C:\_OTMoveIt
2009-02-11 16:06 . 2009-02-11 16:06 3,584 --a------ c:\windows\bndafgka.exe
2009-02-11 15:58 . 2009-02-11 15:58 213,632 --a--c--- c:\windows\system32\dllcache\ndis.sys
2009-02-11 15:58 . 2009-02-11 15:58 3,584 --a------ c:\windows\fprujtee.exe
2009-02-11 15:33 . 2009-02-11 15:33 <REP> d-------- C:\rsit
2009-02-11 14:56 . 2009-02-11 14:56 <REP> d-------- c:\program files\Microsoft CAPICOM 2.1.0.2
2009-02-11 14:55 . 2009-02-11 14:55 1,374 --a------ c:\windows\imsins.BAK
2009-02-11 14:43 . 2009-02-11 14:43 <REP> d-------- c:\program files\Opera
2009-02-11 14:29 . 2009-02-11 14:29 31,744 --ah----- c:\documents and settings\Poste de Travail\nerlujv.exe
2009-02-11 13:20 . 2009-02-11 13:20 3,584 --a------ c:\windows\zzjqhlls.exe
2009-02-11 12:45 . 2005-02-22 10:27 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
2009-02-11 12:45 . 2005-02-22 10:27 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
2009-02-11 12:45 . 2005-02-22 13:15 <REP> d---s---- c:\documents and settings\Administrateur\UserData
2009-02-11 12:45 . 2005-02-22 09:31 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
2009-02-11 12:45 . 2005-03-14 12:12 <REP> dr------- c:\documents and settings\Administrateur\Mes documents
2009-02-11 12:45 . 2005-02-22 10:27 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer
2009-02-11 12:45 . 2005-03-14 12:12 <REP> dr------- c:\documents and settings\Administrateur\Favoris
2009-02-11 12:45 . 2005-02-22 13:05 <REP> d-------- c:\documents and settings\Administrateur\Bureau
2009-02-11 12:45 . 2005-02-22 12:49 <REP> d-------- c:\documents and settings\Administrateur\Application Data\You've Got Pictures Screensaver
2009-02-11 12:45 . 2005-02-22 12:27 <REP> d-------- c:\documents and settings\Administrateur\Application Data\CyberLink
2009-02-11 12:45 . 2008-05-06 16:52 <REP> d-------- c:\documents and settings\Administrateur\Application Data\AOL
2009-02-11 12:45 . 2009-02-11 12:45 <REP> d-------- c:\documents and settings\Administrateur
2009-02-11 12:41 . 2009-02-11 16:06 137,408 --a------ c:\windows\system32\drivers\ethdbzdh.sys
2009-02-11 12:41 . 2009-02-11 12:41 3,584 --a------ c:\windows\phnsiycr.exe
2009-02-11 12:13 . 2009-02-11 12:13 <REP> d-------- c:\program files\Trend Micro
2009-02-11 11:37 . 2009-02-11 11:49 250 --a------ c:\windows\gmer.ini
2009-02-11 11:32 . 2009-02-11 11:32 <REP> d-------- c:\program files\Avira
2009-02-11 11:32 . 2009-02-11 11:32 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
2009-02-11 11:10 . 2009-02-11 11:10 <REP> d-------- c:\documents and settings\Poste de Travail\DoctorWeb
2009-02-11 10:13 . 2009-02-11 11:16 <REP> d-------- c:\windows\BDOSCAN8
2009-02-11 10:13 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll
2009-02-11 10:13 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui
2009-02-10 22:51 . 2009-02-11 12:10 <REP> d-------- c:\program files\Lavasoft
2009-02-10 22:51 . 2009-02-10 22:52 <REP> d-------- c:\documents and settings\All Users\Application Data\Lavasoft
2009-02-10 22:41 . 2009-02-10 22:41 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-10 22:41 . 2009-02-10 22:41 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-02-10 22:10 . 2009-02-10 23:00 <REP> d-------- c:\windows\SxsCaPendDel
2009-02-10 22:00 . 2009-02-10 22:00 <REP> d-------- c:\program files\Uniblue
2009-02-10 21:45 . 2009-02-10 21:45 <REP> dr-h----- C:\AHCache
2009-02-10 20:53 . 2009-02-10 20:53 69,120 --a------ c:\windows\system32\vuwkbqof.dll
2009-02-10 19:06 . 2009-02-10 19:06 33,920 --a------ c:\windows\system32\drivers\wzcviwme.sys
2009-02-10 19:04 . 2009-02-11 14:29 67,072 ---h----- c:\windows\system32\secupdat.dat
2009-02-10 19:02 . 2009-02-10 20:46 <REP> d-------- c:\windows\system32\tov15
2009-02-10 19:02 . 2009-02-10 19:02 <REP> d-------- c:\windows\system32\TNR
2009-02-10 19:02 . 2009-02-10 19:02 <REP> d-------- c:\temp\sTMP3
2009-02-10 19:02 . 2009-02-10 21:23 <REP> d-------- C:\Temp
2009-02-10 19:02 . 2009-02-10 23:51 <REP> d-------- c:\documents and settings\Poste de Travail\Application Data\cogad
2009-02-10 19:02 . 2009-02-10 19:10 39,936 --a------ C:\gsqffen.exe
2009-01-30 16:39 . 2007-11-06 20:00 158,263 --a------ c:\windows\system32\nvapps.nvb
2009-01-26 16:53 . 2009-01-28 09:46 <REP> d-------- c:\program files\KONAMI
2009-01-25 16:09 . 2008-10-10 04:52 4,379,984 --a------ c:\windows\system32\D3DX9_40.dll
2009-01-25 16:09 . 2008-10-10 04:52 2,036,576 --a------ c:\windows\system32\D3DCompiler_40.dll
2009-01-25 16:09 . 2008-10-27 10:04 514,384 --a------ c:\windows\system32\XAudio2_3.dll
2009-01-25 16:09 . 2008-10-10 04:52 452,440 --a------ c:\windows\system32\d3dx10_40.dll
2009-01-25 16:09 . 2008-10-27 10:04 235,856 --a------ c:\windows\system32\xactengine3_3.dll
2009-01-25 16:09 . 2008-10-27 10:04 70,992 --a------ c:\windows\system32\XAPOFX1_2.dll
2009-01-25 16:08 . 2008-10-27 10:04 23,376 --a------ c:\windows\system32\X3DAudio1_5.dll
2009-01-22 10:59 . 2009-01-22 10:59 <REP> d-------- c:\documents and settings\Poste de Travail\Application Data\GlarySoft
2009-01-22 10:52 . 2009-01-22 10:52 <REP> d-------- c:\program files\Glary Utilities
2009-01-20 14:19 . 2009-01-20 14:19 <REP> d-------- c:\program files\Inventel
2009-01-20 14:19 . 2009-01-20 14:19 81,920 --a------ c:\windows\system32\W32N50.DLL
2009-01-20 14:19 . 2009-02-11 20:01 17,134 --a------ c:\windows\system32\PCANDIS5.SYS

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2086-03-17 06:12 --------- d-----w c:\documents and settings\All Users\Application Data\QuickTime
2009-02-12 17:28 17,408 ----a-w c:\windows\system32\drivers\USBCRFT.SYS
2009-02-11 19:52 --------- d-----w c:\program files\DB Commander 2000 PRO
2009-02-11 14:58 213,632 ----a-w c:\windows\system32\drivers\ndis.sys
2009-02-11 14:00 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2009-02-11 11:54 --------- d-----w c:\program files\CCleaner
2009-02-11 11:54 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-02-11 10:28 77,784 ----a-w c:\windows\bdoscandel.exe
2009-02-11 10:28 562,176 ----a-w c:\windows\zHotkey.exe
2009-02-11 10:28 110,592 ----a-w c:\windows\Dit.exe
2009-02-11 10:28 1,054,720 ----a-w c:\windows\explorer.exe
2009-02-10 21:41 --------- d-----w c:\program files\Java
2009-02-10 19:55 --------- d-----w c:\program files\Windows Media Connect
2009-02-10 19:46 --------- d-----w c:\program files\Fichiers communs\Ahead
2009-02-10 17:45 --------- d-----w c:\documents and settings\Poste de Travail\Application Data\Azureus
2009-02-10 16:17 --------- d--h--w c:\program files\InstallShield Installation Information
2009-02-10 11:56 137,688 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-01-30 14:48 --------- d-----w c:\program files\7-Zip
2009-01-29 08:09 --------- d-----w c:\program files\Azureus
2009-01-03 15:33 --------- d-----w c:\documents and settings\Poste de Travail\Application Data\www.pro-evo.xooit.fr
2009-01-01 22:08 --------- d-----w c:\documents and settings\All Users\Application Data\WLInstaller
2008-12-28 14:17 --------- d-----w c:\program files\NBA 2K9
2007-09-18 11:24 1,880 ----a-w c:\documents and settings\Poste de Travail\Application Data\wklnhst.dat
.

------- Sigcheck -------

2004-08-05 13:00 31232 155873e0ae86b97e1cd9bf5360d20795 c:\windows\$NtServicePackUninstall$\svchost.exe
2008-04-14 03:34 31232 99fa8eb6e6fbcd7e16aed1597a248950 c:\windows\system32\svchost.exe

2004-08-05 13:00 182912 558635d3af1c7546d26067d5d9b6959e c:\windows\$NtServicePackUninstall$\ndis.sys
2008-04-13 20:20 182656 1df7f42665c94b825322fae71721130d c:\windows\ServicePackFiles\i386\ndis.sys
2009-02-11 15:58 213632 ed336342ef3a2b4481cbcb026688b959 c:\windows\system32\dllcache\ndis.sys
2009-02-11 15:58 213632 0befb1abd0e498ae8a73088df192bb51 c:\windows\system32\drivers\ndis.sys

2009-02-11 11:28 1054720 e0e3680b0c32629ca358bf7f51e0ee78 c:\windows\explorer.exe
2004-08-05 13:00 1053184 e837f8fc2503dee64d3ee84255bc029d c:\windows\$NtServicePackUninstall$\explorer.exe
2008-04-14 03:34 1054720 c074e540441eade940d6f59bc0364138 c:\windows\ServicePackFiles\i386\explorer.exe

2008-04-14 03:33 32768 a17baf1275ac2982ad670e5dcd1b5e8c c:\windows\ServicePackFiles\i386\ctfmon.exe
2009-02-11 11:28 32256 56ff52afc4cad4c55ca7ab4e8c766809 c:\windows\system32\ctfmon.exe

2008-04-14 03:34 74752 f433148b7c7f29dd87b02a407b13b283 c:\windows\ServicePackFiles\i386\spoolsv.exe
2009-02-11 11:28 75264 77b1b9d5b2c0e847330f17b457eb939b c:\windows\system32\spoolsv.exe

2004-08-05 13:00 41984 525693d91b03f32d5f9fbbb05c635315 c:\windows\$NtServicePackUninstall$\userinit.exe
2009-02-11 11:28 43520 0263cb6fc0e1da11104544ce1e59e5ab c:\windows\system32\userinit.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2009-02-11 32256]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-11-06 8523776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-11-06 81920]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-10 148888]
"nwiz"="nwiz.exe" [2009-02-11 c:\windows\system32\nwiz.exe]
"Dit"="Dit.exe" [2009-02-11 c:\windows\Dit.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2004-10-08 c:\windows\AGRSMMSG.exe]
"CHotkey"="zHotkey.exe" [2009-02-11 c:\windows\zHotkey.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2009-02-11 32256]
"phnsiycr.exe"="c:\windows\phnsiycr.exe" [2009-02-11 3584]
"zzjqhlls.exe"="c:\windows\zzjqhlls.exe" [2009-02-11 3584]
"fprujtee.exe"="c:\windows\fprujtee.exe" [2009-02-11 3584]
"bndafgka.exe"="c:\windows\bndafgka.exe" [2009-02-11 3584]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.enc"= ITIG726.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wzcviwme.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"Omnipage"=c:\program files\ScanSoft\OmniPageSE\opware32.exe
"services"=c:\windows\services.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Azureus\\Azureus.exe"=
"c:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3sp.exe"=
"c:\\Program Files\\CCleaner\\ccleaner.exe"=
"c:\\Program Files\\NBA 2K9\\nba2k9.exe"=
"c:\\Program Files\\Outlook Express\\msimn.exe"=
"c:\\Program Files\\Uniblue\\RegistryBooster 2\\RegistryBooster.exe"=
"c:\\Program Files\\TVAnts\\Tvants.exe"=
"c:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"f:\\Jeux\\PES 2009\\pes2009.exe"=
"c:\\Documents and Settings\\Poste de Travail\\Mes documents\\My telechargements\\Jeux\\PES 09\\pes2009.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

R0 wzcviwme;wzcviwme;c:\windows\system32\drivers\wzcviwme.sys [2009-02-10 33920]
R1 oxser;OX16C95x Serial port driver;c:\windows\system32\drivers\OXSER.SYS [2005-02-22 51169]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [2005-02-22 945152]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [2005-02-22 1272000]
R3 wbscr;Winbond Smartcard Reader for I/O;c:\windows\system32\drivers\wbscr.sys [2005-02-22 19928]
S1 ethdbzdh;ethdbzdh;c:\windows\system32\drivers\ethdbzdh.sys [2009-02-11 137408]
S3 Camdrv30;Philips ToUcam XS;c:\windows\system32\drivers\camdrv30.sys [2005-04-21 171264]
S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [2005-02-22 17408]
S3 Ndisprot;ArcNet NDIS Protocol Driver;c:\windows\system32\drivers\ndisprot.sys [2008-11-20 27904]
S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [2008-10-30 217088]
S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\w300mgmt.sys [2007-01-24 87824]
S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;c:\windows\system32\drivers\w300obex.sys [2007-01-24 85696]
.
Contenu du dossier 'Tâches planifiées'

2009-02-12 c:\windows\Tasks\GlaryInitialize.job
- c:\program files\Glary Utilities\initialize.exe [2009-01-10 17:02]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl
HKU-Default-Run-reader_s - c:\documents and settings\Poste de Travail\reader_s.exe
ShellExecuteHooks-{EDB0E980-90BD-11D4-8599-0008C7D3B6F8} - (no file)


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://google.fr/
mStart Page = hxxp://www.01net.com/telecharger/
uInternet Settings,ProxyOverride = localhost
uInternet Settings,ProxyServer = 127.0.0.1:8100
IE: &Recherche AOL Toolbar - c:\program files\AOL Toolbar\toolbar.dll/SEARCH.HTML
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-12 18:27:56
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwOpenFile

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1698149477-2342113533-2771304400-1006\Software\G*e*n*i*e*"!\FM Genie Scout 2009 XE]
"GameDir"=""
"ShortlistDir"=""
"ScreenshotsDir"=""
"SaveDir"=""
"LangDB"=""
"LastSaveGame"=""
"Language"="English"
"LoadLangDB"=dword:00000000
"CompressHistoryPoints"=dword:00000000
"HighlightedAttributes"=dword:00000000
"MinCondition"=dword:00000050
"SkinName"="Champions League"
"LastUpdateCheck"=dword:00000000
"HighQualityGUI"=dword:00000001
"AutomaticallyUpdateCheck"=dword:00000001
"AdvancedGeneration"=dword:00000000
"TranslateStaffSkills"=dword:00000001
"TranslatePlayerSkills"=dword:00000001
"TranslatePositions"=dword:00000001
"ShowHistory"=dword:00000001
"Version"=dword:00000066
"UniqueID"="44-0840-451F"
"UseProxy"=dword:00000000
"ProxyHost"=""
"ProxyPort"=""
"UseAuthentication"=dword:00000000
"UserName"=""
"UserPassword"=""
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\scardsvr.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Heure de fin: 2009-02-12 18:30:23 - La machine a redémarré [Poste de Travail]
ComboFix-quarantined-files.txt 2009-02-12 17:30:20

Avant-CF: 25,000,718,336 octets libres
Après-CF: 24,915,935,232 octets libres

303 --- E O F --- 2009-02-11 14:00:12
0
Réponse 30 / 60
Utilisateur anonyme
 
encore plus simple :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix#manual_recovery
0
Mika
 
Laisse tomber mon dernier message, je me suis trompé de service pack, je te renvoie un rapport dès que c'est fini.
0
Mika > Mika
 
Voici le nouveau, il dit toujours que la console n'est pas installé pourtant j'ai fait exactement comme dans ton lien.

ComboFix 09-02-11.03 - Poste de Travail 2009-02-12 18:36:43.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1023.719 [GMT 1:00]
Lancé depuis: c:\documents and settings\Poste de Travail\Bureau\moi.exe
Commutateurs utilisés :: c:\documents and settings\Poste de Travail\Bureau\WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Outdated)
* Un nouveau point de restauration a été créé

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

((((((((((((((((((((((((((((( Fichiers créés du 2009-01-12 au 2009-02-12 ))))))))))))))))))))))))))))))))))))
.

2086-03-17 07:19 . 2086-03-17 07:19 27,023 --a------ C:\acqmod
2086-03-17 07:13 . 2003-03-18 19:05 89,088 --a------ c:\windows\system32\atl71.dll
2086-03-17 07:13 . 2003-03-18 20:44 65,536 --a------ c:\windows\system32\MFC71DEU.DLL
2086-03-17 07:13 . 2003-03-18 20:44 61,440 --a------ c:\windows\system32\MFC71ITA.DLL
2086-03-17 07:13 . 2003-03-18 20:44 61,440 --a------ c:\windows\system32\MFC71ESP.DLL
2086-03-17 07:13 . 2003-03-18 20:44 57,344 --a------ c:\windows\system32\MFC71ENU.DLL
2086-03-17 07:13 . 2003-03-18 20:44 49,152 --a------ c:\windows\system32\MFC71KOR.DLL
2086-03-17 07:13 . 2003-03-18 20:44 49,152 --a------ c:\windows\system32\MFC71JPN.DLL
2086-03-17 07:13 . 2003-03-18 20:44 45,056 --a------ c:\windows\system32\MFC71CHT.DLL
2086-03-17 07:13 . 2003-03-18 20:44 40,960 --a------ c:\windows\system32\MFC71CHS.DLL
2086-03-15 23:37 . 2001-05-11 13:18 420,240 --a------ c:\windows\system32\mpg4c32.dll
2086-03-15 23:37 . 2001-03-26 04:41 245,760 --a------ c:\windows\system32\mp4sds32.ax
2009-02-11 17:45 . 2009-02-11 18:41 <REP> d-------- c:\program files\FindyKill
2009-02-11 17:18 . 2009-02-11 19:04 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-11 17:18 . 2009-02-11 17:18 <REP> d-------- c:\documents and settings\Poste de Travail\Application Data\Malwarebytes
2009-02-11 17:18 . 2009-02-11 17:18 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-02-11 17:18 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-11 17:18 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-11 16:38 . 2009-02-11 16:38 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll
2009-02-11 16:36 . 2009-02-11 16:37 <REP> d-------- c:\windows\ERUNT
2009-02-11 16:33 . 2009-02-11 16:45 <REP> d-------- C:\SDFix
2009-02-11 16:27 . 2009-02-11 16:27 <REP> d-------- C:\_OTMoveIt
2009-02-11 16:06 . 2009-02-11 16:06 3,584 --a------ c:\windows\bndafgka.exe
2009-02-11 15:58 . 2009-02-11 15:58 213,632 --a--c--- c:\windows\system32\dllcache\ndis.sys
2009-02-11 15:58 . 2009-02-11 15:58 3,584 --a------ c:\windows\fprujtee.exe
2009-02-11 15:33 . 2009-02-11 15:33 <REP> d-------- C:\rsit
2009-02-11 14:56 . 2009-02-11 14:56 <REP> d-------- c:\program files\Microsoft CAPICOM 2.1.0.2
2009-02-11 14:55 . 2009-02-11 14:55 1,374 --a------ c:\windows\imsins.BAK
2009-02-11 14:43 . 2009-02-11 14:43 <REP> d-------- c:\program files\Opera
2009-02-11 14:29 . 2009-02-11 14:29 31,744 --ah----- c:\documents and settings\Poste de Travail\nerlujv.exe
2009-02-11 13:20 . 2009-02-11 13:20 3,584 --a------ c:\windows\zzjqhlls.exe
2009-02-11 12:45 . 2005-02-22 10:27 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
2009-02-11 12:45 . 2005-02-22 10:27 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
2009-02-11 12:45 . 2005-02-22 13:15 <REP> d---s---- c:\documents and settings\Administrateur\UserData
2009-02-11 12:45 . 2005-02-22 09:31 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
2009-02-11 12:45 . 2005-03-14 12:12 <REP> dr------- c:\documents and settings\Administrateur\Mes documents
2009-02-11 12:45 . 2005-02-22 10:27 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer
2009-02-11 12:45 . 2005-03-14 12:12 <REP> dr------- c:\documents and settings\Administrateur\Favoris
2009-02-11 12:45 . 2005-02-22 13:05 <REP> d-------- c:\documents and settings\Administrateur\Bureau
2009-02-11 12:45 . 2005-02-22 12:49 <REP> d-------- c:\documents and settings\Administrateur\Application Data\You've Got Pictures Screensaver
2009-02-11 12:45 . 2005-02-22 12:27 <REP> d-------- c:\documents and settings\Administrateur\Application Data\CyberLink
2009-02-11 12:45 . 2008-05-06 16:52 <REP> d-------- c:\documents and settings\Administrateur\Application Data\AOL
2009-02-11 12:45 . 2009-02-11 12:45 <REP> d-------- c:\documents and settings\Administrateur
2009-02-11 12:41 . 2009-02-11 16:06 137,408 --a------ c:\windows\system32\drivers\ethdbzdh.sys
2009-02-11 12:41 . 2009-02-11 12:41 3,584 --a------ c:\windows\phnsiycr.exe
2009-02-11 12:13 . 2009-02-11 12:13 <REP> d-------- c:\program files\Trend Micro
2009-02-11 11:37 . 2009-02-11 11:49 250 --a------ c:\windows\gmer.ini
2009-02-11 11:32 . 2009-02-11 11:32 <REP> d-------- c:\program files\Avira
2009-02-11 11:32 . 2009-02-11 11:32 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
2009-02-11 11:10 . 2009-02-11 11:10 <REP> d-------- c:\documents and settings\Poste de Travail\DoctorWeb
2009-02-11 10:13 . 2009-02-11 11:16 <REP> d-------- c:\windows\BDOSCAN8
2009-02-11 10:13 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll
2009-02-11 10:13 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui
2009-02-10 22:51 . 2009-02-11 12:10 <REP> d-------- c:\program files\Lavasoft
2009-02-10 22:51 . 2009-02-10 22:52 <REP> d-------- c:\documents and settings\All Users\Application Data\Lavasoft
2009-02-10 22:41 . 2009-02-10 22:41 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-10 22:41 . 2009-02-10 22:41 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-02-10 22:10 . 2009-02-10 23:00 <REP> d-------- c:\windows\SxsCaPendDel
2009-02-10 22:00 . 2009-02-10 22:00 <REP> d-------- c:\program files\Uniblue
2009-02-10 21:45 . 2009-02-10 21:45 <REP> dr-h----- C:\AHCache
2009-02-10 20:53 . 2009-02-10 20:53 69,120 --a------ c:\windows\system32\vuwkbqof.dll
2009-02-10 19:06 . 2009-02-10 19:06 33,920 --a------ c:\windows\system32\drivers\wzcviwme.sys
2009-02-10 19:04 . 2009-02-11 14:29 67,072 ---h----- c:\windows\system32\secupdat.dat
2009-02-10 19:02 . 2009-02-10 20:46 <REP> d-------- c:\windows\system32\tov15
2009-02-10 19:02 . 2009-02-10 19:02 <REP> d-------- c:\windows\system32\TNR
2009-02-10 19:02 . 2009-02-10 19:02 <REP> d-------- c:\temp\sTMP3
2009-02-10 19:02 . 2009-02-10 21:23 <REP> d-------- C:\Temp
2009-02-10 19:02 . 2009-02-10 23:51 <REP> d-------- c:\documents and settings\Poste de Travail\Application Data\cogad
2009-02-10 19:02 . 2009-02-10 19:10 39,936 --a------ C:\gsqffen.exe
2009-01-30 16:39 . 2007-11-06 20:00 158,263 --a------ c:\windows\system32\nvapps.nvb
2009-01-26 16:53 . 2009-01-28 09:46 <REP> d-------- c:\program files\KONAMI
2009-01-25 16:09 . 2008-10-10 04:52 4,379,984 --a------ c:\windows\system32\D3DX9_40.dll
2009-01-25 16:09 . 2008-10-10 04:52 2,036,576 --a------ c:\windows\system32\D3DCompiler_40.dll
2009-01-25 16:09 . 2008-10-27 10:04 514,384 --a------ c:\windows\system32\XAudio2_3.dll
2009-01-25 16:09 . 2008-10-10 04:52 452,440 --a------ c:\windows\system32\d3dx10_40.dll
2009-01-25 16:09 . 2008-10-27 10:04 235,856 --a------ c:\windows\system32\xactengine3_3.dll
2009-01-25 16:09 . 2008-10-27 10:04 70,992 --a------ c:\windows\system32\XAPOFX1_2.dll
2009-01-25 16:08 . 2008-10-27 10:04 23,376 --a------ c:\windows\system32\X3DAudio1_5.dll
2009-01-22 10:59 . 2009-01-22 10:59 <REP> d-------- c:\documents and settings\Poste de Travail\Application Data\GlarySoft
2009-01-22 10:52 . 2009-01-22 10:52 <REP> d-------- c:\program files\Glary Utilities
2009-01-20 14:19 . 2009-01-20 14:19 <REP> d-------- c:\program files\Inventel
2009-01-20 14:19 . 2009-01-20 14:19 81,920 --a------ c:\windows\system32\W32N50.DLL
2009-01-20 14:19 . 2009-02-11 20:01 17,134 --a------ c:\windows\system32\PCANDIS5.SYS

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2086-03-17 06:12 --------- d-----w c:\documents and settings\All Users\Application Data\QuickTime
2009-02-12 17:31 17,408 ----a-w c:\windows\system32\drivers\USBCRFT.SYS
2009-02-11 19:52 --------- d-----w c:\program files\DB Commander 2000 PRO
2009-02-11 14:58 213,632 ----a-w c:\windows\system32\drivers\ndis.sys
2009-02-11 14:00 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2009-02-11 11:54 --------- d-----w c:\program files\CCleaner
2009-02-11 11:54 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-02-10 21:41 --------- d-----w c:\program files\Java
2009-02-10 19:55 --------- d-----w c:\program files\Windows Media Connect
2009-02-10 19:46 --------- d-----w c:\program files\Fichiers communs\Ahead
2009-02-10 17:45 --------- d-----w c:\documents and settings\Poste de Travail\Application Data\Azureus
2009-02-10 16:17 --------- d--h--w c:\program files\InstallShield Installation Information
2009-02-10 11:56 202,040 ----a-w c:\windows\system32\PnkBstrB.exe
2009-02-10 11:56 137,688 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-01-30 14:48 --------- d-----w c:\program files\7-Zip
2009-01-29 08:09 --------- d-----w c:\program files\Azureus
2009-01-03 15:33 --------- d-----w c:\documents and settings\Poste de Travail\Application Data\www.pro-evo.xooit.fr
2009-01-01 22:08 --------- d-----w c:\documents and settings\All Users\Application Data\WLInstaller
2008-12-28 14:17 --------- d-----w c:\program files\NBA 2K9
2007-09-18 11:24 1,880 ----a-w c:\documents and settings\Poste de Travail\Application Data\wklnhst.dat
.

------- Sigcheck -------

2004-08-05 13:00 31232 155873e0ae86b97e1cd9bf5360d20795 c:\windows\$NtServicePackUninstall$\svchost.exe
2008-04-14 03:34 31232 99fa8eb6e6fbcd7e16aed1597a248950 c:\windows\system32\svchost.exe

2004-08-05 13:00 182912 558635d3af1c7546d26067d5d9b6959e c:\windows\$NtServicePackUninstall$\ndis.sys
2008-04-13 20:20 182656 1df7f42665c94b825322fae71721130d c:\windows\ServicePackFiles\i386\ndis.sys
2009-02-11 15:58 213632 ed336342ef3a2b4481cbcb026688b959 c:\windows\system32\dllcache\ndis.sys
2009-02-11 15:58 213632 0befb1abd0e498ae8a73088df192bb51 c:\windows\system32\drivers\ndis.sys

2009-02-11 11:28 1054720 e0e3680b0c32629ca358bf7f51e0ee78 c:\windows\explorer.exe
2004-08-05 13:00 1053184 e837f8fc2503dee64d3ee84255bc029d c:\windows\$NtServicePackUninstall$\explorer.exe
2008-04-14 03:34 1054720 c074e540441eade940d6f59bc0364138 c:\windows\ServicePackFiles\i386\explorer.exe

2008-04-14 03:33 32768 a17baf1275ac2982ad670e5dcd1b5e8c c:\windows\ServicePackFiles\i386\ctfmon.exe
2009-02-11 11:28 32256 56ff52afc4cad4c55ca7ab4e8c766809 c:\windows\system32\ctfmon.exe

2008-04-14 03:34 74752 f433148b7c7f29dd87b02a407b13b283 c:\windows\ServicePackFiles\i386\spoolsv.exe
2009-02-11 11:28 75264 77b1b9d5b2c0e847330f17b457eb939b c:\windows\system32\spoolsv.exe

2004-08-05 13:00 41984 525693d91b03f32d5f9fbbb05c635315 c:\windows\$NtServicePackUninstall$\userinit.exe
2009-02-11 11:28 43520 0263cb6fc0e1da11104544ce1e59e5ab c:\windows\system32\userinit.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-02-12_18.29.27.90 )))))))))))))))))))))))))))))))))))))))))
.
- 2005-10-20 19:02:28 183,808 ----a-w c:\windows\ERDNT\Hiv-backup\ERDNT.EXE
+ 2005-10-20 19:02:28 184,320 ----a-w c:\windows\ERDNT\Hiv-backup\ERDNT.EXE
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2009-02-11 32256]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-11-06 8523776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-11-06 81920]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-10 148888]
"nwiz"="nwiz.exe" [2009-02-11 c:\windows\system32\nwiz.exe]
"Dit"="Dit.exe" [2009-02-11 c:\windows\Dit.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2004-10-08 c:\windows\AGRSMMSG.exe]
"CHotkey"="zHotkey.exe" [2009-02-11 c:\windows\zHotkey.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2009-02-11 32256]
"phnsiycr.exe"="c:\windows\phnsiycr.exe" [2009-02-11 3584]
"zzjqhlls.exe"="c:\windows\zzjqhlls.exe" [2009-02-11 3584]
"fprujtee.exe"="c:\windows\fprujtee.exe" [2009-02-11 3584]
"bndafgka.exe"="c:\windows\bndafgka.exe" [2009-02-11 3584]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.enc"= ITIG726.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wzcviwme.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"Omnipage"=c:\program files\ScanSoft\OmniPageSE\opware32.exe
"services"=c:\windows\services.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Azureus\\Azureus.exe"=
"c:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3sp.exe"=
"c:\\Program Files\\CCleaner\\ccleaner.exe"=
"c:\\Program Files\\NBA 2K9\\nba2k9.exe"=
"c:\\Program Files\\Outlook Express\\msimn.exe"=
"c:\\Program Files\\Uniblue\\RegistryBooster 2\\RegistryBooster.exe"=
"c:\\Program Files\\TVAnts\\Tvants.exe"=
"c:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"f:\\Jeux\\PES 2009\\pes2009.exe"=
"c:\\Documents and Settings\\Poste de Travail\\Mes documents\\My telechargements\\Jeux\\PES 09\\pes2009.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

R0 wzcviwme;wzcviwme;c:\windows\system32\drivers\wzcviwme.sys [2009-02-10 33920]
R1 oxser;OX16C95x Serial port driver;c:\windows\system32\drivers\OXSER.SYS [2005-02-22 51169]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [2005-02-22 945152]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [2005-02-22 1272000]
R3 wbscr;Winbond Smartcard Reader for I/O;c:\windows\system32\drivers\wbscr.sys [2005-02-22 19928]
S1 ethdbzdh;ethdbzdh;c:\windows\system32\drivers\ethdbzdh.sys [2009-02-11 137408]
S3 Camdrv30;Philips ToUcam XS;c:\windows\system32\drivers\camdrv30.sys [2005-04-21 171264]
S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [2005-02-22 17408]
S3 Ndisprot;ArcNet NDIS Protocol Driver;c:\windows\system32\drivers\ndisprot.sys [2008-11-20 27904]
S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [2008-10-30 217088]
S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\w300mgmt.sys [2007-01-24 87824]
S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;c:\windows\system32\drivers\w300obex.sys [2007-01-24 85696]
.
Contenu du dossier 'Tâches planifiées'

2009-02-12 c:\windows\Tasks\GlaryInitialize.job
- c:\program files\Glary Utilities\initialize.exe [2009-01-10 17:02]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://google.fr/
mStart Page = hxxp://www.01net.com/telecharger/
uInternet Settings,ProxyOverride = localhost
uInternet Settings,ProxyServer = 127.0.0.1:8100
IE: &Recherche AOL Toolbar - c:\program files\AOL Toolbar\toolbar.dll/SEARCH.HTML
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-12 18:37:56
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwOpenFile

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1698149477-2342113533-2771304400-1006\Software\G*e*n*i*e*"!\FM Genie Scout 2009 XE]
"GameDir"=""
"ShortlistDir"=""
"ScreenshotsDir"=""
"SaveDir"=""
"LangDB"=""
"LastSaveGame"=""
"Language"="English"
"LoadLangDB"=dword:00000000
"CompressHistoryPoints"=dword:00000000
"HighlightedAttributes"=dword:00000000
"MinCondition"=dword:00000050
"SkinName"="Champions League"
"LastUpdateCheck"=dword:00000000
"HighQualityGUI"=dword:00000001
"AutomaticallyUpdateCheck"=dword:00000001
"AdvancedGeneration"=dword:00000000
"TranslateStaffSkills"=dword:00000001
"TranslatePlayerSkills"=dword:00000001
"TranslatePositions"=dword:00000001
"ShowHistory"=dword:00000001
"Version"=dword:00000066
"UniqueID"="44-0840-451F"
"UseProxy"=dword:00000000
"ProxyHost"=""
"ProxyPort"=""
"UseAuthentication"=dword:00000000
"UserName"=""
"UserPassword"=""
.
Heure de fin: 2009-02-12 18:39:16
ComboFix-quarantined-files.txt 2009-02-12 17:39:13
ComboFix2.txt 2009-02-12 17:30:24

Avant-CF: 24 896 753 664 octets libres
Après-CF: 24,882,425,856 octets libres

258 --- E O F --- 2009-02-11 14:00:12
0
Réponse 31 / 60
Utilisateur anonyme
 
bien relance Malwarebytes en examen complet stp
0
Réponse 32 / 60
Utilisateur anonyme
 
bon ok
0
Réponse 33 / 60
Utilisateur anonyme
 
bon execute le post 63 stp
0
Mika
 
Par contre vu le temps que ça met, je pourrais pas te poster le rapport avant demain, donc je te souhaite de passer une bonne soirée et je te remercie infiniment de m'aider et de m'accorder tout ce temps.
0
Réponse 34 / 60
Utilisateur anonyme
 
pas de probleme j'aurai bien du temps pour le lire !! :)

Bonne soiree
0
Mika
 
Salut gen-hackman,

Je te post le rapport malwarebytes :

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1654
Windows 5.1.2600 Service Pack 3

13/02/2009 01:24:15
mbam-log-2009-02-13 (01-24-15).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|M:\|N:\|O:\|)
Eléments examinés: 163057
Temps écoulé: 41 minute(s), 5 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\Drivers\ndisio.sys (Backdoor.Bot) -> Delete on reboot.
0
Réponse 35 / 60
Utilisateur anonyme
 
salut relance rsit (log) stp
0
Mika
 
Voilà le rapport :

Logfile of random's system information tool 1.05 (written by random/random)
Run by Poste de Travail at 2009-02-13 17:48:12
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 24 GB (33%) free of 72 GB
Total RAM: 1023 MB (70% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:48:23, on 13/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\zHotkey.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Poste de Travail\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Poste de Travail.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8100
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [phnsiycr.exe] C:\WINDOWS\phnsiycr.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [zzjqhlls.exe] C:\WINDOWS\zzjqhlls.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [fprujtee.exe] C:\WINDOWS\fprujtee.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [bndafgka.exe] C:\WINDOWS\bndafgka.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.carrefour.fr/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Unknown owner - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Unknown owner - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O24 - Desktop Component 1: PC-Aquarium Deluxe - 7db39a0d-580f-4be9-9195-8bfcd226f6c2
0
Réponse 36 / 60
Utilisateur anonyme
 
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour DamonX, il n'est pas transposable sur un autre ordinateur !

Toujours avec toutes les protections désactivées, fais ceci :

• Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
• Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
File::
C:\WINDOWS\phnsiycr.exe
C:\WINDOWS\zzjqhlls.exe
C:\WINDOWS\fprujtee.exe
C:\WINDOWS\bndafgka.exe

------------------------------------------------------------------

• Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
• Quitte le Bloc Notes

• Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif

• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

0
Mika
 
Voilà :

ComboFix 09-02-11.03 - Poste de Travail 2009-02-14 13:54:38.4 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1023.691 [GMT 1:00]
Lancé depuis: c:\documents and settings\Poste de Travail\Bureau\moi.exe
Commutateurs utilisés :: c:\documents and settings\Poste de Travail\Bureau\CFScript.txt
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Outdated)
* Un nouveau point de restauration a été créé

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

FILE ::
c:\windows\bndafgka.exe
c:\windows\fprujtee.exe
c:\windows\phnsiycr.exe
c:\windows\zzjqhlls.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\bndafgka.exe
c:\windows\fprujtee.exe
c:\windows\phnsiycr.exe
c:\windows\zzjqhlls.exe

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_Passthru


((((((((((((((((((((((((((((( Fichiers créés du 2009-01-14 au 2009-02-14 ))))))))))))))))))))))))))))))))))))
.

2086-03-17 07:19 . 2086-03-17 07:19 27,023 --a------ C:\acqmod
2086-03-17 07:13 . 2003-03-18 19:05 89,088 --a------ c:\windows\system32\atl71.dll
2086-03-17 07:13 . 2003-03-18 20:44 65,536 --a------ c:\windows\system32\MFC71DEU.DLL
2086-03-17 07:13 . 2003-03-18 20:44 61,440 --a------ c:\windows\system32\MFC71ITA.DLL
2086-03-17 07:13 . 2003-03-18 20:44 61,440 --a------ c:\windows\system32\MFC71ESP.DLL
2086-03-17 07:13 . 2003-03-18 20:44 57,344 --a------ c:\windows\system32\MFC71ENU.DLL
2086-03-17 07:13 . 2003-03-18 20:44 49,152 --a------ c:\windows\system32\MFC71KOR.DLL
2086-03-17 07:13 . 2003-03-18 20:44 49,152 --a------ c:\windows\system32\MFC71JPN.DLL
2086-03-17 07:13 . 2003-03-18 20:44 45,056 --a------ c:\windows\system32\MFC71CHT.DLL
2086-03-17 07:13 . 2003-03-18 20:44 40,960 --a------ c:\windows\system32\MFC71CHS.DLL
2086-03-15 23:37 . 2001-05-11 13:18 420,240 --a------ c:\windows\system32\mpg4c32.dll
2086-03-15 23:37 . 2001-03-26 04:41 245,760 --a------ c:\windows\system32\mp4sds32.ax
2009-02-11 17:45 . 2009-02-11 18:41 <REP> d-------- c:\program files\FindyKill
2009-02-11 17:18 . 2009-02-11 19:04 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-11 17:18 . 2009-02-11 17:18 <REP> d-------- c:\documents and settings\Poste de Travail\Application Data\Malwarebytes
2009-02-11 17:18 . 2009-02-11 17:18 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-02-11 17:18 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-11 17:18 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-11 16:38 . 2009-02-11 16:38 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll
2009-02-11 16:36 . 2009-02-11 16:37 <REP> d-------- c:\windows\ERUNT
2009-02-11 16:33 . 2009-02-11 16:45 <REP> d-------- C:\SDFix
2009-02-11 16:27 . 2009-02-11 16:27 <REP> d-------- C:\_OTMoveIt
2009-02-11 15:58 . 2009-02-11 15:58 213,632 --a--c--- c:\windows\system32\dllcache\ndis.sys
2009-02-11 15:33 . 2009-02-11 15:33 <REP> d-------- C:\rsit
2009-02-11 14:56 . 2009-02-11 14:56 <REP> d-------- c:\program files\Microsoft CAPICOM 2.1.0.2
2009-02-11 14:55 . 2009-02-11 14:55 1,374 --a------ c:\windows\imsins.BAK
2009-02-11 14:43 . 2009-02-11 14:43 <REP> d-------- c:\program files\Opera
2009-02-11 14:29 . 2009-02-11 14:29 31,744 --ah----- c:\documents and settings\Poste de Travail\nerlujv.exe
2009-02-11 12:45 . 2005-02-22 10:27 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
2009-02-11 12:45 . 2005-02-22 10:27 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
2009-02-11 12:45 . 2005-02-22 13:15 <REP> d---s---- c:\documents and settings\Administrateur\UserData
2009-02-11 12:45 . 2005-02-22 09:31 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
2009-02-11 12:45 . 2005-03-14 12:12 <REP> dr------- c:\documents and settings\Administrateur\Mes documents
2009-02-11 12:45 . 2005-02-22 10:27 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer
2009-02-11 12:45 . 2005-03-14 12:12 <REP> dr------- c:\documents and settings\Administrateur\Favoris
2009-02-11 12:45 . 2005-02-22 13:05 <REP> d-------- c:\documents and settings\Administrateur\Bureau
2009-02-11 12:45 . 2005-02-22 12:49 <REP> d-------- c:\documents and settings\Administrateur\Application Data\You've Got Pictures Screensaver
2009-02-11 12:45 . 2005-02-22 12:27 <REP> d-------- c:\documents and settings\Administrateur\Application Data\CyberLink
2009-02-11 12:45 . 2008-05-06 16:52 <REP> d-------- c:\documents and settings\Administrateur\Application Data\AOL
2009-02-11 12:45 . 2009-02-11 12:45 <REP> d-------- c:\documents and settings\Administrateur
2009-02-11 12:41 . 2009-02-11 16:06 137,408 --a------ c:\windows\system32\drivers\ethdbzdh.sys
2009-02-11 12:13 . 2009-02-11 12:13 <REP> d-------- c:\program files\Trend Micro
2009-02-11 11:37 . 2009-02-11 11:49 250 --a------ c:\windows\gmer.ini
2009-02-11 11:32 . 2009-02-11 11:32 <REP> d-------- c:\program files\Avira
2009-02-11 11:32 . 2009-02-11 11:32 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
2009-02-11 11:10 . 2009-02-11 11:10 <REP> d-------- c:\documents and settings\Poste de Travail\DoctorWeb
2009-02-11 10:13 . 2009-02-11 11:16 <REP> d-------- c:\windows\BDOSCAN8
2009-02-11 10:13 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll
2009-02-11 10:13 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui
2009-02-10 22:51 . 2009-02-10 22:52 <REP> d-------- c:\documents and settings\All Users\Application Data\Lavasoft
2009-02-10 22:41 . 2009-02-10 22:41 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-10 22:41 . 2009-02-10 22:41 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-02-10 22:10 . 2009-02-10 23:00 <REP> d-------- c:\windows\SxsCaPendDel
2009-02-10 22:00 . 2009-02-10 22:00 <REP> d-------- c:\program files\Uniblue
2009-02-10 21:45 . 2009-02-10 21:45 <REP> dr-h----- C:\AHCache
2009-02-10 20:53 . 2009-02-10 20:53 69,120 --a------ c:\windows\system32\vuwkbqof.dll
2009-02-10 19:06 . 2009-02-10 19:06 33,920 --a------ c:\windows\system32\drivers\wzcviwme.sys
2009-02-10 19:04 . 2009-02-11 14:29 67,072 ---h----- c:\windows\system32\secupdat.dat
2009-02-10 19:02 . 2009-02-10 20:46 <REP> d-------- c:\windows\system32\tov15
2009-02-10 19:02 . 2009-02-10 19:02 <REP> d-------- c:\windows\system32\TNR
2009-02-10 19:02 . 2009-02-10 19:02 <REP> d-------- c:\temp\sTMP3
2009-02-10 19:02 . 2009-02-10 21:23 <REP> d-------- C:\Temp
2009-02-10 19:02 . 2009-02-10 23:51 <REP> d-------- c:\documents and settings\Poste de Travail\Application Data\cogad
2009-02-10 19:02 . 2009-02-10 19:10 39,936 --a------ C:\gsqffen.exe
2009-01-30 16:39 . 2007-11-06 20:00 158,263 --a------ c:\windows\system32\nvapps.nvb
2009-01-25 16:09 . 2008-10-10 04:52 4,379,984 --a------ c:\windows\system32\D3DX9_40.dll
2009-01-25 16:09 . 2008-10-10 04:52 2,036,576 --a------ c:\windows\system32\D3DCompiler_40.dll
2009-01-25 16:09 . 2008-10-27 10:04 514,384 --a------ c:\windows\system32\XAudio2_3.dll
2009-01-25 16:09 . 2008-10-10 04:52 452,440 --a------ c:\windows\system32\d3dx10_40.dll
2009-01-25 16:09 . 2008-10-27 10:04 235,856 --a------ c:\windows\system32\xactengine3_3.dll
2009-01-25 16:09 . 2008-10-27 10:04 70,992 --a------ c:\windows\system32\XAPOFX1_2.dll
2009-01-25 16:08 . 2008-10-27 10:04 23,376 --a------ c:\windows\system32\X3DAudio1_5.dll
2009-01-22 10:59 . 2009-01-22 10:59 <REP> d-------- c:\documents and settings\Poste de Travail\Application Data\GlarySoft
2009-01-22 10:52 . 2009-01-22 10:52 <REP> d-------- c:\program files\Glary Utilities
2009-01-20 14:19 . 2009-01-20 14:19 <REP> d-------- c:\program files\Inventel
2009-01-20 14:19 . 2009-01-20 14:19 81,920 --a------ c:\windows\system32\W32N50.DLL
2009-01-20 14:19 . 2009-02-11 20:01 17,134 --a------ c:\windows\system32\PCANDIS5.SYS

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2086-03-17 06:12 --------- d-----w c:\documents and settings\All Users\Application Data\QuickTime
2009-02-14 12:57 17,408 ----a-w c:\windows\system32\drivers\USBCRFT.SYS
2009-02-11 19:52 --------- d-----w c:\program files\DB Commander 2000 PRO
2009-02-11 14:58 213,632 ----a-w c:\windows\system32\drivers\ndis.sys
2009-02-11 14:00 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2009-02-11 11:54 --------- d-----w c:\program files\CCleaner
2009-02-11 11:54 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-02-11 10:28 77,784 ----a-w c:\windows\bdoscandel.exe
2009-02-11 10:28 562,176 ----a-w c:\windows\zHotkey.exe
2009-02-11 10:28 110,592 ----a-w c:\windows\Dit.exe
2009-02-11 10:28 1,054,720 ----a-w c:\windows\explorer.exe
2009-02-10 21:41 --------- d-----w c:\program files\Java
2009-02-10 19:55 --------- d-----w c:\program files\Windows Media Connect
2009-02-10 19:46 --------- d-----w c:\program files\Fichiers communs\Ahead
2009-02-10 17:45 --------- d-----w c:\documents and settings\Poste de Travail\Application Data\Azureus
2009-02-10 16:17 --------- d--h--w c:\program files\InstallShield Installation Information
2009-02-10 11:56 137,688 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-01-30 14:48 --------- d-----w c:\program files\7-Zip
2009-01-29 08:09 --------- d-----w c:\program files\Azureus
2009-01-03 15:33 --------- d-----w c:\documents and settings\Poste de Travail\Application Data\www.pro-evo.xooit.fr
2009-01-01 22:08 --------- d-----w c:\documents and settings\All Users\Application Data\WLInstaller
2008-12-28 14:17 --------- d-----w c:\program files\NBA 2K9
2007-09-18 11:24 1,880 ----a-w c:\documents and settings\Poste de Travail\Application Data\wklnhst.dat
.

------- Sigcheck -------

2004-08-05 13:00 31232 155873e0ae86b97e1cd9bf5360d20795 c:\windows\$NtServicePackUninstall$\svchost.exe
2008-04-14 03:34 31232 99fa8eb6e6fbcd7e16aed1597a248950 c:\windows\system32\svchost.exe

2004-08-05 13:00 182912 558635d3af1c7546d26067d5d9b6959e c:\windows\$NtServicePackUninstall$\ndis.sys
2008-04-13 20:20 182656 1df7f42665c94b825322fae71721130d c:\windows\ServicePackFiles\i386\ndis.sys
2009-02-11 15:58 213632 ed336342ef3a2b4481cbcb026688b959 c:\windows\system32\dllcache\ndis.sys
2009-02-11 15:58 213632 0befb1abd0e498ae8a73088df192bb51 c:\windows\system32\drivers\ndis.sys

2009-02-11 11:28 1054720 e0e3680b0c32629ca358bf7f51e0ee78 c:\windows\explorer.exe
2004-08-05 13:00 1053184 e837f8fc2503dee64d3ee84255bc029d c:\windows\$NtServicePackUninstall$\explorer.exe
2008-04-14 03:34 1054720 c074e540441eade940d6f59bc0364138 c:\windows\ServicePackFiles\i386\explorer.exe

2008-04-14 03:33 32768 a17baf1275ac2982ad670e5dcd1b5e8c c:\windows\ServicePackFiles\i386\ctfmon.exe
2009-02-11 11:28 32256 56ff52afc4cad4c55ca7ab4e8c766809 c:\windows\system32\ctfmon.exe

2008-04-14 03:34 74752 f433148b7c7f29dd87b02a407b13b283 c:\windows\ServicePackFiles\i386\spoolsv.exe
2009-02-11 11:28 75264 77b1b9d5b2c0e847330f17b457eb939b c:\windows\system32\spoolsv.exe

2004-08-05 13:00 41984 525693d91b03f32d5f9fbbb05c635315 c:\windows\$NtServicePackUninstall$\userinit.exe
2009-02-11 11:28 43520 0263cb6fc0e1da11104544ce1e59e5ab c:\windows\system32\userinit.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-02-12_18.29.27.90 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-02-12 17:27:36 16,384 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2009-02-14 12:57:21 16,384 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2009-02-12 17:27:36 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2009-02-14 12:57:21 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2009-02-12 17:27:36 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2009-02-14 12:57:21 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2009-02-14 12:57:22 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_348.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2009-02-11 32256]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-11-06 8523776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-11-06 81920]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-10 148888]
"nwiz"="nwiz.exe" [2009-02-11 c:\windows\system32\nwiz.exe]
"Dit"="Dit.exe" [2009-02-11 c:\windows\Dit.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2004-10-08 c:\windows\AGRSMMSG.exe]
"CHotkey"="zHotkey.exe" [2009-02-11 c:\windows\zHotkey.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2009-02-11 32256]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.enc"= ITIG726.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wzcviwme.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"Omnipage"=c:\program files\ScanSoft\OmniPageSE\opware32.exe
"services"=c:\windows\services.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Azureus\\Azureus.exe"=
"c:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3sp.exe"=
"c:\\Program Files\\CCleaner\\ccleaner.exe"=
"c:\\Program Files\\NBA 2K9\\nba2k9.exe"=
"c:\\Program Files\\Outlook Express\\msimn.exe"=
"c:\\Program Files\\Uniblue\\RegistryBooster 2\\RegistryBooster.exe"=
"c:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"f:\\Jeux\\PES 2009\\pes2009.exe"=
"c:\\Documents and Settings\\Poste de Travail\\Mes documents\\My telechargements\\Jeux\\PES 09\\pes2009.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

R0 wzcviwme;wzcviwme;c:\windows\system32\drivers\wzcviwme.sys [2009-02-10 33920]
R1 oxser;OX16C95x Serial port driver;c:\windows\system32\drivers\OXSER.SYS [2005-02-22 51169]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [2005-02-22 945152]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [2005-02-22 1272000]
R3 wbscr;Winbond Smartcard Reader for I/O;c:\windows\system32\drivers\wbscr.sys [2005-02-22 19928]
S1 ethdbzdh;ethdbzdh;c:\windows\system32\drivers\ethdbzdh.sys [2009-02-11 137408]
S3 Camdrv30;Philips ToUcam XS;c:\windows\system32\drivers\camdrv30.sys [2005-04-21 171264]
S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [2005-02-22 17408]
S3 Ndisprot;ArcNet NDIS Protocol Driver;c:\windows\system32\drivers\ndisprot.sys [2008-11-20 27904]
S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [2008-10-30 217088]
S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\w300mgmt.sys [2007-01-24 87824]
S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;c:\windows\system32\drivers\w300obex.sys [2007-01-24 85696]
.
Contenu du dossier 'Tâches planifiées'

2009-02-14 c:\windows\Tasks\GlaryInitialize.job
- c:\program files\Glary Utilities\initialize.exe [2009-01-10 17:02]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKU-Default-Run-phnsiycr.exe - c:\windows\phnsiycr.exe
HKU-Default-Run-zzjqhlls.exe - c:\windows\zzjqhlls.exe
HKU-Default-Run-fprujtee.exe - c:\windows\fprujtee.exe
HKU-Default-Run-bndafgka.exe - c:\windows\bndafgka.exe


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://google.fr/
mStart Page = hxxp://www.01net.com/telecharger/
uInternet Settings,ProxyServer = 127.0.0.1:8100
uInternet Settings,ProxyOverride = localhost
IE: &Recherche AOL Toolbar - c:\program files\AOL Toolbar\toolbar.dll/SEARCH.HTML
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-14 13:57:41
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwOpenFile

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1698149477-2342113533-2771304400-1006\Software\G*e*n*i*e*"!\FM Genie Scout 2009 XE]
"GameDir"=""
"ShortlistDir"=""
"ScreenshotsDir"=""
"SaveDir"=""
"LangDB"=""
"LastSaveGame"=""
"Language"="English"
"LoadLangDB"=dword:00000000
"CompressHistoryPoints"=dword:00000000
"HighlightedAttributes"=dword:00000000
"MinCondition"=dword:00000050
"SkinName"="Champions League"
"LastUpdateCheck"=dword:00000000
"HighQualityGUI"=dword:00000001
"AutomaticallyUpdateCheck"=dword:00000001
"AdvancedGeneration"=dword:00000000
"TranslateStaffSkills"=dword:00000001
"TranslatePlayerSkills"=dword:00000001
"TranslatePositions"=dword:00000001
"ShowHistory"=dword:00000001
"Version"=dword:00000066
"UniqueID"="44-0840-451F"
"UseProxy"=dword:00000000
"ProxyHost"=""
"ProxyPort"=""
"UseAuthentication"=dword:00000000
"UserName"=""
"UserPassword"=""
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\scardsvr.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Heure de fin: 2009-02-14 13:59:56 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-02-14 12:59:53
ComboFix2.txt 2009-02-12 17:39:17
ComboFix3.txt 2009-02-12 17:30:24

Avant-CF: 24 829 382 656 octets libres
Après-CF: 24,821,399,552 octets libres

288 --- E O F --- 2009-02-11 14:00:12
0
Réponse 37 / 60
Utilisateur anonyme
 
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement cet ordinateur, il n'est pas transposable sur un autre ordinateur !

Toujours avec toutes les protections désactivées, fais ceci :

• Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
• Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
File::
c:\documents and settings\Poste de Travail\nerlujv.exe
c:\windows\system32\vuwkbqof.dll
c:\windows\system32\drivers\wzcviwme.sys
c:\windows\system32\secupdat.dat
C:\gsqffen.exe
c:\documents and settings\Poste de Travail\Application Data\www.pro-evo.xooit.fr
c:\windows\services.exe
c:\windows\system32\drivers\wzcviwme.sys

Folder::
C:\acqmod
C:\AHCache
c:\windows\system32\tov15
c:\windows\system32\TNR
c:\temp\sTMP3
C:\Temp
c:\documents and settings\Poste de Travail\Application Data\cogad

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wzcviwme.sys]

------------------------------------------------------------------

• Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
• Quitte le Bloc Notes

• Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif

• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt
0
Mika
 
Voilà :

ComboFix 09-02-11.03 - Poste de Travail 2009-02-14 16:42:30.5 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1023.708 [GMT 1:00]
Lancé depuis: c:\documents and settings\Poste de Travail\Bureau\moi.exe
Commutateurs utilisés :: c:\documents and settings\Poste de Travail\Bureau\CFScript.txt
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Outdated)
* Un nouveau point de restauration a été créé

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

FILE ::
c:\documents and settings\Poste de Travail\Application Data\www.pro-evo.xooit.fr
c:\documents and settings\Poste de Travail\nerlujv.exe
C:\gsqffen.exe
c:\windows\services.exe
c:\windows\system32\drivers\wzcviwme.sys
c:\windows\system32\secupdat.dat
c:\windows\system32\vuwkbqof.dll
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\acqmod\
C:\AHCache
c:\documents and settings\Poste de Travail\Application Data\cogad
c:\documents and settings\Poste de Travail\nerlujv.exe
C:\gsqffen.exe
C:\Temp
c:\temp\sTMP3\cxI.log
c:\windows\system32\drivers\wzcviwme.sys
c:\windows\system32\secupdat.dat
c:\windows\system32\TNR
c:\windows\system32\tov15
c:\windows\system32\vuwkbqof.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_wzcviwme
-------\Service_wzcviwme


((((((((((((((((((((((((((((( Fichiers créés du 2009-01-14 au 2009-02-14 ))))))))))))))))))))))))))))))))))))
.

2086-03-17 07:19 . 2086-03-17 07:19 27,023 --a------ C:\acqmod
2086-03-17 07:13 . 2003-03-18 19:05 89,088 --a------ c:\windows\system32\atl71.dll
2086-03-17 07:13 . 2003-03-18 20:44 65,536 --a------ c:\windows\system32\MFC71DEU.DLL
2086-03-17 07:13 . 2003-03-18 20:44 61,440 --a------ c:\windows\system32\MFC71ITA.DLL
2086-03-17 07:13 . 2003-03-18 20:44 61,440 --a------ c:\windows\system32\MFC71ESP.DLL
2086-03-17 07:13 . 2003-03-18 20:44 57,344 --a------ c:\windows\system32\MFC71ENU.DLL
2086-03-17 07:13 . 2003-03-18 20:44 49,152 --a------ c:\windows\system32\MFC71KOR.DLL
2086-03-17 07:13 . 2003-03-18 20:44 49,152 --a------ c:\windows\system32\MFC71JPN.DLL
2086-03-17 07:13 . 2003-03-18 20:44 45,056 --a------ c:\windows\system32\MFC71CHT.DLL
2086-03-17 07:13 . 2003-03-18 20:44 40,960 --a------ c:\windows\system32\MFC71CHS.DLL
2086-03-15 23:37 . 2001-05-11 13:18 420,240 --a------ c:\windows\system32\mpg4c32.dll
2086-03-15 23:37 . 2001-03-26 04:41 245,760 --a------ c:\windows\system32\mp4sds32.ax
2009-02-11 17:45 . 2009-02-11 18:41 <REP> d-------- c:\program files\FindyKill
2009-02-11 17:18 . 2009-02-11 19:04 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-11 17:18 . 2009-02-11 17:18 <REP> d-------- c:\documents and settings\Poste de Travail\Application Data\Malwarebytes
2009-02-11 17:18 . 2009-02-11 17:18 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-02-11 17:18 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-11 17:18 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-11 16:38 . 2009-02-11 16:38 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll
2009-02-11 16:36 . 2009-02-11 16:37 <REP> d-------- c:\windows\ERUNT
2009-02-11 16:33 . 2009-02-11 16:45 <REP> d-------- C:\SDFix
2009-02-11 16:27 . 2009-02-11 16:27 <REP> d-------- C:\_OTMoveIt
2009-02-11 15:58 . 2009-02-11 15:58 213,632 --a--c--- c:\windows\system32\dllcache\ndis.sys
2009-02-11 15:33 . 2009-02-11 15:33 <REP> d-------- C:\rsit
2009-02-11 14:56 . 2009-02-11 14:56 <REP> d-------- c:\program files\Microsoft CAPICOM 2.1.0.2
2009-02-11 14:55 . 2009-02-11 14:55 1,374 --a------ c:\windows\imsins.BAK
2009-02-11 14:43 . 2009-02-11 14:43 <REP> d-------- c:\program files\Opera
2009-02-11 12:45 . 2005-02-22 10:27 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
2009-02-11 12:45 . 2005-02-22 10:27 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
2009-02-11 12:45 . 2005-02-22 13:15 <REP> d---s---- c:\documents and settings\Administrateur\UserData
2009-02-11 12:45 . 2005-02-22 09:31 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
2009-02-11 12:45 . 2005-03-14 12:12 <REP> dr------- c:\documents and settings\Administrateur\Mes documents
2009-02-11 12:45 . 2005-02-22 10:27 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer
2009-02-11 12:45 . 2005-03-14 12:12 <REP> dr------- c:\documents and settings\Administrateur\Favoris
2009-02-11 12:45 . 2005-02-22 13:05 <REP> d-------- c:\documents and settings\Administrateur\Bureau
2009-02-11 12:45 . 2005-02-22 12:49 <REP> d-------- c:\documents and settings\Administrateur\Application Data\You've Got Pictures Screensaver
2009-02-11 12:45 . 2005-02-22 12:27 <REP> d-------- c:\documents and settings\Administrateur\Application Data\CyberLink
2009-02-11 12:45 . 2008-05-06 16:52 <REP> d-------- c:\documents and settings\Administrateur\Application Data\AOL
2009-02-11 12:45 . 2009-02-11 12:45 <REP> d-------- c:\documents and settings\Administrateur
2009-02-11 12:41 . 2009-02-11 16:06 137,408 --a------ c:\windows\system32\drivers\ethdbzdh.sys
2009-02-11 12:13 . 2009-02-11 12:13 <REP> d-------- c:\program files\Trend Micro
2009-02-11 11:37 . 2009-02-11 11:49 250 --a------ c:\windows\gmer.ini
2009-02-11 11:32 . 2009-02-11 11:32 <REP> d-------- c:\program files\Avira
2009-02-11 11:32 . 2009-02-11 11:32 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
2009-02-11 11:10 . 2009-02-11 11:10 <REP> d-------- c:\documents and settings\Poste de Travail\DoctorWeb
2009-02-11 10:13 . 2009-02-11 11:16 <REP> d-------- c:\windows\BDOSCAN8
2009-02-11 10:13 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll
2009-02-11 10:13 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui
2009-02-10 22:51 . 2009-02-10 22:52 <REP> d-------- c:\documents and settings\All Users\Application Data\Lavasoft
2009-02-10 22:41 . 2009-02-10 22:41 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-10 22:41 . 2009-02-10 22:41 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-02-10 22:10 . 2009-02-10 23:00 <REP> d-------- c:\windows\SxsCaPendDel
2009-02-10 22:00 . 2009-02-10 22:00 <REP> d-------- c:\program files\Uniblue
2009-01-30 16:39 . 2007-11-06 20:00 158,263 --a------ c:\windows\system32\nvapps.nvb
2009-01-25 16:09 . 2008-10-10 04:52 4,379,984 --a------ c:\windows\system32\D3DX9_40.dll
2009-01-25 16:09 . 2008-10-10 04:52 2,036,576 --a------ c:\windows\system32\D3DCompiler_40.dll
2009-01-25 16:09 . 2008-10-27 10:04 514,384 --a------ c:\windows\system32\XAudio2_3.dll
2009-01-25 16:09 . 2008-10-10 04:52 452,440 --a------ c:\windows\system32\d3dx10_40.dll
2009-01-25 16:09 . 2008-10-27 10:04 235,856 --a------ c:\windows\system32\xactengine3_3.dll
2009-01-25 16:09 . 2008-10-27 10:04 70,992 --a------ c:\windows\system32\XAPOFX1_2.dll
2009-01-25 16:08 . 2008-10-27 10:04 23,376 --a------ c:\windows\system32\X3DAudio1_5.dll
2009-01-22 10:59 . 2009-01-22 10:59 <REP> d-------- c:\documents and settings\Poste de Travail\Application Data\GlarySoft
2009-01-22 10:52 . 2009-01-22 10:52 <REP> d-------- c:\program files\Glary Utilities
2009-01-20 14:19 . 2009-01-20 14:19 <REP> d-------- c:\program files\Inventel
2009-01-20 14:19 . 2009-01-20 14:19 81,920 --a------ c:\windows\system32\W32N50.DLL
2009-01-20 14:19 . 2009-02-11 20:01 17,134 --a------ c:\windows\system32\PCANDIS5.SYS

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2086-03-17 06:12 --------- d-----w c:\documents and settings\All Users\Application Data\QuickTime
2009-02-14 15:45 17,408 ----a-w c:\windows\system32\drivers\USBCRFT.SYS
2009-02-14 12:57 --------- d--h--w c:\program files\InstallShield Installation Information
2009-02-11 19:52 --------- d-----w c:\program files\DB Commander 2000 PRO
2009-02-11 14:58 213,632 ----a-w c:\windows\system32\drivers\ndis.sys
2009-02-11 14:00 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2009-02-11 11:54 --------- d-----w c:\program files\CCleaner
2009-02-11 11:54 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-02-11 10:28 77,784 ----a-w c:\windows\bdoscandel.exe
2009-02-11 10:28 562,176 ----a-w c:\windows\zHotkey.exe
2009-02-11 10:28 110,592 ----a-w c:\windows\Dit.exe
2009-02-11 10:28 1,054,720 ----a-w c:\windows\explorer.exe
2009-02-10 21:41 --------- d-----w c:\program files\Java
2009-02-10 19:55 --------- d-----w c:\program files\Windows Media Connect
2009-02-10 19:46 --------- d-----w c:\program files\Fichiers communs\Ahead
2009-02-10 17:45 --------- d-----w c:\documents and settings\Poste de Travail\Application Data\Azureus
2009-02-10 11:56 137,688 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-01-30 14:48 --------- d-----w c:\program files\7-Zip
2009-01-29 08:09 --------- d-----w c:\program files\Azureus
2009-01-03 15:33 --------- d-----w c:\documents and settings\Poste de Travail\Application Data\www.pro-evo.xooit.fr
2009-01-01 22:08 --------- d-----w c:\documents and settings\All Users\Application Data\WLInstaller
2008-12-28 14:17 --------- d-----w c:\program files\NBA 2K9
2007-09-18 11:24 1,880 ----a-w c:\documents and settings\Poste de Travail\Application Data\wklnhst.dat
.

------- Sigcheck -------

2004-08-05 13:00 31232 155873e0ae86b97e1cd9bf5360d20795 c:\windows\$NtServicePackUninstall$\svchost.exe
2008-04-14 03:34 31232 99fa8eb6e6fbcd7e16aed1597a248950 c:\windows\system32\svchost.exe

2004-08-05 13:00 182912 558635d3af1c7546d26067d5d9b6959e c:\windows\$NtServicePackUninstall$\ndis.sys
2008-04-13 20:20 182656 1df7f42665c94b825322fae71721130d c:\windows\ServicePackFiles\i386\ndis.sys
2009-02-11 15:58 213632 ed336342ef3a2b4481cbcb026688b959 c:\windows\system32\dllcache\ndis.sys
2009-02-11 15:58 213632 0befb1abd0e498ae8a73088df192bb51 c:\windows\system32\drivers\ndis.sys

2009-02-11 11:28 1054720 e0e3680b0c32629ca358bf7f51e0ee78 c:\windows\explorer.exe
2004-08-05 13:00 1053184 e837f8fc2503dee64d3ee84255bc029d c:\windows\$NtServicePackUninstall$\explorer.exe
2008-04-14 03:34 1054720 c074e540441eade940d6f59bc0364138 c:\windows\ServicePackFiles\i386\explorer.exe

2008-04-14 03:33 32768 a17baf1275ac2982ad670e5dcd1b5e8c c:\windows\ServicePackFiles\i386\ctfmon.exe
2009-02-11 11:28 32256 56ff52afc4cad4c55ca7ab4e8c766809 c:\windows\system32\ctfmon.exe

2008-04-14 03:34 74752 f433148b7c7f29dd87b02a407b13b283 c:\windows\ServicePackFiles\i386\spoolsv.exe
2009-02-11 11:28 75264 77b1b9d5b2c0e847330f17b457eb939b c:\windows\system32\spoolsv.exe

2004-08-05 13:00 41984 525693d91b03f32d5f9fbbb05c635315 c:\windows\$NtServicePackUninstall$\userinit.exe
2009-02-11 11:28 43520 0263cb6fc0e1da11104544ce1e59e5ab c:\windows\system32\userinit.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-02-12_18.29.27.90 )))))))))))))))))))))))))))))))))))))))))
.
- 2005-10-20 19:02:28 183,808 ----a-w c:\windows\ERDNT\Hiv-backup\ERDNT.EXE
+ 2005-10-20 19:02:28 184,320 ----a-w c:\windows\ERDNT\Hiv-backup\ERDNT.EXE
- 2009-02-12 17:27:36 16,384 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2009-02-14 15:45:05 16,384 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2009-02-12 17:27:36 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2009-02-14 15:45:05 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2009-02-12 17:27:36 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2009-02-14 15:45:05 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2009-02-14 15:45:06 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_344.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2009-02-11 32256]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-11-06 8523776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-11-06 81920]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-10 148888]
"nwiz"="nwiz.exe" [2009-02-11 c:\windows\system32\nwiz.exe]
"Dit"="Dit.exe" [2009-02-11 c:\windows\Dit.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2004-10-08 c:\windows\AGRSMMSG.exe]
"CHotkey"="zHotkey.exe" [2009-02-11 c:\windows\zHotkey.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2009-02-11 32256]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.enc"= ITIG726.acm

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"Omnipage"=c:\program files\ScanSoft\OmniPageSE\opware32.exe
"services"=c:\windows\services.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Azureus\\Azureus.exe"=
"c:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3sp.exe"=
"c:\\Program Files\\CCleaner\\ccleaner.exe"=
"c:\\Program Files\\NBA 2K9\\nba2k9.exe"=
"c:\\Program Files\\Outlook Express\\msimn.exe"=
"c:\\Program Files\\Uniblue\\RegistryBooster 2\\RegistryBooster.exe"=
"c:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"f:\\Jeux\\PES 2009\\pes2009.exe"=
"c:\\Documents and Settings\\Poste de Travail\\Mes documents\\My telechargements\\Jeux\\PES 09\\pes2009.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

R1 oxser;OX16C95x Serial port driver;c:\windows\system32\drivers\OXSER.SYS [2005-02-22 51169]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [2005-02-22 945152]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [2005-02-22 1272000]
R3 wbscr;Winbond Smartcard Reader for I/O;c:\windows\system32\drivers\wbscr.sys [2005-02-22 19928]
S1 ethdbzdh;ethdbzdh;c:\windows\system32\drivers\ethdbzdh.sys [2009-02-11 137408]
S3 Camdrv30;Philips ToUcam XS;c:\windows\system32\drivers\camdrv30.sys [2005-04-21 171264]
S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [2005-02-22 17408]
S3 Ndisprot;ArcNet NDIS Protocol Driver;c:\windows\system32\drivers\ndisprot.sys [2008-11-20 27904]
S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [2008-10-30 217088]
S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\w300mgmt.sys [2007-01-24 87824]
S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;c:\windows\system32\drivers\w300obex.sys [2007-01-24 85696]
.
Contenu du dossier 'Tâches planifiées'

2009-02-14 c:\windows\Tasks\GlaryInitialize.job
- c:\program files\Glary Utilities\initialize.exe [2009-01-10 17:02]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://google.fr/
mStart Page = hxxp://www.01net.com/telecharger/
uInternet Settings,ProxyServer = 127.0.0.1:8100
uInternet Settings,ProxyOverride = localhost
IE: &Recherche AOL Toolbar - c:\program files\AOL Toolbar\toolbar.dll/SEARCH.HTML
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-14 16:45:32
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwOpenFile

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1698149477-2342113533-2771304400-1006\Software\G*e*n*i*e*"!\FM Genie Scout 2009 XE]
"GameDir"=""
"ShortlistDir"=""
"ScreenshotsDir"=""
"SaveDir"=""
"LangDB"=""
"LastSaveGame"=""
"Language"="English"
"LoadLangDB"=dword:00000000
"CompressHistoryPoints"=dword:00000000
"HighlightedAttributes"=dword:00000000
"MinCondition"=dword:00000050
"SkinName"="Champions League"
"LastUpdateCheck"=dword:00000000
"HighQualityGUI"=dword:00000001
"AutomaticallyUpdateCheck"=dword:00000001
"AdvancedGeneration"=dword:00000000
"TranslateStaffSkills"=dword:00000001
"TranslatePlayerSkills"=dword:00000001
"TranslatePositions"=dword:00000001
"ShowHistory"=dword:00000001
"Version"=dword:00000066
"UniqueID"="44-0840-451F"
"UseProxy"=dword:00000000
"ProxyHost"=""
"ProxyPort"=""
"UseAuthentication"=dword:00000000
"UserName"=""
"UserPassword"=""
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\scardsvr.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Heure de fin: 2009-02-14 16:47:46 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-02-14 15:47:43
ComboFix2.txt 2009-02-14 12:59:57
ComboFix3.txt 2009-02-12 17:39:17
ComboFix4.txt 2009-02-12 17:30:24

Avant-CF: 24 807 677 952 octets libres
Après-CF: 24,800,595,968 octets libres

284 --- E O F --- 2009-02-11 14:00:12
0
Réponse 38 / 60
berchem56 Messages postés 104 Statut Membre 4
 
W8620952R9974A0910-FC2JC91H

W8921883R9978A0911-1JCFFZ4X

W5288628R9958A0911-7F49J9NK

W5999886R9944A0912-P8WD0TU5

W2417513R9956A0912-90DTHYZ2

Voici 5 clé pour AVAST PRO 4.8
0
Mika
 
Merci BERCHEM56 mais je pense que ça puisse être la solution.
0
Réponse 39 / 60
Utilisateur anonyme
 
en plus qu'Avast est une vraie passoire et gratuit

de plus tu n as pas a t'immiscer dans les topics pour balancer des cles de produits car tu vas te faire bannir

un peu de lecture te fera le plus grand bien

https://www.commentcamarche.net/infos/25843-guide-d-utilisation-du-forum-de-commentcamarche-net/

Mika

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement cet ordinateur, il n'est pas transposable sur un autre ordinateur !

Toujours avec toutes les protections désactivées, fais ceci :

• Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
• Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------

File::
C:\WINDOWS\system32\drivers\mphkno.sys

------------------------------------------------------------------

• Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
• Quitte le Bloc Notes

• Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif

• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

0
Mika
 
Voici gen-hackman :

ComboFix 09-02-11.03 - Poste de Travail 2009-02-14 18:14:26.6 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1023.712 [GMT 1:00]
Lancé depuis: c:\documents and settings\Poste de Travail\Bureau\moi.exe
Commutateurs utilisés :: c:\documents and settings\Poste de Travail\Bureau\CFScript.txt
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Outdated)
* Un nouveau point de restauration a été créé

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

FILE ::
c:\windows\system32\drivers\mphkno.sys
.

((((((((((((((((((((((((((((( Fichiers créés du 2009-01-14 au 2009-02-14 ))))))))))))))))))))))))))))))))))))
.

2086-03-17 07:19 . 2086-03-17 07:19 27,023 --a------ C:\acqmod
2086-03-17 07:13 . 2003-03-18 19:05 89,088 --a------ c:\windows\system32\atl71.dll
2086-03-17 07:13 . 2003-03-18 20:44 65,536 --a------ c:\windows\system32\MFC71DEU.DLL
2086-03-17 07:13 . 2003-03-18 20:44 61,440 --a------ c:\windows\system32\MFC71ITA.DLL
2086-03-17 07:13 . 2003-03-18 20:44 61,440 --a------ c:\windows\system32\MFC71ESP.DLL
2086-03-17 07:13 . 2003-03-18 20:44 57,344 --a------ c:\windows\system32\MFC71ENU.DLL
2086-03-17 07:13 . 2003-03-18 20:44 49,152 --a------ c:\windows\system32\MFC71KOR.DLL
2086-03-17 07:13 . 2003-03-18 20:44 49,152 --a------ c:\windows\system32\MFC71JPN.DLL
2086-03-17 07:13 . 2003-03-18 20:44 45,056 --a------ c:\windows\system32\MFC71CHT.DLL
2086-03-17 07:13 . 2003-03-18 20:44 40,960 --a------ c:\windows\system32\MFC71CHS.DLL
2086-03-15 23:37 . 2001-05-11 13:18 420,240 --a------ c:\windows\system32\mpg4c32.dll
2086-03-15 23:37 . 2001-03-26 04:41 245,760 --a------ c:\windows\system32\mp4sds32.ax
2009-02-11 17:45 . 2009-02-11 18:41 <REP> d-------- c:\program files\FindyKill
2009-02-11 17:18 . 2009-02-11 19:04 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-11 17:18 . 2009-02-11 17:18 <REP> d-------- c:\documents and settings\Poste de Travail\Application Data\Malwarebytes
2009-02-11 17:18 . 2009-02-11 17:18 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-02-11 17:18 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-11 17:18 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-11 16:38 . 2009-02-11 16:38 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll
2009-02-11 16:36 . 2009-02-11 16:37 <REP> d-------- c:\windows\ERUNT
2009-02-11 16:33 . 2009-02-11 16:45 <REP> d-------- C:\SDFix
2009-02-11 16:27 . 2009-02-11 16:27 <REP> d-------- C:\_OTMoveIt
2009-02-11 15:58 . 2009-02-11 15:58 213,632 --a--c--- c:\windows\system32\dllcache\ndis.sys
2009-02-11 15:33 . 2009-02-11 15:33 <REP> d-------- C:\rsit
2009-02-11 14:56 . 2009-02-11 14:56 <REP> d-------- c:\program files\Microsoft CAPICOM 2.1.0.2
2009-02-11 14:55 . 2009-02-11 14:55 1,374 --a------ c:\windows\imsins.BAK
2009-02-11 14:43 . 2009-02-11 14:43 <REP> d-------- c:\program files\Opera
2009-02-11 12:45 . 2005-02-22 10:27 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
2009-02-11 12:45 . 2005-02-22 10:27 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
2009-02-11 12:45 . 2005-02-22 13:15 <REP> d---s---- c:\documents and settings\Administrateur\UserData
2009-02-11 12:45 . 2005-02-22 09:31 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
2009-02-11 12:45 . 2005-03-14 12:12 <REP> dr------- c:\documents and settings\Administrateur\Mes documents
2009-02-11 12:45 . 2005-02-22 10:27 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer
2009-02-11 12:45 . 2005-03-14 12:12 <REP> dr------- c:\documents and settings\Administrateur\Favoris
2009-02-11 12:45 . 2005-02-22 13:05 <REP> d-------- c:\documents and settings\Administrateur\Bureau
2009-02-11 12:45 . 2005-02-22 12:49 <REP> d-------- c:\documents and settings\Administrateur\Application Data\You've Got Pictures Screensaver
2009-02-11 12:45 . 2005-02-22 12:27 <REP> d-------- c:\documents and settings\Administrateur\Application Data\CyberLink
2009-02-11 12:45 . 2008-05-06 16:52 <REP> d-------- c:\documents and settings\Administrateur\Application Data\AOL
2009-02-11 12:45 . 2009-02-11 12:45 <REP> d-------- c:\documents and settings\Administrateur
2009-02-11 12:41 . 2009-02-11 16:06 137,408 --a------ c:\windows\system32\drivers\ethdbzdh.sys
2009-02-11 12:13 . 2009-02-11 12:13 <REP> d-------- c:\program files\Trend Micro
2009-02-11 11:37 . 2009-02-11 11:49 250 --a------ c:\windows\gmer.ini
2009-02-11 11:32 . 2009-02-11 11:32 <REP> d-------- c:\program files\Avira
2009-02-11 11:32 . 2009-02-11 11:32 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
2009-02-11 11:10 . 2009-02-11 11:10 <REP> d-------- c:\documents and settings\Poste de Travail\DoctorWeb
2009-02-11 10:13 . 2009-02-11 11:16 <REP> d-------- c:\windows\BDOSCAN8
2009-02-11 10:13 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll
2009-02-11 10:13 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui
2009-02-10 22:51 . 2009-02-10 22:52 <REP> d-------- c:\documents and settings\All Users\Application Data\Lavasoft
2009-02-10 22:41 . 2009-02-10 22:41 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-10 22:41 . 2009-02-10 22:41 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-02-10 22:10 . 2009-02-10 23:00 <REP> d-------- c:\windows\SxsCaPendDel
2009-02-10 22:00 . 2009-02-10 22:00 <REP> d-------- c:\program files\Uniblue
2009-01-30 16:39 . 2007-11-06 20:00 158,263 --a------ c:\windows\system32\nvapps.nvb
2009-01-25 16:09 . 2008-10-10 04:52 4,379,984 --a------ c:\windows\system32\D3DX9_40.dll
2009-01-25 16:09 . 2008-10-10 04:52 2,036,576 --a------ c:\windows\system32\D3DCompiler_40.dll
2009-01-25 16:09 . 2008-10-27 10:04 514,384 --a------ c:\windows\system32\XAudio2_3.dll
2009-01-25 16:09 . 2008-10-10 04:52 452,440 --a------ c:\windows\system32\d3dx10_40.dll
2009-01-25 16:09 . 2008-10-27 10:04 235,856 --a------ c:\windows\system32\xactengine3_3.dll
2009-01-25 16:09 . 2008-10-27 10:04 70,992 --a------ c:\windows\system32\XAPOFX1_2.dll
2009-01-25 16:08 . 2008-10-27 10:04 23,376 --a------ c:\windows\system32\X3DAudio1_5.dll
2009-01-22 10:59 . 2009-01-22 10:59 <REP> d-------- c:\documents and settings\Poste de Travail\Application Data\GlarySoft
2009-01-22 10:52 . 2009-01-22 10:52 <REP> d-------- c:\program files\Glary Utilities
2009-01-20 14:19 . 2009-01-20 14:19 <REP> d-------- c:\program files\Inventel
2009-01-20 14:19 . 2009-01-20 14:19 81,920 --a------ c:\windows\system32\W32N50.DLL
2009-01-20 14:19 . 2009-02-11 20:01 17,134 --a------ c:\windows\system32\PCANDIS5.SYS

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2086-03-17 06:12 --------- d-----w c:\documents and settings\All Users\Application Data\QuickTime
2009-02-14 15:48 17,408 ----a-w c:\windows\system32\drivers\USBCRFT.SYS
2009-02-14 12:57 --------- d--h--w c:\program files\InstallShield Installation Information
2009-02-11 19:52 --------- d-----w c:\program files\DB Commander 2000 PRO
2009-02-11 14:58 213,632 ----a-w c:\windows\system32\drivers\ndis.sys
2009-02-11 14:00 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2009-02-11 11:54 --------- d-----w c:\program files\CCleaner
2009-02-11 11:54 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-02-10 21:41 --------- d-----w c:\program files\Java
2009-02-10 19:55 --------- d-----w c:\program files\Windows Media Connect
2009-02-10 19:46 --------- d-----w c:\program files\Fichiers communs\Ahead
2009-02-10 17:45 --------- d-----w c:\documents and settings\Poste de Travail\Application Data\Azureus
2009-02-10 11:56 202,040 ----a-w c:\windows\system32\PnkBstrB.exe
2009-02-10 11:56 137,688 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-01-30 14:48 --------- d-----w c:\program files\7-Zip
2009-01-29 08:09 --------- d-----w c:\program files\Azureus
2009-01-03 15:33 --------- d-----w c:\documents and settings\Poste de Travail\Application Data\www.pro-evo.xooit.fr
2009-01-01 22:08 --------- d-----w c:\documents and settings\All Users\Application Data\WLInstaller
2008-12-28 14:17 --------- d-----w c:\program files\NBA 2K9
2007-09-18 11:24 1,880 ----a-w c:\documents and settings\Poste de Travail\Application Data\wklnhst.dat
.

------- Sigcheck -------

2004-08-05 13:00 31232 155873e0ae86b97e1cd9bf5360d20795 c:\windows\$NtServicePackUninstall$\svchost.exe
2008-04-14 03:34 31232 99fa8eb6e6fbcd7e16aed1597a248950 c:\windows\system32\svchost.exe

2004-08-05 13:00 182912 558635d3af1c7546d26067d5d9b6959e c:\windows\$NtServicePackUninstall$\ndis.sys
2008-04-13 20:20 182656 1df7f42665c94b825322fae71721130d c:\windows\ServicePackFiles\i386\ndis.sys
2009-02-11 15:58 213632 ed336342ef3a2b4481cbcb026688b959 c:\windows\system32\dllcache\ndis.sys
2009-02-11 15:58 213632 0befb1abd0e498ae8a73088df192bb51 c:\windows\system32\drivers\ndis.sys

2009-02-11 11:28 1054720 e0e3680b0c32629ca358bf7f51e0ee78 c:\windows\explorer.exe
2004-08-05 13:00 1053184 e837f8fc2503dee64d3ee84255bc029d c:\windows\$NtServicePackUninstall$\explorer.exe
2008-04-14 03:34 1054720 c074e540441eade940d6f59bc0364138 c:\windows\ServicePackFiles\i386\explorer.exe

2008-04-14 03:33 32768 a17baf1275ac2982ad670e5dcd1b5e8c c:\windows\ServicePackFiles\i386\ctfmon.exe
2009-02-11 11:28 32256 56ff52afc4cad4c55ca7ab4e8c766809 c:\windows\system32\ctfmon.exe

2008-04-14 03:34 74752 f433148b7c7f29dd87b02a407b13b283 c:\windows\ServicePackFiles\i386\spoolsv.exe
2009-02-11 11:28 75264 77b1b9d5b2c0e847330f17b457eb939b c:\windows\system32\spoolsv.exe

2004-08-05 13:00 41984 525693d91b03f32d5f9fbbb05c635315 c:\windows\$NtServicePackUninstall$\userinit.exe
2009-02-11 11:28 43520 0263cb6fc0e1da11104544ce1e59e5ab c:\windows\system32\userinit.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-02-12_18.29.27.90 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-02-12 17:27:36 16,384 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2009-02-14 15:45:05 16,384 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2009-02-12 17:27:36 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2009-02-14 15:45:05 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2009-02-12 17:27:36 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2009-02-14 15:45:05 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2009-02-14 15:45:06 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_344.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2009-02-11 32256]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-11-06 8523776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-11-06 81920]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-10 148888]
"nwiz"="nwiz.exe" [2009-02-11 c:\windows\system32\nwiz.exe]
"Dit"="Dit.exe" [2009-02-11 c:\windows\Dit.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2004-10-08 c:\windows\AGRSMMSG.exe]
"CHotkey"="zHotkey.exe" [2009-02-11 c:\windows\zHotkey.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2009-02-11 32256]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.enc"= ITIG726.acm

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"Omnipage"=c:\program files\ScanSoft\OmniPageSE\opware32.exe
"services"=c:\windows\services.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Azureus\\Azureus.exe"=
"c:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3sp.exe"=
"c:\\Program Files\\CCleaner\\ccleaner.exe"=
"c:\\Program Files\\NBA 2K9\\nba2k9.exe"=
"c:\\Program Files\\Outlook Express\\msimn.exe"=
"c:\\Program Files\\Uniblue\\RegistryBooster 2\\RegistryBooster.exe"=
"c:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"f:\\Jeux\\PES 2009\\pes2009.exe"=
"c:\\Documents and Settings\\Poste de Travail\\Mes documents\\My telechargements\\Jeux\\PES 09\\pes2009.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

R1 oxser;OX16C95x Serial port driver;c:\windows\system32\drivers\OXSER.SYS [2005-02-22 51169]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [2005-02-22 945152]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [2005-02-22 1272000]
R3 wbscr;Winbond Smartcard Reader for I/O;c:\windows\system32\drivers\wbscr.sys [2005-02-22 19928]
S1 ethdbzdh;ethdbzdh;c:\windows\system32\drivers\ethdbzdh.sys [2009-02-11 137408]
S3 Camdrv30;Philips ToUcam XS;c:\windows\system32\drivers\camdrv30.sys [2005-04-21 171264]
S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [2005-02-22 17408]
S3 Ndisprot;ArcNet NDIS Protocol Driver;c:\windows\system32\drivers\ndisprot.sys [2008-11-20 27904]
S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [2008-10-30 217088]
S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\w300mgmt.sys [2007-01-24 87824]
S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;c:\windows\system32\drivers\w300obex.sys [2007-01-24 85696]
.
Contenu du dossier 'Tâches planifiées'

2009-02-14 c:\windows\Tasks\GlaryInitialize.job
- c:\program files\Glary Utilities\initialize.exe [2009-01-10 17:02]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://google.fr/
mStart Page = hxxp://www.01net.com/telecharger/
uInternet Settings,ProxyServer = 127.0.0.1:8100
uInternet Settings,ProxyOverride = localhost
IE: &Recherche AOL Toolbar - c:\program files\AOL Toolbar\toolbar.dll/SEARCH.HTML
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-14 18:15:37
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwOpenFile

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1698149477-2342113533-2771304400-1006\Software\G*e*n*i*e*"!\FM Genie Scout 2009 XE]
"GameDir"=""
"ShortlistDir"=""
"ScreenshotsDir"=""
"SaveDir"=""
"LangDB"=""
"LastSaveGame"=""
"Language"="English"
"LoadLangDB"=dword:00000000
"CompressHistoryPoints"=dword:00000000
"HighlightedAttributes"=dword:00000000
"MinCondition"=dword:00000050
"SkinName"="Champions League"
"LastUpdateCheck"=dword:00000000
"HighQualityGUI"=dword:00000001
"AutomaticallyUpdateCheck"=dword:00000001
"AdvancedGeneration"=dword:00000000
"TranslateStaffSkills"=dword:00000001
"TranslatePlayerSkills"=dword:00000001
"TranslatePositions"=dword:00000001
"ShowHistory"=dword:00000001
"Version"=dword:00000066
"UniqueID"="44-0840-451F"
"UseProxy"=dword:00000000
"ProxyHost"=""
"ProxyPort"=""
"UseAuthentication"=dword:00000000
"UserName"=""
"UserPassword"=""
.
Heure de fin: 2009-02-14 18:17:05
ComboFix-quarantined-files.txt 2009-02-14 17:17:02
ComboFix2.txt 2009-02-14 15:47:47
ComboFix3.txt 2009-02-14 12:59:57
ComboFix4.txt 2009-02-12 17:39:17
ComboFix5.txt 2009-02-14 17:14:02

Avant-CF: 24 780 652 544 octets libres
Après-CF: 24,766,320,640 octets libres

243 --- E O F --- 2009-02-11 14:00:12
0
Réponse 40 / 60
Utilisateur anonyme
 
==> Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau

Double clique sur le OAD pour le lancer

- nom de fichier à rechercher tape ou fais un copier coller de : mphkno

- Type de recherche : sélectionne l'option 6 puis valide [entree]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.

Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient

ensuite :

Télécharge ATF Cleaner par Atribune:
http://www.atribune.org/ccount/click.php?id=1
Double-clique ATF-Cleaner.exe afin de lancer le programme.
Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty Selected
Si tu utilises le navigateur Firefox :
Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Si tu utilises le navigateur Opera :
Clique Opera au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Clique Exit, du menu prinicipal, afin de fermer le programme.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

ensuite :

relance le log.txt de rsit
0
Mika
 
Voilà le rapport OAD :

14/02/2009 ---- 18:31:49,95

----------------------------------
§§§§§§ [mphkno] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete


********************
[Registre]
********************

Aucune entrée détectée

*******************
[Fichier]
*******************



*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
0
Mika > Mika
 
Et le rapport RSIT :

Logfile of random's system information tool 1.05 (written by random/random)
Run by Poste de Travail at 2009-02-14 18:35:41
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 24 GB (33%) free of 72 GB
Total RAM: 1023 MB (67% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:35:47, on 14/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\zHotkey.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Poste de Travail\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Poste de Travail.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8100
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.carrefour.fr/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Unknown owner - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Unknown owner - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O24 - Desktop Component 1: PC-Aquarium Deluxe - 7db39a0d-580f-4be9-9195-8bfcd226f6c2
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses