Win32PatchedCK Fermé

Question

Bonjour,
Mon ordinateur plante au démarrage en mode normal. Avast détecte Win32patched CK (qui infecte en particulier explorer.exe) mais ne réussit pas à faire grand chose. Quelqu'un pourrait-t-il m'aider ? 
Voilà un log hijack 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:52:52, on 02/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Documents and Settings\Moidfp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\system32
etsh.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Apps\Powercinema\PCMService.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\Documents and Settings\Moi\Moi.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\TEMP\BN5.tmp
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr .exe
C:\Program Files\Synaptics\SynTP\SynTPEnh .exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2 .exe
C:\Program Files\HP\Digital Imaging\bin\hpqSRMon .exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\ctfmon .exe
C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_clipbook.exe
C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\Moi\Bureau\hijack.exe\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&phase=6&key=SEARCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.packardbell.fr/musicstation
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Moidfp.exe \s
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar	oolbar.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Moi] C:\Documents and Settings\Moi\Moi.exe /i
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar	oolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar	oolbar.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Sélection intelligente HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O18 - Protocol: skyline - {3A4F9195-65A8-11D5-85C1-0001023952C1} - C:\Program Files\Skyline\TerraExplorer\TerraExplorerX.dll
O21 - SSODL: uDfcimNRfl - {04C638FF-AE6C-9255-9376-BF2E4BF91F51} - C:\WINDOWS\system32\agsibi.dll
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus
avapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

eZula · Answer

Bonjour, 

télécharge GenProc http://www.genproc.com/GenProc.exe 

double-clique sur GenProc.exe et poste le contenu du rapport qui s'ouvre

Sev · Answer

Rapport GenProc 2.510 [1] - 02/04/2009 à 15:32:56 - Windows XP 
 
GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante : 

 
Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :  
- C:\Program Files\EsetOnlineScanner\log.txt

---------------------------------------------------------------------- 
Sites officiels GenProc : alt-shIF t-return.org et www.genproc.com 
----------------------------------------------------------------------

eZula · Answer

scanne ces fichiers
C:\Documents and Settings\Moi\rdfp.exe 
C:\WINDOWS\system32\agsibi.dll

ici https://www.virustotal.com/gui/

Sev · Answer

Voilà le résultat du log NOD 32 : 

# version=4
# OnlineScanner.ocx=1.0.0.635
# OnlineScannerDLLA.dll=1, 0, 0, 79
# OnlineScannerDLLW.dll=1, 0, 0, 78
# OnlineScannerUninstaller.exe=1, 0, 0, 49
# vers_standard_module=3983 (20090402)
# vers_arch_module=1.064 (20080214)
# vers_adv_heur_module=1.066 (20070917)
# EOSSerial=6a972e26d960c84c9f85affa3fa3e41c
# end=finished
# remove_checked=true
# unwanted_checked=true
# utc_time=2009-04-02 02:08:42
# local_time=2009-04-02 04:08:42 (+0100, Paris, Madrid)
# country="France"

# osver=5.1.2600 NT Service Pack 2
# scanned=265023
# found=7
# scan_time=1785
C:\Documents and Settings\Moi\rdfp.exe	a variant of Win32/Agent.NWL trojan (unable to clean - deleted)	00000000000000000000000000000000
C:\WINDOWS\explorer.exe	Win32/TrojanProxy.Agent.NCI virus (cleaned (after the next restart))	00000000000000000000000000000000
C:\WINDOWS\system32\lsass.exe	Win32/TrojanProxy.Agent.NCI virus (cleaned (after the next restart))	00000000000000000000000000000000
C:\WINDOWS\system32\pkbgd.exe	a variant of Win32/Agent.NWL trojan (unable to clean - deleted)	00000000000000000000000000000000
C:\WINDOWS\system32\services.exe	Win32/TrojanProxy.Agent.NCI virus (cleaned (after the next restart))	00000000000000000000000000000000
C:\WINDOWS\system32\svchost.exe	Win32/TrojanProxy.Agent.NCI virus (cleaned (after the next restart))	00000000000000000000000000000000
C:\WINDOWS\system32\winlogon.exe	Win32/TrojanProxy.Agent.NCI virus (cleaned (after the next restart))	00000000000000000000000000000000

Merci à toi, Ezula, je vais redémarrer pour voir si ça marche

Sev · Answer

Je ne retrouve pas les fichiers à scanner ! !!

eZula · Answer

vu les fichiers patchés ça n'a rien d'étonnant. Comment as-tu fait pour te faire avoir aussi spectaculairement ?

essaye de les substituer par leurs copies qui se trouvent dans system32\dllcache ou i386 : lsass.exe et winlogon.exe en utilisant le cas échéant la console de récupération

Sev · Answer

En fait, j'ai pas de dossier dllcache ou i386 !

eZula · Answer

les répertoires dllcache et i386 sont cachés https://jesses.pagesperso-orange.fr/Docs/Bases/TousLesFichiers.htm

ton pb de login est du au fait que le fichier winlogon.exe est HS, tu devrais en trouver une copie dans un de ces deux répertoires, de même pour lsass.exe, il suffit de les copier dans system32
Pareil pour 
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe

voir également https://www.zebulon.fr/dossiers/windows/61-console-de-recuperation.html et en particulier https://www.zebulon.fr/dossiers/windows/61-console-de-recuperation.html/5

Sev · Answer

Je n'ai trouvé aucun de ces fichiers dans le dossier dllcache !

Sev · Answer

Mon problème continue : où trouver ces fichier non corrompus (winlogon.exe; lsass.exe) ???

eZula · Answer

C:\WINDOWS\ServicePackFiles\i386

comment tu fais pour accéder au système de fichier en ce moment ?

Sev · Answer

Actuellement, je suis en mode sans échec avec connection réseau, et ça marche !

Sev · Answer

J'ai trouvé winlogon.exe, il s'appellait winlogon.ex_, je le renomme et le copie vers system 32, mais l'ordinateur refuse en me disant qu'il existe déjà ce fichier, que faire ? Suis je obligé de passer par la console de récupération ?

eZula · Answer

attention winlogon.ex_ est peut être le winlogon patché, souvent les antivirus renomment les fichiers
c'est winlogon.exe pas autre chose qu'il faut restaurer

ensuite il s'agit de voir ce que c'est que cette bête C:\WINDOWS\system32\agsibi.dll

Sev · Answer

Je ne sais pas comment restaurer ni 
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\explorer.exe

eZula · Answer

tu vas dans le dossier i386 et tu regardes si tu vois ces fichiers

Sev · Answer

Je ne les vois pas dans le dossier C/Windows/I386 ! Toutes les extensions de ce dossier finissent par un _. Peut-être lié au fait que je suis en mode sans échec ?

eZula · Answer

[*] Télécharge combofix (sUBs) http://download.bleepingcomputer.com/sUBs/ComboFix.exe sur ton Bureau
[*] Double clique combofix.exe et suis les instructions.
[*] Installe la console de récupération si proposé et continue.
[*] Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Sev · Answer

J'ai fais tout ça, et maintenant, même s'il continue à ramer, mon ordinateur redémarre en mode normal, et ça marche !! Merci beaucoup ! ComboFix 09-04-01.01 - Moi 2009-04-02 22:28:48.1 - NTFSx86 NETWORK Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.447.235 [GMT 2:00] Lancé depuis: c:\documents and settings\Moi\Bureau\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\documents and settings\Moi\Moi.exe [color=blue]Une copie infectée de c:\windows\system32\lsass.exe a été trouvée et désinfectée opie restaurée à partir de - c:\qoobox\Quarantine\C\WINDOWS\system32\lsass.exe.vir[/COLOR] [color=blue]Une copie infectée de c:\windows\system32\winlogon.exe a été trouvée et désinfectée opie restaurée à partir de - c:\qoobox\Quarantine\C\WINDOWS\system32\winlogon.exe.vir[/COLOR] [color=blue]Une copie infectée de c:\windows\system32\services.exe a été trouvée et désinfectée opie restaurée à partir de - c:\qoobox\Quarantine\C\WINDOWS\system32\services.exe.vir[/COLOR] [color=blue]Une copie infectée de c:\windows\system32\svchost.exe a été trouvée et désinfectée opie restaurée à partir de - c:\qoobox\Quarantine\C\WINDOWS\system32\svchost.exe.vir[/COLOR] [color=blue]Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée opie restaurée à partir de - c:\qoobox\Quarantine\C\WINDOWS\explorer.exe.vir[/COLOR] . ((((((((((((((((((((((((((((( Fichiers créés du 2009-03-02 au 2009-04-02 )))))))))))))))))))))))))))))))))))) . 2009-04-02 22:15 . 2004-08-16 17:55 d--h----- c:\documents and settings\Administrateur\Voisinage réseau 2009-04-02 22:15 . 2004-08-16 17:55 d--h----- c:\documents and settings\Administrateur\Voisinage d'impression 2009-04-02 22:15 . 2004-08-16 17:55 d--h----- c:\documents and settings\Administrateur\Modèles 2009-04-02 22:15 . 2004-08-16 18:19 dr------- c:\documents and settings\Administrateur\Mes documents 2009-04-02 22:15 . 2004-08-16 17:55 dr------- c:\documents and settings\Administrateur\Menu Démarrer 2009-04-02 22:15 . 2005-09-17 09:36 dr------- c:\documents and settings\Administrateur\Favoris 2009-04-02 22:15 . 2009-04-02 22:20 dr------- c:\documents and settings\Administrateur\Bureau 2009-04-02 22:15 . 2005-09-17 09:36 d-------- c:\documents and settings\Administrateur\Application Data\You've Got Pictures Screensaver 2009-04-02 22:15 . 2005-09-17 09:38 d-------- c:\documents and settings\Administrateur\Application Data\Symantec 2009-04-02 22:15 . 2009-04-02 22:15 d-------- c:\documents and settings\Administrateur 2009-04-02 15:36 . 2009-04-02 16:08 d-------- c:\program files\EsetOnlineScanner 2009-04-02 15:32 . 2009-04-02 22:10 d-------- C:\GenProc 2009-04-02 14:56 . 2009-04-02 14:56 d-------- c:\documents and settings\Moi\Application Data\Malwarebytes 2009-04-02 14:55 . 2009-04-02 22:10 d-------- c:\program files\Malwarebytes' Anti-Malware 2009-04-02 14:55 . 2009-04-02 14:55 d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2009-04-02 14:55 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-04-02 14:55 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-04-02 13:36 . 2009-04-02 13:36 d-------- c:\program files\Alwil Software 2009-04-02 11:46 . 2009-04-02 11:46 d-------- c:\program files\CCleaner 2009-03-23 17:05 . 2009-03-23 17:05 d-------- c:\windows\Sun 2009-03-18 18:44 . 2009-03-18 18:44 d-------- c:\program files\7-Zip . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-04-02 20:05 --------- d-----w c:\program files\Mozilla Thunderbird 2009-04-02 11:33 --------- d-----w c:\program files\Fichiers communs\Symantec Shared 2009-04-02 11:23 --------- d-----w c:\documents and settings\All Users\Application Data\Google Updater 2009-04-02 10:52 --------- d-----w c:\documents and settings\Moi\Application Data\HPAppData 2009-04-01 10:01 --------- d-----w c:\program files\GoldWave 2009-03-29 17:38 --------- d-----w c:\documents and settings\Moi\Application Data\FileZilla 2009-03-29 17:31 --------- d-----w c:\documents and settings\Moi\Application Data\gtk-2.0 2009-03-03 20:43 --------- d-----w c:\documents and settings\Moi\Application Data\AdobeUM 2009-02-09 15:43 --------- d-----w c:\program files\Pointofix 2009-01-03 14:16 60,160 ----a-w c:\documents and settings\Moi\Application Data\GDIPFONTCACHEV1.DAT . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.iv31"= c:\windows\system32\ir32_32.dll "vidc.iv32"= c:\windows\system32\ir32_32.dll [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk] path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Hyperappel de l'Encyclopédie Universelle Larousse.lnk] path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Hyperappel de l'Encyclopédie Universelle Larousse.lnk backup=c:\windows\pss\Hyperappel de l'Encyclopédie Universelle Larousse.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk] path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk backup=c:\windows\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^Moi^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 3.0.lnk] path=c:\documents and settings\Moi\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 3.0.lnk backup=c:\windows\pss\OpenOffice.org 3.0.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!] --a------ 2009-02-05 22:08 81000 c:\progra~1\ALWILS~1\Avast4\ashDisp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1] --a------ 2004-08-05 14:00 208952 c:\windows\ime\IMJP8_1\imjpmig.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes Anti-Malware (reboot)] --a------ 2009-03-26 16:49 1277584 c:\program files\Malwarebytes' Anti-Malware\mbam.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes' Anti-Malware] --a------ 2009-03-26 16:49 401040 c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --a------ 2004-10-13 18:24 1694208 c:\program files\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService] --a------ 2004-10-08 03:14 81920 c:\apps\Powercinema\PCMService.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A] --a------ 2004-08-05 14:00 455168 c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync] --a------ 2004-08-05 14:00 455168 c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2008-06-10 05:27 144784 c:\program files\Java\jre1.6.0_07\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] --a------ 2005-04-15 11:01 77824 c:\windows\SOUNDMAN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer] --a------ 2005-03-08 03:33 53248 c:\windows\system32\VTTimer.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTrayp] --a------ 2005-01-11 07:33 143360 c:\windows\system32\VTTrayp.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%ProgramFiles%\AOL 9.0\aol.exe"= "%ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\logo_ubi.exe"= "%ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\pandora.exe"= "%windir%\system32\sessmgr.exe"= "c:\APPS\Inventime\my.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"= "c:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"= "c:\Program Files\HP\Digital Imaging\bin\hposid01.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpiscnapp.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"= "c:\Program Files\TYPSoft FTP Server\ftpserv.exe"= R3 XG350XP;NB 802.11g XG350 Driver;c:\windows\system32\drivers\WLANCTG.SYS [1980-01-01 481664] S0 ghlu;ghlu;c:\windows\system32\drivers\fgqxoim.sys --> c:\windows\system32\drivers\fgqxoim.sys [?] S1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-04-02 114768] S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-04-02 20560] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc . Contenu du dossier 'Tâches planifiées' 2009-04-02 c:\windows\Tasks\Google Software Updater.job - c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-24 18:15] . - - - - ORPHELINS SUPPRIMES - - - - SSODL-uDfcimNRfl-{04C638FF-AE6C-9255-9376-BF2E4BF91F51} - c:\windows\system32\agsibi.dll MSConfigStartUp-ctfmon - c:\windows\system32\ctfmon.exe MSConfigStartUp-Moi - c:\documents and settings\Moi\Moi.exe . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ uInternet Connection Wizard,ShellNext = hxxp://www.packardbell.fr/musicstation uInternet Settings,ProxyOverride = 127.0.0.1 IE: &Recherche AOL Toolbar - c:\program files\AOL Toolbar oolbar.dll/SEARCH.HTML IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 Handler: skyline - {3a4f9195-65a8-11d5-85c1-0001023952c1} - c:\program files\Skyline\TerraExplorer\TerraExplorerX.dll DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab FF - ProfilePath - c:\documents and settings\Moi\Application Data\Mozilla\Firefox\Profiles\7r4w785r.default\ FF - prefs.js: browser.search.selectedEngine - Google FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592 pCIDetect13.dll FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology pViewpoint.dll ---- PARAMETRES FIREFOX ---- FF - user.js: yahoo.homepage.dontask - true. ************************************************************************** catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-04-02 22:33:04 Windows 5.1.2600 Service Pack 2 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySqlInventime] "ImagePath"="c:\mysql\bin\mysqld-max-nt MySqlInventime" . Heure de fin: 2009-04-02 22:37:08 - La machine a redémarré ComboFix-quarantined-files.txt 2009-04-02 20:37:06 Avant-CF: 25 807 810 560 octets libres Après-CF: 26,015,756,288 octets libres 170 --- E O F --- 2009-03-14 09:06:19

Sev · Answer

Simplement, je crois que avast ne démarre pas en protection résidente, c'est normal ? 
Merci encore.

eZula · Answer

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

File::
c:\windows\system32\drivers\fgqxoim.sys

Driver::
ghlu

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] 
"EnableFirewall"=dword:00000001

Enregistre ce fichier sous le nom CFScript

[*]Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture [img]http://apu.mabul.org/up/apu/2008/08/12/img-191202xzrpd.gif[/img]
[*]Une fenêtre bleue va apparaître : au message "Type 1 to continue, or 2 to abort", tape 1 puis valide.
[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal.
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher : poste son contenu.
[*]Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

tu utilises quoi comme antivirus en temps normal ? car il y a plein de traces de symantec

Sev · Answer

Bonjour, Comme antivirus, j'avais une version de norton 2004 fournie avec l'ordinateur, mais je l'ai désinstallé et j'ai mis avast (+ zone alarmfree en pare feu). Voilà le rapport combo fix : ComboFix 09-04-01.01 - Moi 2009-04-03 13:03:58.2 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.447.133 [GMT 2:00] Lancé depuis: c:\documents and settings\Moi\Bureau\ComboFix.exe Commutateurs utilisés :: c:\documents and settings\Moi\Bureau\CFscript.txt AV: avast! antivirus 4.8.1335 [VPS 090402-1] *On-access scanning disabled* (Updated) * Un nouveau point de restauration a été créé FILE :: c:\windows\system32\drivers\fgqxoim.sys . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_ghlu ((((((((((((((((((((((((((((( Fichiers créés du 2009-03-03 au 2009-04-03 )))))))))))))))))))))))))))))))))))) . 2009-04-02 23:18 . 2009-04-03 13:13 223,264 --ahs---- c:\windows\system32\drivers\fidbox.dat 2009-04-02 23:18 . 2009-04-03 13:08 3,620 --ahs---- c:\windows\system32\drivers\fidbox.idx 2009-04-02 23:15 . 2009-04-02 23:15 d-------- c:\documents and settings\All Users\Application Data\MailFrontier 2009-04-02 23:15 . 2009-04-02 23:17 4,212 ---h----- c:\windows\system32\zllictbl.dat 2009-04-02 23:14 . 2008-07-09 09:05 75,248 --a------ c:\windows\zllsputility.exe 2009-04-02 23:14 . 2008-07-09 09:05 54,672 --a------ c:\windows\system32\vsutil_loc040c.dll 2009-04-02 23:14 . 2008-07-09 09:05 42,384 --a------ c:\windows\zllsputility_loc040c.dll 2009-04-02 23:14 . 2008-07-09 09:05 21,904 --a------ c:\windows\system32\imsinstall_loc040c.dll 2009-04-02 23:14 . 2008-07-09 09:05 17,808 --a------ c:\windows\system32\imslsp_install_loc040c.dll 2009-04-02 23:14 . 2004-04-27 04:40 11,264 --a------ c:\windows\system32\SpOrder.dll 2009-04-02 23:13 . 2009-04-02 23:13 d-------- c:\program files\Zone Labs 2009-04-02 23:12 . 2009-04-03 13:11 d-------- c:\windows\Internet Logs 2009-04-02 22:15 . 2004-08-16 17:55 d--h----- c:\documents and settings\Administrateur\Voisinage réseau 2009-04-02 22:15 . 2004-08-16 17:55 d--h----- c:\documents and settings\Administrateur\Voisinage d'impression 2009-04-02 22:15 . 2004-08-16 17:55 d--h----- c:\documents and settings\Administrateur\Modèles 2009-04-02 22:15 . 2004-08-16 18:19 dr------- c:\documents and settings\Administrateur\Mes documents 2009-04-02 22:15 . 2004-08-16 17:55 dr------- c:\documents and settings\Administrateur\Menu Démarrer 2009-04-02 22:15 . 2005-09-17 09:36 dr------- c:\documents and settings\Administrateur\Favoris 2009-04-02 22:15 . 2009-04-02 22:20 dr------- c:\documents and settings\Administrateur\Bureau 2009-04-02 22:15 . 2005-09-17 09:36 d-------- c:\documents and settings\Administrateur\Application Data\You've Got Pictures Screensaver 2009-04-02 22:15 . 2005-09-17 09:38 d-------- c:\documents and settings\Administrateur\Application Data\Symantec 2009-04-02 22:15 . 2009-04-02 22:15 d-------- c:\documents and settings\Administrateur 2009-04-02 15:36 . 2009-04-02 16:08 d-------- c:\program files\EsetOnlineScanner 2009-04-02 15:32 . 2009-04-02 22:10 d-------- C:\GenProc 2009-04-02 14:56 . 2009-04-02 14:56 d-------- c:\documents and settings\Moi\Application Data\Malwarebytes 2009-04-02 14:55 . 2009-04-02 22:10 d-------- c:\program files\Malwarebytes' Anti-Malware 2009-04-02 14:55 . 2009-04-02 14:55 d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2009-04-02 14:55 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-04-02 14:55 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-04-02 13:36 . 2009-04-02 13:36 d-------- c:\program files\Alwil Software 2009-04-02 11:46 . 2009-04-02 23:24 d-------- c:\program files\CCleaner 2009-03-23 17:05 . 2009-03-23 17:05 d-------- c:\windows\Sun 2009-03-18 18:44 . 2009-03-18 18:44 d-------- c:\program files\7-Zip . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-04-02 21:26 --------- d-----w c:\program files\Mozilla Thunderbird 2009-04-02 11:33 --------- d-----w c:\program files\Fichiers communs\Symantec Shared 2009-04-02 11:23 --------- d-----w c:\documents and settings\All Users\Application Data\Google Updater 2009-04-02 10:52 --------- d-----w c:\documents and settings\Moi\Application Data\HPAppData 2009-04-01 10:01 --------- d-----w c:\program files\GoldWave 2009-03-29 17:38 --------- d-----w c:\documents and settings\Moi\Application Data\FileZilla 2009-03-29 17:31 --------- d-----w c:\documents and settings\Moi\Application Data\gtk-2.0 2009-03-03 20:43 --------- d-----w c:\documents and settings\Moi\Application Data\AdobeUM 2009-02-09 15:43 --------- d-----w c:\program files\Pointofix 2009-01-03 14:16 60,160 ----a-w c:\documents and settings\Moi\Application Data\GDIPFONTCACHEV1.DAT . ((((((((((((((((((((((((((((( SnapShot@2009-04-02_22.36.34.34 ))))))))))))))))))))))))))))))))))))))))) . + 2005-10-20 18:02:28 163,328 ----a-w c:\windows\ERDNT\subs\ERDNT.EXE - 2004-08-05 12:00:00 1,036,288 ----a-w c:\windows\explorer.exe + 2007-06-13 13:22:28 1,037,312 ----a-w c:\windows\explorer.exe + 2007-06-13 13:22:28 1,037,312 ------w c:\windows\system32\dllcache\explorer.exe + 2007-07-19 13:10:28 127,768 ----a-w c:\windows\system32\drivers\klif.sys + 2008-07-09 07:05:08 796,048 ----a-w c:\windows\system32\libeay32_0.9.6l.dll + 2008-07-09 07:05:10 83,432 ----a-w c:\windows\system32\vsdata.dll + 2008-07-09 07:05:22 394,952 ----a-w c:\windows\system32\vsdatant.sys + 2008-07-09 07:05:10 157,160 ----a-w c:\windows\system32\vsinit.dll + 2008-07-09 07:05:10 103,912 ----a-w c:\windows\system32\vsmonapi.dll + 2008-07-09 07:05:10 275,944 ----a-w c:\windows\system32\vspubapi.dll + 2008-07-09 07:05:10 71,144 ----a-w c:\windows\system32\vsregexp.dll + 2008-07-09 07:05:12 472,552 ----a-w c:\windows\system32\vsutil.dll + 2008-07-09 07:05:12 46,568 ----a-w c:\windows\system32\vswmi.dll + 2008-07-09 07:05:12 99,816 ----a-w c:\windows\system32\vsxml.dll + 2008-07-09 07:05:12 83,432 ----a-w c:\windows\system32\zlcomm.dll + 2008-07-09 07:05:12 71,144 ----a-w c:\windows\system32\zlcommdb.dll + 2008-07-09 07:05:06 370,208 ----a-w c:\windows\system32\ZoneLabs\av.dll + 2008-07-09 07:05:36 26,000 ----a-w c:\windows\system32\ZoneLabs\av_loc040c.dll + 2007-05-30 22:03:30 65,248 ----a-w c:\windows\system32\ZoneLabs\avsys\bases\aphish.dat + 2006-06-30 12:47:36 21,568 ----a-w c:\windows\system32\ZoneLabs\avsys\bases\avcmhk4.dll + 2007-05-30 22:03:30 1,628 ----a-w c:\windows\system32\ZoneLabs\avsys\bases\pdmkl.dat + 2007-05-30 22:03:16 77,824 ----a-w c:\windows\system32\ZoneLabs\avsys\CKAHComm.dll + 2007-05-30 22:03:16 110,592 ----a-w c:\windows\system32\ZoneLabs\avsys\CKAHrule.dll + 2007-05-30 22:03:16 331,776 ----a-w c:\windows\system32\ZoneLabs\avsys\CKAHUM.dll + 2007-05-30 22:03:16 38,400 ----a-w c:\windows\system32\ZoneLabs\avsys\FSSync.dll + 2006-09-19 21:12:14 208,960 ----a-w c:\windows\system32\ZoneLabs\avsys\inv.dll + 2007-12-03 12:53:58 282,624 ----a-w c:\windows\system32\ZoneLabs\avsys\kave.dll + 2006-12-19 16:13:52 1,093,632 ----a-w c:\windows\system32\ZoneLabs\avsys\libeay32.dll + 2007-05-30 22:03:20 548,864 ----a-w c:\windows\system32\ZoneLabs\avsys\msvcp80.dll + 2007-05-30 22:03:20 626,688 ----a-w c:\windows\system32\ZoneLabs\avsys\msvcr80.dll + 2007-05-30 22:03:18 184,320 ----a-w c:\windows\system32\ZoneLabs\avsys\prloader.dll + 2007-05-30 22:03:22 90,112 ----a-w c:\windows\system32\ZoneLabs\avsys\prremote.dll + 2007-12-03 12:53:58 139,264 ----a-w c:\windows\system32\ZoneLabs\avsys\ScanningProcess.exe + 2006-12-19 16:13:52 200,704 ----a-w c:\windows\system32\ZoneLabs\avsys\ssleay32.dll + 2008-07-09 07:05:06 99,816 ----a-w c:\windows\system32\ZoneLabs\camupd.dll + 2008-07-09 07:05:36 17,808 ----a-w c:\windows\system32\ZoneLabs\camupd_loc040c.dll + 2004-01-30 10:35:08 813,568 ----a-w c:\windows\system32\ZoneLabs\dbghelp.dll + 2008-07-09 07:05:08 128,480 ----a-w c:\windows\system32\ZoneLabs\fbl.dll + 2008-07-09 07:05:08 38,376 ----a-w c:\windows\system32\ZoneLabs\featuremap.dll + 2008-07-09 07:05:08 321,016 ----a-w c:\windows\system32\ZoneLabs\imsecure.dll + 2008-07-09 07:05:42 26,000 ----a-w c:\windows\system32\ZoneLabs\imsecure_loc040c.dll + 2008-07-09 07:05:38 288,144 ----a-w c:\windows\system32\ZoneLabs\lib\ConfigWizard_loc040c.zip.dll + 2008-07-09 07:05:42 152,976 ----a-w c:\windows\system32\ZoneLabs\lib\LicenseUI_loc040c.zip.dll + 2008-07-09 07:05:24 26,000 ----a-w c:\windows\system32\ZoneLabs\lib\zlsvc.zip.dll + 2008-07-09 07:05:24 1,361,296 ----a-w c:\windows\system32\ZoneLabs\lib\zpy.zip.dll + 2008-07-09 07:05:24 71,056 ----a-w c:\windows\system32\ZoneLabs\lib\zui.zip.dll + 2008-07-09 07:06:26 30,184 ----a-w c:\windows\system32\ZoneLabs\plugins pc_server pc_server.dll + 2008-07-09 07:06:26 30,216 ----a-w c:\windows\system32\ZoneLabs\plugins\vsmon_plugin\vsmon_plugin.dll + 2008-02-27 01:10:26 714,208 ----a-w c:\windows\system32\ZoneLabs\qrbase.dll + 2008-02-27 01:10:28 792,032 ----a-w c:\windows\system32\ZoneLabs\qrsrecl.dll + 2008-07-09 07:05:08 173,544 ----a-w c:\windows\system32\ZoneLabs\scheduler.dll + 2008-07-09 07:05:44 17,808 ----a-w c:\windows\system32\ZoneLabs\scheduler_loc040c.dll + 2008-01-21 06:34:36 7,603,688 ----a-w c:\windows\system32\ZoneLabs\spyware.dat + 2008-02-27 01:10:32 1,504,736 ----a-w c:\windows\system32\ZoneLabs\srescan.dll + 2008-02-27 01:10:44 51,176 ----a-w c:\windows\system32\ZoneLabs\srescan.sys + 2008-07-09 07:05:10 456,168 ----a-w c:\windows\system32\ZoneLabs\ssleay32.dll + 2008-07-09 07:06:26 214,528 ----a-w c:\windows\system32\ZoneLabs\streamapi\httpblocker\httpblocker.dll + 2008-07-09 07:06:30 3,266,040 ----a-w c:\windows\system32\ZoneLabs\streamapi\imslsp\imslsp.dll + 2008-07-09 07:05:42 26,000 ----a-w c:\windows\system32\ZoneLabs\streamapi\imslsp\imslsp_loc040c.dll + 2006-09-04 18:59:14 503,875 ----a-w c:\windows\system32\ZoneLabs\upd_core.dll + 2007-10-11 14:50:32 832,984 ----a-w c:\windows\system32\ZoneLabs\updating.dll + 2008-07-09 07:05:18 144,936 ----a-w c:\windows\system32\ZoneLabs\updclient.exe + 2008-07-09 07:05:44 75,152 ----a-w c:\windows\system32\ZoneLabs\updClient_loc040c.dll + 2007-01-11 15:31:06 286,787 ----a-w c:\windows\system32\ZoneLabs\updtrsdk.dll + 2008-07-09 07:05:10 108,008 ----a-w c:\windows\system32\ZoneLabs\vsavpro.dll + 2008-07-09 07:05:10 83,432 ----a-w c:\windows\system32\ZoneLabs\vsdb.dll + 2008-07-09 07:05:44 17,808 ----a-w c:\windows\system32\ZoneLabs\vsdb_loc040c.dll + 2008-07-09 07:05:18 75,304 ----a-w c:\windows\system32\ZoneLabs\vsmon.exe + 2008-07-09 07:05:44 46,480 ----a-w c:\windows\system32\ZoneLabs\vsmon_loc040c.dll + 2008-07-09 07:05:10 2,029,032 ----a-w c:\windows\system32\ZoneLabs\vsmondll.dll + 2008-07-09 07:05:12 1,361,384 ----a-w c:\windows\system32\ZoneLabs\vsruledb.dll + 2008-07-09 07:05:44 198,032 ----a-w c:\windows\system32\ZoneLabs\vsruledb_loc040c.dll + 2008-07-09 07:05:12 239,080 ----a-w c:\windows\system32\ZoneLabs\vsvault.dll + 2008-07-09 07:05:44 17,808 ----a-w c:\windows\system32\ZoneLabs\vsvault_loc040c.dll + 2008-01-21 06:34:36 7,603,688 ----a-w c:\windows\system32\ZoneLabs\zlasdbup.dat + 2008-07-09 07:05:12 177,640 ----a-w c:\windows\system32\ZoneLabs\zlparser.dll + 2008-07-09 07:05:12 79,344 ----a-w c:\windows\system32\ZoneLabs\zlquarantine.dll + 2008-07-09 07:05:44 17,808 ----a-w c:\windows\system32\ZoneLabs\zlquarantine_loc040c.dll + 2008-07-09 07:05:14 382,440 ----a-w c:\windows\system32\ZoneLabs\zlsre.dll + 2008-07-09 07:05:44 21,904 ----a-w c:\windows\system32\ZoneLabs\zlsre_loc040c.dll + 2008-07-09 07:05:14 120,296 ----a-w c:\windows\system32\ZoneLabs\zlupdate.dll + 2008-07-09 07:05:16 1,086,952 ----a-w c:\windows\system32\zpeng24.dll + 2009-04-03 11:10:05 16,384 ----atw c:\windows emp\Perflib_Perfdata_4e4.dat . -- Instantané actualisé -- . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.iv31"= c:\windows\system32\ir32_32.dll "vidc.iv32"= c:\windows\system32\ir32_32.dll [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk] path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Hyperappel de l'Encyclopédie Universelle Larousse.lnk] path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Hyperappel de l'Encyclopédie Universelle Larousse.lnk backup=c:\windows\pss\Hyperappel de l'Encyclopédie Universelle Larousse.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk] path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk backup=c:\windows\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^Moi^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 3.0.lnk] path=c:\documents and settings\Moi\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 3.0.lnk backup=c:\windows\pss\OpenOffice.org 3.0.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!] --a------ 2009-02-05 22:08 81000 c:\progra~1\ALWILS~1\Avast4\ashDisp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1] --a------ 2004-08-05 14:00 208952 c:\windows\ime\IMJP8_1\imjpmig.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes Anti-Malware (reboot)] --a------ 2009-03-26 16:49 1277584 c:\program files\Malwarebytes' Anti-Malware\mbam.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Malwarebytes' Anti-Malware] --a------ 2009-03-26 16:49 401040 c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --a------ 2004-10-13 18:24 1694208 c:\program files\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService] --a------ 2004-10-08 03:14 81920 c:\apps\Powercinema\PCMService.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A] --a------ 2004-08-05 14:00 455168 c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync] --a------ 2004-08-05 14:00 455168 c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2008-06-10 05:27 144784 c:\program files\Java\jre1.6.0_07\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] --a------ 2005-04-15 11:01 77824 c:\windows\SOUNDMAN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer] --a------ 2005-03-08 03:33 53248 c:\windows\system32\VTTimer.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTrayp] --a------ 2005-01-11 07:33 143360 c:\windows\system32\VTTrayp.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "FirewallOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%ProgramFiles%\AOL 9.0\aol.exe"= "%ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\logo_ubi.exe"= "%ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\pandora.exe"= "%windir%\system32\sessmgr.exe"= "c:\APPS\Inventime\my.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"= "c:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"= "c:\Program Files\HP\Digital Imaging\bin\hposid01.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpiscnapp.exe"= "c:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"= "c:\Program Files\TYPSoft FTP Server\ftpserv.exe"= R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-04-02 114768] R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-04-02 20560] R3 XG350XP;NB 802.11g XG350 Driver;c:\windows\system32\drivers\WLANCTG.SYS [1980-01-01 481664] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc . Contenu du dossier 'Tâches planifiées' 2009-04-03 c:\windows\Tasks\Google Software Updater.job - c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-24 18:15] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ uInternet Connection Wizard,ShellNext = hxxp://www.packardbell.fr/musicstation uInternet Settings,ProxyOverride = 127.0.0.1 IE: &Recherche AOL Toolbar - c:\program files\AOL Toolbar oolbar.dll/SEARCH.HTML IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 Handler: skyline - {3a4f9195-65a8-11d5-85c1-0001023952c1} - c:\program files\Skyline\TerraExplorer\TerraExplorerX.dll DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab FF - ProfilePath - c:\documents and settings\Moi\Application Data\Mozilla\Firefox\Profiles\7r4w785r.default\ FF - prefs.js: browser.search.selectedEngine - Google FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592 pCIDetect13.dll FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology pViewpoint.dll ---- PARAMETRES FIREFOX ---- FF - user.js: yahoo.homepage.dontask - true. ************************************************************************** catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-04-03 13:12:31 Windows 5.1.2600 Service Pack 2 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySqlInventime] "ImagePath"="c:\mysql\bin\mysqld-max-nt MySqlInventime" . ------------------------ Autres processus actifs ------------------------ . c:\program files\Alwil Software\Avast4\aswUpdSv.exe c:\program files\Alwil Software\Avast4\ashServ.exe c:\windows\system32\drivers\CDANTSRV.EXE c:\windows\system32\slserv.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Heure de fin: 2009-04-03 13:17:27 - La machine a redémarré ComboFix-quarantined-files.txt 2009-04-03 11:17:24 ComboFix2.txt 2009-04-02 20:37:09 Avant-CF: 25 387 565 056 octets libres Après-CF: 25,307,893,760 octets libres 277 --- E O F --- 2009-04-02 21:06:48

Sev · Answer

Mon ordinateur est toujours vraiment lent à démarrer, est ce normal ? Merci !

eZula · Answer

Tu devrais désinstaller les produits symantec avec l'utilitaire approprié https://www.google.fr/search?q=d%C3%A9sinstaller+symantec&sourceid=navclient-ff&ie=UTF-8&rlz=1B3GGGL_frFR301FR301&gws_rd=ssl (voir sur le site officiel)

Sev · Answer

C'est pourtant comme ça que j'avais fait. 
Merci pour tout.

eZula · Answer

Poste un rapport HijackThis ?