Virus PATCHED-CK

matsay81 -  
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,
Voilà depuis hier j'ai mon anti virus Avast qui m'informe qu'un virus nommé Patched-CK a infecté plusieurs fichiers tels que explorer.exe, Iass.exe, services.exe, svchost.exe, winlogon.exe, mais qu'il ne peut les supprimer, ni les mettre en quarentaine.
Après avoir regardé les différents forums, j'ai désinstaller Avast, installer Combofix, Hitjackthis, adware, spybot.
Après avoir fait en mode normal, en mode sans echec, je pense avoir toujours ce virus.
Sur toute les barres de mes différentes fenêtres dans windows j'ai des inscription du style "Casino Roxy Palace -100D, bonus".
Pour info, j'ai windows XP SP3.
J'ai besoin d'aide !!!!
Merci

Mathieu
Configuration: Windows XP
Firefox 3.0.10

12 réponses

  1. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    je suis Lyonnais92 et je t'accompagnerai jusqu'à ce que ton ordi soit désinfecté.

    J'ai besoin de certaines informations afin de te faire faire les meilleures manipulations, au moindre risque.

    - il s'agit d'un ordi personnel ou professionnel ?

    - ta session a les droits d'administrateur ?

    - ton Windows est légitime ?

    - tu as un CD (ou DVD) d'installation ou seulement de restauration en l'état neuf ?

    - tu as une sauvegarde de tes données personnelles (sur un support externe) ?

    - tu as (ou peut avoir) l'usage d'un autre ordi sain ? avec un graveur de CD ?

    =======================
    Télécharge OTList2 de OLDTimer ici :

    http://oldtimer.geekstogo.com/OTListIt2.exe

    et enregistre le sur ton Bureau.

    Double clic sur OTListIt2.exe pour le lancer.

    Coche les 2 cases Lop et Purity

    Coche la case devant "scan all users"

    Clic sur Run Scan.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTListIt.txt).

    clique sur ce lien :

    http://www.cijoint.fr/

    Clique sur Parcourir et cherche le fichier ci-dessus.

    Clique sur Ouvrir.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    0
    1. matsay81
       
      Merci de ton aide,

      Alors c'est un ordi professionnel sur lequel il y a qu'un seul utilisateur ou je suis l'administrateur, il s'agit d'XP SP2 original. j'ai d'autre ordi avec graveur disponible a côté qui sont d'ailleur relié en réseau.
      Pour tes manip, ton premier me donne rien, page blanche, et quand clic droit enregistrer sous, rien non plus.
      0
  2. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    tu as un antivirus activé ?

    tu as un rapport de Combofix ?

    si oui, poste le en réponse.
    0
  3. matsay81
     
    ComboFix 09-05-12.06 - Administrateur 13/05/2009 11:32.6 - NTFSx86
    Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.1014.536 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Administrateur\Bureau\defre.exe
    Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFScript
    
    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .
    
    (((((((((((((((((((((((((((((   Fichiers créés du 2009-04-13 au 2009-05-13  ))))))))))))))))))))))))))))))))))))
    .
    
    2009-05-13 08:37 . 2009-05-13 09:20	--------	d-----w	C:\FindyKill
    2009-05-13 07:45 . 2009-05-13 08:18	--------	d-----w	c:\windows\BDOSCAN8
    2009-05-12 13:24 . 2009-05-12 13:20	15688	----a-w	c:\windows\system32\lsdelete.exe
    2009-05-12 13:20 . 2009-05-12 13:19	64160	----a-w	c:\windows\system32\drivers\Lbd.sys
    2009-05-12 13:19 . 2009-05-12 13:19	--------	d-----w	c:\program files\CCleaner
    2009-05-12 13:19 . 2009-05-12 14:38	--------	d-----w	c:\program files\RegCleaner
    2009-05-12 13:18 . 2009-05-12 13:18	--------	dc-h--w	c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}
    2009-05-12 09:19 . 2009-05-12 09:19	32768	----a-w	c:\windows\system32\dkcecry.exe
    2009-05-12 09:19 . 2009-05-12 09:19	32768	---h--w	c:\documents and settings\Administrateur\tpedck.exe
    2009-05-12 09:19 . 2009-05-12 09:19	118784	----a-w	c:\windows\system32\sgc11uj0ecc8.dll
    2009-05-12 09:19 . 2009-05-12 09:19	80191	----a-w	c:\windows\system32\qgc51uj0ecc8.exe
    2009-05-11 15:57 . 2009-05-11 15:57	--------	d-----w	C:\aaa81
    2009-05-11 13:16 . 2009-05-11 13:16	--------	d-----w	c:\program files\B4Playing
    2009-05-11 12:20 . 2009-05-11 14:55	--------	d-----w	c:\program files\A4MenuBuilder
    2009-05-11 12:10 . 2009-05-11 12:16	--------	d-----w	c:\program files\Flash Menu Builder
    2009-05-06 13:06 . 2009-05-06 13:06	--------	d-----w	c:\documents and settings\All Users\Application Data\Babylon
    2009-05-06 13:06 . 2009-05-06 13:06	--------	d-----w	c:\documents and settings\Administrateur\Application Data\Babylon
    2009-05-05 13:40 . 2009-05-05 13:40	--------	d-----w	c:\documents and settings\Administrateur\Library
    2009-05-05 13:40 . 2009-05-05 13:40	--------	d-----w	c:\documents and settings\Administrateur\Application Data\com.adobe.ExMan
    2009-05-04 08:59 . 2009-05-11 06:01	--------	d-----w	c:\documents and settings\Administrateur\Tracing
    2009-05-04 08:57 . 2009-05-04 08:57	--------	d-----w	c:\program files\Microsoft
    2009-05-04 08:57 . 2009-05-04 08:57	--------	d-----w	c:\program files\Windows Live SkyDrive
    2009-05-04 08:57 . 2009-05-04 08:57	--------	d-----w	c:\program files\Windows Live
    2009-05-04 08:38 . 2009-05-04 08:38	--------	d-----w	c:\program files\Fichiers communs\Windows Live
    2009-05-04 06:59 . 2009-02-06 10:10	227840	------w	c:\windows\system32\dllcache\wmiprvse.exe
    2009-05-04 06:59 . 2009-03-06 14:20	286720	------w	c:\windows\system32\dllcache\pdh.dll
    2009-05-04 06:59 . 2009-02-09 10:53	401408	------w	c:\windows\system32\dllcache\rpcss.dll
    2009-05-04 06:59 . 2009-02-09 10:53	473600	------w	c:\windows\system32\dllcache\fastprox.dll
    2009-05-04 06:59 . 2009-02-06 10:39	35328	------w	c:\windows\system32\dllcache\sc.exe
    2009-05-04 06:59 . 2009-02-09 10:53	685568	------w	c:\windows\system32\dllcache\advapi32.dll
    2009-05-04 06:59 . 2009-02-09 10:53	735744	------w	c:\windows\system32\dllcache\lsasrv.dll
    2009-05-04 06:59 . 2009-02-09 10:53	453120	------w	c:\windows\system32\dllcache\wmiprvsd.dll
    2009-05-04 06:59 . 2009-02-09 10:53	739840	------w	c:\windows\system32\dllcache\ntdll.dll
    2009-05-04 06:59 . 2008-12-16 12:31	354304	------w	c:\windows\system32\dllcache\winhttp.dll
    2009-05-04 06:58 . 2008-04-21 21:15	219136	------w	c:\windows\system32\dllcache\wordpad.exe
    2009-05-04 06:42 . 2009-05-04 07:00	--------	d-----w	C:\aaa
    2009-04-30 14:08 . 2009-04-30 14:32	--------	d-----w	c:\program files\PhotoFiltre Studio
    2009-04-29 06:49 . 2009-04-29 06:49	--------	d-----w	c:\program files\Fichiers communs\Wise Installation Wizard
    2009-04-27 14:52 . 2009-04-30 14:05	--------	d-----w	c:\documents and settings\Administrateur\.gimp-2.6
    2009-04-27 14:52 . 2009-04-27 14:52	--------	d-----w	c:\documents and settings\Administrateur\.gegl-0.0
    2009-04-24 07:49 . 2009-04-24 07:49	--------	d-----w	c:\documents and settings\Administrateur\Application Data\Artisteer
    2009-04-21 13:35 . 2009-05-13 08:34	--------	d-----w	c:\documents and settings\Administrateur\Application Data\FileZilla
    2009-04-21 13:34 . 2009-04-28 15:39	--------	d-----w	c:\program files\FileZilla FTP Client
    2009-04-21 13:28 . 2009-04-24 06:49	--------	d---a-w	C:\xampplite
    2009-04-14 14:20 . 2009-04-14 14:20	--------	d-----w	c:\documents and settings\Administrateur\Application Data\Icone
    
    .
    ((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-05-13 08:50 . 2008-11-13 16:56	73978	----a-w	c:\windows\system32\perfc040.dat
    2009-05-13 08:50 . 2008-11-13 16:56	466798	----a-w	c:\windows\system32\perfh040.dat
    2009-05-13 08:50 . 2006-05-08 16:33	74366	----a-w	c:\windows\system32\perfc00C.dat
    2009-05-13 08:50 . 2006-05-08 16:33	467594	----a-w	c:\windows\system32\perfh00C.dat
    2009-05-13 08:03 . 2009-03-31 08:55	--------	d-----w	c:\program files\SWFMenu
    2009-05-13 07:36 . 2008-12-30 07:14	--------	d-----w	c:\program files\Spybot - Search & Destroy
    2009-05-12 09:24 . 2008-08-26 16:16	--------	d-----w	c:\program files\PDF Complete
    2009-05-11 15:52 . 2008-11-03 09:15	--------	d-----w	c:\program files\eMule
    2009-05-04 06:17 . 2008-11-03 10:07	--------	d-----w	c:\program files\Vuze
    2009-05-04 06:15 . 2009-01-15 13:17	--------	d-----w	c:\program files\Save Flash
    2009-05-04 06:11 . 2008-08-26 16:13	--------	d-----w	c:\program files\Fichiers communs\InstallShield
    2009-05-04 06:11 . 2008-08-26 16:14	--------	d--h--w	c:\program files\InstallShield Installation Information
    2009-05-04 06:10 . 2009-02-27 10:40	--------	d-----w	c:\program files\Fichiers communs\Apple
    2009-05-04 06:07 . 2009-02-11 13:18	--------	d-----w	c:\program files\Bonjour
    2009-04-08 15:37 . 2009-04-08 15:37	--------	d-----w	c:\program files\CoffeeCup Software
    2009-04-03 13:54 . 2009-04-03 13:54	46913	----a-w	c:\documents and settings\Administrateur\chat-land.vbs
    2009-03-31 08:00 . 2004-08-19 23:09	960	--sha-w	C:\tcfjaw3o.sys
    2009-03-06 14:20 . 2004-08-19 23:09	286720	----a-w	c:\windows\system32\pdh.dll
    2009-03-03 00:13 . 2004-08-19 23:09	826368	----a-w	c:\windows\system32\wininet.dll
    2009-02-20 17:10 . 2004-08-19 23:09	78336	----a-w	c:\windows\system32\ieencode.dll
    2008-12-04 13:09 . 2008-12-04 13:09	27976	----a-w	c:\program files\mozilla firefox\plugins\atgpcdec.dll
    2008-12-04 13:09 . 2008-12-04 13:09	125848	----a-w	c:\program files\mozilla firefox\plugins\atgpcext.dll
    2008-12-04 13:09 . 2008-12-04 13:09	98712	----a-w	c:\program files\mozilla firefox\plugins\ieatgpc.dll
    .
    
    ------- Sigcheck -------
    
    [7] 2004-08-19 23:10	14336	2979B03D5382A602623C0535B16AB9C0	c:\windows\$NtServicePackUninstall$\svchost.exe
    [7] 2008-04-14 02:34	14336	E4BDF223CD75478BF44567B4D5C2634D	c:\windows\ServicePackFiles\i386\svchost.exe
    [-] 2008-04-14 02:34	17408	863AFAF4FE620E013BF552E8DB42B703	c:\windows\system32\svchost.exe
    
    [7] 2004-08-19 23:10	506368	123EEA158F74D0F67A51DCDF065D1091	c:\windows\$NtServicePackUninstall$\winlogon.exe
    [7] 2008-04-14 02:34	512000	DD73D6B9F6B4CB630CF35B438B540174	c:\windows\ServicePackFiles\i386\winlogon.exe
    [-] 2008-04-14 02:34	516096	AFAADCBC38A4EA0D81F1DD571E4C39C8	c:\windows\system32\winlogon.exe
    
    [-] 2008-04-14 02:34	1040384	745659CE15CA381E6F3B0A5D20BB822D	c:\windows\explorer.exe
    [7] 2004-08-19 23:09	1036288	2A7BD330924252A2FD80344FC949BB72	c:\windows\$NtServicePackUninstall$\explorer.exe
    [7] 2008-04-14 02:34	1037824	F2317622D29F9FF0F88AEECD5F60F0DD	c:\windows\ServicePackFiles\i386\explorer.exe
    
    [7] 2009-02-09 11:16	111104	62789101F9C2401ED598AA2CDE7450C0	c:\windows\$hf_mig$\KB956572\SP3QFE\services.exe
    [7] 2004-08-19 23:10	108544	63DCDE1A0D86EEB8924D6738FF616EAD	c:\windows\$NtServicePackUninstall$\services.exe
    [7] 2008-04-14 02:34	109056	54CB50058851D95E56EC70D09F70857F	c:\windows\$NtUninstallKB956572$\services.exe
    [7] 2008-04-14 02:34	109056	54CB50058851D95E56EC70D09F70857F	c:\windows\ServicePackFiles\i386\services.exe
    [7] 2009-02-09 10:08	111104	9D6BF82FE50D55F20F8E10E0F6653886	c:\windows\SoftwareDistribution\Download\284fbcf1e8e0b40c0953d6b85a551eae\SP2GDR\services.exe
    [7] 2009-02-09 09:53	111104	51A24094F076961A7FF73E5F7E991D68	c:\windows\SoftwareDistribution\Download\284fbcf1e8e0b40c0953d6b85a551eae\SP2QFE\services.exe
    [7] 2009-02-09 11:23	111104	C3FB1D70CB88722267949694BA51759E	c:\windows\SoftwareDistribution\Download\284fbcf1e8e0b40c0953d6b85a551eae\SP3GDR\services.exe
    [7] 2009-02-09 11:16	111104	62789101F9C2401ED598AA2CDE7450C0	c:\windows\SoftwareDistribution\Download\284fbcf1e8e0b40c0953d6b85a551eae\SP3QFE\services.exe
    [-] 2009-02-09 11:23	113152	C20DECCBE56FB7C1E9BD692B9E481B7E	c:\windows\system32\services.exe
    
    [7] 2004-08-19 23:09	13312	259AF82A0932EEA4F316F92DB94707B6	c:\windows\$NtServicePackUninstall$\lsass.exe
    [7] 2008-04-14 02:34	13312	91E6024D6D4DCDECDB36C43ECF9BBECB	c:\windows\ServicePackFiles\i386\lsass.exe
    [-] 2008-04-14 02:34	14848	FF1C377E6932C9B0F6DA15288EACE075	c:\windows\system32\lsass.exe
    .
    (((((((((((((((((((((((((((((   SnapShot@2009-05-12_15.50.52   )))))))))))))))))))))))))))))))))))))))))
    .
    - 2006-05-08 16:33 . 2009-05-05 06:44	61346              c:\windows\system32\perfc009.dat
    + 2006-05-08 16:33 . 2009-05-13 08:50	61346              c:\windows\system32\perfc009.dat
    + 2006-05-24 23:21 . 2006-05-24 23:21	53248              c:\windows\Downloaded Program Files\ipsupd.dll
    + 2006-05-24 23:22 . 2006-05-24 23:22	53248              c:\windows\bdoscandel.exe
    + 2009-05-13 07:45 . 2009-05-13 07:45	86016              c:\windows\BDOSCAN8\librtvr.dll
    + 2006-05-24 23:21 . 2006-05-24 23:21	53248              c:\windows\BDOSCAN8\ipsupd.dll
    + 2009-05-13 07:45 . 2009-05-13 07:45	27136              c:\windows\BDOSCAN8\avxt.dll
    + 2009-05-13 07:45 . 2009-05-13 07:45	10240              c:\windows\BDOSCAN8\avxs.dll
    + 2009-05-13 07:45 . 2009-05-13 07:45	45056              c:\windows\BDOSCAN8\avxdisk.dll
    - 2006-05-08 16:33 . 2009-05-05 06:44	400414              c:\windows\system32\perfh009.dat
    + 2006-05-08 16:33 . 2009-05-13 08:50	400414              c:\windows\system32\perfh009.dat
    + 2006-05-24 23:21 . 2006-05-24 23:21	118784              c:\windows\Downloaded Program Files\bdupd.dll
    + 2004-12-07 15:07 . 2009-05-13 07:45	142848              c:\windows\BDOSCAN8\libfn.dll
    + 2006-05-24 23:21 . 2006-05-24 23:21	118784              c:\windows\BDOSCAN8\bdupd.dll
    + 2004-12-07 15:07 . 2009-05-13 07:45	102400              c:\windows\BDOSCAN8\bdcore.dll
    .
    (((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
    REGEDIT4
    
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
    "SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "AdobeCS4ServiceManager"="c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
    "rgc31uj0ecc8"="c:\windows\system32\qgc51uj0ecc8.exe" [2009-05-12 80191]
    "dkcecry"="c:\windows\system32\dkcecry.exe" [2009-05-12 32768]
    
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
    
    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Auto Document Link.lnk - c:\program files\RDS\PLDlnk.exe [2008-10-20 544768]
    Function Palette.lnk - c:\program files\RDS\PLTBar.exe [2008-10-20 163840]
    SmartDeviceMonitor for Client.lnk - c:\program files\RDS\RMClient\PMClient.exe [2008-10-20 495616]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\beep.sys]
    @="beep"
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
    @="Service"
    
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "\\\\Hp11339510072\\ANAELTT\\PROG\\TT\\ANAELTT.exe"=
    "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
    "c:\\Program Files\\RDS\\PLTBar.exe"=
    "c:\\Program Files\\FileMaker\\FileMaker Pro 9 Advanced\\FileMaker Pro Advanced.exe"=
    "c:\\Program Files\\FileMaker\\FileMaker Pro 9 Advanced\\Extensions\\Web Support\\FM Web Publishing.exe"=
    "c:\\Program Files\\Fichiers communs\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
    "c:\\Program Files\\eMule\\emule.exe"=
    "c:\\TYPSoft FTP Server\\ftpserv.exe"=
    "c:\\Program Files\\Adobe\\Adobe Dreamweaver CS4\\Dreamweaver.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\xampplite\\apache\\bin\\httpd.exe"=
    "c:\\WINDOWS\\system32\\dkcecry.exe"=
    
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "50003:TCP"= 50003:TCP:FM
    "5353:TCP"= 5353:TCP:Adobe CSI CS4
    "12169:TCP"= 12169:TCP:NortonAV
    "18100:TCP"= 18100:TCP:NortonAV
    
    R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [12/05/2009 15:20 64160]
    R2 pdfcDispatcher;PDF Document Manager;c:\program files\PDF Complete\pdfsvc.exe [26/08/2008 18:16 576024]
    S3 PMObserv;PMObserv;c:\windows\system32\PMObserv.exe [20/10/2008 17:22 180224]
    S4 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [18/01/2009 23:34 953168]
    .
    Contenu du dossier 'Tâches planifiées'
    
    2009-05-12 c:\windows\Tasks\Ad-Aware Update (Weekly).job
    - c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 13:19]
    
    2009-05-07 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://french.ircfast.com/fr/index.php?rvs=hompag
    mStart Page = hxxp://french.ircfast.com/fr/index.php?rvs=hompag
    uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=74&bd=smb&pf=desktop
    uInternet Settings,ProxyOverride = *.local
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    TCP: {46DE5D06-D333-429F-9FCE-9F25D56C49DE} = 192.168.1.1
    DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
    FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\q6e2jed9.default\
    FF - prefs.js: browser.search.selectedEngine - YouGoo
    FF - prefs.js: browser.startup.homepage - hxxp://www.orange.fr/
    FF - prefs.js: keyword.URL - hxxp://french.ircfast.com/fr/index.php?rvs=hompag
    FF - plugin: c:\program files\Mozilla Firefox\plugins\npatgpc.dll
    .
    
    **************************************************************************
    
    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-05-13 11:33
    Windows 5.1.2600 Service Pack 3 NTFS
    
    Recherche de processus cachés ... 
    
    Recherche d'éléments en démarrage automatique cachés ... 
    
    Recherche de fichiers cachés ... 
    
    Scan terminé avec succès
    Fichiers cachés: 0
    
    **************************************************************************
    
    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pdfcDispatcher]
    "ImagePath"="c:\program files\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    
    [HKEY_USERS\S-1-5-21-3754797242-3388723837-2426328699-500\Software\Microsoft\SystemCertificates\AddressBook*]
    @Allowed: (Read) (RestrictedCode)
    @Allowed: (Read) (RestrictedCode)
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------
    
    - - - - - - - > 'explorer.exe'(480)
    c:\windows\system32\sgc11uj0ecc8.dll
    c:\windows\system32\eappprxy.dll
    .
    Heure de fin: 2009-05-13 11:34
    ComboFix-quarantined-files.txt  2009-05-13 09:34
    ComboFix2.txt  2009-05-13 09:09
    ComboFix3.txt  2009-05-13 06:52
    ComboFix4.txt  2009-05-13 06:38
    ComboFix5.txt  2009-05-13 09:32
    
    Avant-CF: 229 971 054 592 octets libres
    Après-CF: 229 958 524 928 octets libres
    
    223	--- E O F ---	2009-05-05 16:01
    


    Plus de virus en action j'avais avast que j'ai désinstallé, voici le rapport combo fix au dessus, je te joint ensuite le rapport Hitjackthis.
    0
  4. matsay81
     
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16:20:14, on 12/05/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16827)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\qgc51uj0ecc8.exe
    C:\WINDOWS\system32\dkcecry.exe
    C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\RDS\PLDlnk.exe
    C:\Program Files\RDS\PLTBar.exe
    C:\Program Files\RDS\RMClient\PMCTray.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\xampplite\mysql\bin\mysqld.exe
    C:\Program Files\PDF Complete\pdfsvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\RegCleaner\RegCleanr.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.422\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://french.ircfast.com/fr/index.php?rvs=hompag
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://french.ircfast.com/fr/index.php?rvs=hompag
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/...
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
    O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
    O4 - HKLM\..\Run: [rgc31uj0ecc8] C:\WINDOWS\system32\qgc51uj0ecc8.exe
    O4 - HKLM\..\Run: [dkcecry] C:\WINDOWS\system32\dkcecry.exe \u
    O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Auto Document Link.lnk = C:\Program Files\RDS\PLDlnk.exe
    O4 - Global Startup: Function Palette.lnk = C:\Program Files\RDS\PLTBar.exe
    O4 - Global Startup: SmartDeviceMonitor for Client.lnk = C:\Program Files\RDS\RMClient\PMClient.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
    O17 - HKLM\System\CCS\Services\Tcpip\..\{46DE5D06-D333-429F-9FCE-9F25D56C49DE}: NameServer = 192.168.1.1
    O17 - HKLM\System\CS1\Services\Tcpip\..\{46DE5D06-D333-429F-9FCE-9F25D56C49DE}: NameServer = 192.168.1.1
    O17 - HKLM\System\CS2\Services\Tcpip\..\{46DE5D06-D333-429F-9FCE-9F25D56C49DE}: NameServer = 192.168.1.1
    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
    O23 - Service: MySQL - Unknown owner - C:\xampplite\mysql\bin\mysqld.exe
    O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program Files\PDF Complete\pdfsvc.exe
    O23 - Service: PMObserv - RICOH CO.,LTD. - C:\WINDOWS\system32\PMObserv.exe
    O23 - Service: Spooler - Unknown owner - C:\WINDOWS\system32\spoolsv.exe (file missing)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    installe antivir pour ne pas t'infecter encore plus.

    https://www.malekal.com/avira-free-security-antivirus-gratuit/

    =====================================

    Désinstalle Spybot S&D

    ======================================
    Télécharge DirLook de jpshortstuff ici :

    http://jpshortstuff.247fixes.com/DirLook.exe

    [*]Double-clique sur DirLook.exe pour le lancer.
    [*]Assure-toi que Show Hidden Files et BBCode Ouput soient tous les deux cochés.
    [*]Copie le contenu de la boîte ci-dessous dans le champ texte principal :

    C:\aaa81


    [*]Clique sur le bouton DirLook pour lancer l'examen.
    [*]Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan. Merci de poster ce rapport dans ta prochaine réponse.

    Note : Le rapport peut aussi être trouvé dans C:dl_log.txt

    ==============================================
    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur parcourir et cherche ce fichier : c:\windows\system32\qgc51uj0ecc8.exe

    Clique sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta réponse.

    Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

    =================

    Recommence avec :

    c:\documents and settings\Administrateur\tpedck.exe

    et

    c:\windows\system32\dkcecry.exe

    ===================

    Je ne connais pas ta configuration, mais je pense qu'il te manque un parefeu contrôlant les connexions sortantes.

    Mon conseil :

    https://www.malekal.com/tutorial-online-armor-free/

    ======================

    Avec tous ces renseignements, on attaquera la désinfection.

    Attention, il y a des risques que l'ordi soit "piraté"".

    Je te conseille, de toute manière, de faire une sauvegarde des données (en particulier professionnelles), de surveiller tes comptes bancaires si des infos sont sur l'ordi et de changer tous tes mots de passe quand il sera désinfecté.
    0
  7. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    en premier poste moi le rapport de combofix n° 4 ComboFix4.txt.

    Il doit être dans C:\Qoobox.
    0
  8. matsay81
     
    ComboFix 09-05-11.08 - Administrateur 13/05/2009 8:33.3 - NTFSx86 MINIMAL
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1014.806 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Administrateur\Bureau\defre.exe

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    ((((((((((((((((((((((((((((( Fichiers créés du 2009-04-13 au 2009-05-13 ))))))))))))))))))))))))))))))))))))
    .

    2009-05-12 13:24 . 2009-05-12 13:20 15688 ----a-w c:\windows\system32\lsdelete.exe
    2009-05-12 13:20 . 2009-05-12 13:19 64160 ----a-w c:\windows\system32\drivers\Lbd.sys
    2009-05-12 13:19 . 2009-05-12 13:19 -------- d-----w c:\program files\CCleaner
    2009-05-12 13:19 . 2009-05-12 14:38 -------- d-----w c:\program files\RegCleaner
    2009-05-12 13:18 . 2009-05-12 13:18 -------- dc-h--w c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}
    2009-05-12 09:19 . 2009-05-12 09:19 32768 ----a-w c:\windows\system32\dkcecry.exe
    2009-05-12 09:19 . 2009-05-12 09:19 32768 ---h--w c:\documents and settings\Administrateur\tpedck.exe
    2009-05-12 09:19 . 2009-05-12 09:19 118784 ----a-w c:\windows\system32\sgc11uj0ecc8.dll
    2009-05-12 09:19 . 2009-05-12 09:19 80191 ----a-w c:\windows\system32\qgc51uj0ecc8 .exe
    2009-05-12 09:19 . 2009-05-12 09:19 80191 ----a-w c:\windows\system32\qgc51uj0ecc8.exe
    2009-05-11 15:57 . 2009-05-11 15:57 -------- d-----w C:\aaa81
    2009-05-11 13:16 . 2009-05-11 13:16 -------- d-----w c:\program files\B4Playing
    2009-05-11 12:20 . 2009-05-11 14:55 -------- d-----w c:\program files\A4MenuBuilder
    2009-05-11 12:10 . 2009-05-11 12:16 -------- d-----w c:\program files\Flash Menu Builder
    2009-05-06 13:06 . 2009-05-06 13:06 -------- d-----w c:\documents and settings\All Users\Application Data\Babylon
    2009-05-06 13:06 . 2009-05-06 13:06 -------- d-----w c:\documents and settings\Administrateur\Application Data\Babylon
    2009-05-05 13:40 . 2009-05-05 13:40 -------- d-----w c:\documents and settings\Administrateur\Library
    2009-05-05 13:40 . 2009-05-05 13:40 -------- d-----w c:\documents and settings\Administrateur\Application Data\com.adobe.ExMan
    2009-05-04 08:59 . 2009-05-11 06:01 -------- d-----w c:\documents and settings\Administrateur\Tracing
    2009-05-04 08:57 . 2009-05-04 08:57 -------- d-----w c:\program files\Microsoft
    2009-05-04 08:57 . 2009-05-04 08:57 -------- d-----w c:\program files\Windows Live SkyDrive
    2009-05-04 08:57 . 2009-05-04 08:57 -------- d-----w c:\program files\Windows Live
    2009-05-04 08:38 . 2009-05-04 08:38 -------- d-----w c:\program files\Fichiers communs\Windows Live
    2009-05-04 06:59 . 2009-02-06 10:10 227840 ------w c:\windows\system32\dllcache\wmiprvse.exe
    2009-05-04 06:59 . 2009-03-06 14:20 286720 ------w c:\windows\system32\dllcache\pdh.dll
    2009-05-04 06:59 . 2009-02-09 10:53 401408 ------w c:\windows\system32\dllcache\rpcss.dll
    2009-05-04 06:59 . 2009-02-09 10:53 473600 ------w c:\windows\system32\dllcache\fastprox.dll
    2009-05-04 06:59 . 2009-02-06 10:39 35328 ------w c:\windows\system32\dllcache\sc.exe
    2009-05-04 06:59 . 2009-02-09 10:53 685568 ------w c:\windows\system32\dllcache\advapi32.dll
    2009-05-04 06:59 . 2009-02-09 10:53 735744 ------w c:\windows\system32\dllcache\lsasrv.dll
    2009-05-04 06:59 . 2009-02-09 10:53 453120 ------w c:\windows\system32\dllcache\wmiprvsd.dll
    2009-05-04 06:59 . 2009-02-09 10:53 739840 ------w c:\windows\system32\dllcache\ntdll.dll
    2009-05-04 06:59 . 2008-12-16 12:31 354304 ------w c:\windows\system32\dllcache\winhttp.dll
    2009-05-04 06:58 . 2008-04-21 21:15 219136 ------w c:\windows\system32\dllcache\wordpad.exe
    2009-05-04 06:42 . 2009-05-04 07:00 -------- d-----w C:\aaa
    2009-04-30 14:08 . 2009-04-30 14:32 -------- d-----w c:\program files\PhotoFiltre Studio
    2009-04-29 06:49 . 2009-04-29 06:49 -------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
    2009-04-27 14:52 . 2009-04-30 14:05 -------- d-----w c:\documents and settings\Administrateur\.gimp-2.6
    2009-04-27 14:52 . 2009-04-27 14:52 -------- d-----w c:\documents and settings\Administrateur\.gegl-0.0
    2009-04-24 07:49 . 2009-04-24 07:49 -------- d-----w c:\documents and settings\Administrateur\Application Data\Artisteer
    2009-04-21 13:35 . 2009-05-12 10:00 -------- d-----w c:\documents and settings\Administrateur\Application Data\FileZilla
    2009-04-21 13:34 . 2009-04-28 15:39 -------- d-----w c:\program files\FileZilla FTP Client
    2009-04-21 13:28 . 2009-04-24 06:49 -------- d---a-w C:\xampplite
    2009-04-14 14:20 . 2009-04-14 14:20 -------- d-----w c:\documents and settings\Administrateur\Application Data\Icone

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-05-12 10:00 . 2009-03-31 08:55 -------- d-----w c:\program files\SWFMenu
    2009-05-12 09:24 . 2008-08-26 16:16 -------- d-----w c:\program files\PDF Complete
    2009-05-11 15:52 . 2008-11-03 09:15 -------- d-----w c:\program files\eMule
    2009-05-05 06:44 . 2008-11-13 16:56 73978 ----a-w c:\windows\system32\perfc040.dat
    2009-05-05 06:44 . 2008-11-13 16:56 466798 ----a-w c:\windows\system32\perfh040.dat
    2009-05-05 06:44 . 2006-05-08 16:33 74366 ----a-w c:\windows\system32\perfc00C.dat
    2009-05-05 06:44 . 2006-05-08 16:33 467594 ----a-w c:\windows\system32\perfh00C.dat
    2009-05-04 06:17 . 2008-11-03 10:07 -------- d-----w c:\program files\Vuze
    2009-05-04 06:15 . 2009-01-15 13:17 -------- d-----w c:\program files\Save Flash
    2009-05-04 06:11 . 2008-08-26 16:13 -------- d-----w c:\program files\Fichiers communs\InstallShield
    2009-05-04 06:11 . 2008-08-26 16:14 -------- d--h--w c:\program files\InstallShield Installation Information
    2009-05-04 06:10 . 2009-02-27 10:40 -------- d-----w c:\program files\Fichiers communs\Apple
    2009-05-04 06:07 . 2009-02-11 13:18 -------- d-----w c:\program files\Bonjour
    2009-04-29 06:45 . 2008-12-30 07:14 -------- d-----w c:\program files\Spybot - Search & Destroy
    2009-04-08 15:37 . 2009-04-08 15:37 -------- d-----w c:\program files\CoffeeCup Software
    2009-04-03 13:54 . 2009-04-03 13:54 46913 ----a-w c:\documents and settings\Administrateur\chat-land.vbs
    2009-03-31 08:00 . 2004-08-19 23:09 960 --sha-w C:\tcfjaw3o.sys
    2009-03-06 14:20 . 2004-08-19 23:09 286720 ----a-w c:\windows\system32\pdh.dll
    2009-03-03 00:13 . 2004-08-19 23:09 826368 ----a-w c:\windows\system32\wininet.dll
    2009-02-20 17:10 . 2004-08-19 23:09 78336 ----a-w c:\windows\system32\ieencode.dll
    2008-12-04 13:09 . 2008-12-04 13:09 27976 ----a-w c:\program files\mozilla firefox\plugins\atgpcdec.dll
    2008-12-04 13:09 . 2008-12-04 13:09 125848 ----a-w c:\program files\mozilla firefox\plugins\atgpcext.dll
    2008-12-04 13:09 . 2008-12-04 13:09 98712 ----a-w c:\program files\mozilla firefox\plugins\ieatgpc.dll
    .

    ------- Sigcheck -------

    [7] 2004-08-19 23:10 14336 2979B03D5382A602623C0535B16AB9C0 c:\windows\$NtServicePackUninstall$\svchost.exe
    [7] 2008-04-14 02:34 14336 E4BDF223CD75478BF44567B4D5C2634D c:\windows\ServicePackFiles\i386\svchost.exe
    [-] 2008-04-14 02:34 17408 863AFAF4FE620E013BF552E8DB42B703 c:\windows\system32\svchost.exe

    [7] 2004-08-19 23:10 506368 123EEA158F74D0F67A51DCDF065D1091 c:\windows\$NtServicePackUninstall$\winlogon.exe
    [7] 2008-04-14 02:34 512000 DD73D6B9F6B4CB630CF35B438B540174 c:\windows\ServicePackFiles\i386\winlogon.exe
    [-] 2008-04-14 02:34 516096 AFAADCBC38A4EA0D81F1DD571E4C39C8 c:\windows\system32\winlogon.exe

    [-] 2008-04-14 02:34 1040384 745659CE15CA381E6F3B0A5D20BB822D c:\windows\explorer.exe
    [7] 2004-08-19 23:09 1036288 2A7BD330924252A2FD80344FC949BB72 c:\windows\$NtServicePackUninstall$\explorer.exe
    [7] 2008-04-14 02:34 1037824 F2317622D29F9FF0F88AEECD5F60F0DD c:\windows\ServicePackFiles\i386\explorer.exe

    [7] 2009-02-09 11:16 111104 62789101F9C2401ED598AA2CDE7450C0 c:\windows\$hf_mig$\KB956572\SP3QFE\services.exe
    [7] 2004-08-19 23:10 108544 63DCDE1A0D86EEB8924D6738FF616EAD c:\windows\$NtServicePackUninstall$\services.exe
    [7] 2008-04-14 02:34 109056 54CB50058851D95E56EC70D09F70857F c:\windows\$NtUninstallKB956572$\services.exe
    [7] 2008-04-14 02:34 109056 54CB50058851D95E56EC70D09F70857F c:\windows\ServicePackFiles\i386\services.exe
    [7] 2009-02-09 10:08 111104 9D6BF82FE50D55F20F8E10E0F6653886 c:\windows\SoftwareDistribution\Download\284fbcf1e8e0b40c0953d6b85a551eae\SP2GDR\services.exe
    [7] 2009-02-09 09:53 111104 51A24094F076961A7FF73E5F7E991D68 c:\windows\SoftwareDistribution\Download\284fbcf1e8e0b40c0953d6b85a551eae\SP2QFE\services.exe
    [7] 2009-02-09 11:23 111104 C3FB1D70CB88722267949694BA51759E c:\windows\SoftwareDistribution\Download\284fbcf1e8e0b40c0953d6b85a551eae\SP3GDR\services.exe
    [7] 2009-02-09 11:16 111104 62789101F9C2401ED598AA2CDE7450C0 c:\windows\SoftwareDistribution\Download\284fbcf1e8e0b40c0953d6b85a551eae\SP3QFE\services.exe
    [-] 2009-02-09 11:23 113152 C20DECCBE56FB7C1E9BD692B9E481B7E c:\windows\system32\services.exe

    [7] 2004-08-19 23:09 13312 259AF82A0932EEA4F316F92DB94707B6 c:\windows\$NtServicePackUninstall$\lsass.exe
    [7] 2008-04-14 02:34 13312 91E6024D6D4DCDECDB36C43ECF9BBECB c:\windows\ServicePackFiles\i386\lsass.exe
    [-] 2008-04-14 02:34 14848 FF1C377E6932C9B0F6DA15288EACE075 c:\windows\system32\lsass.exe
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "AdobeCS4ServiceManager"="c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
    "rgc31uj0ecc8"="c:\windows\system32\qgc51uj0ecc8.exe" [2009-05-12 80191]
    "dkcecry"="c:\windows\system32\dkcecry.exe" [2009-05-12 32768]
    "Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-05-12 516440]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Auto Document Link.lnk - c:\program files\RDS\PLDlnk.exe [2008-10-20 544768]
    Function Palette.lnk - c:\program files\RDS\PLTBar.exe [2008-10-20 163840]
    SmartDeviceMonitor for Client.lnk - c:\program files\RDS\RMClient\PMClient.exe [2008-10-20 495616]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\beep.sys]
    @="beep"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
    @="Service"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "\\\\Hp11339510072\\ANAELTT\\PROG\\TT\\ANAELTT.exe"=
    "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
    "c:\\Program Files\\RDS\\PLTBar.exe"=
    "c:\\Program Files\\FileMaker\\FileMaker Pro 9 Advanced\\FileMaker Pro Advanced.exe"=
    "c:\\Program Files\\FileMaker\\FileMaker Pro 9 Advanced\\Extensions\\Web Support\\FM Web Publishing.exe"=
    "c:\\Program Files\\Fichiers communs\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
    "c:\\Program Files\\eMule\\emule.exe"=
    "c:\\TYPSoft FTP Server\\ftpserv.exe"=
    "c:\\Program Files\\Adobe\\Adobe Dreamweaver CS4\\Dreamweaver.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\xampplite\\apache\\bin\\httpd.exe"=
    "c:\\WINDOWS\\system32\\dkcecry.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "50003:TCP"= 50003:TCP:FM
    "5353:TCP"= 5353:TCP:Adobe CSI CS4
    "12169:TCP"= 12169:TCP:NortonAV
    "18100:TCP"= 18100:TCP:NortonAV

    R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [12/05/2009 15:20 64160]
    S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [18/01/2009 23:34 953168]
    S2 pdfcDispatcher;PDF Document Manager;c:\program files\PDF Complete\pdfsvc.exe [26/08/2008 18:16 576024]
    S3 PMObserv;PMObserv;c:\windows\system32\PMObserv.exe [20/10/2008 17:22 180224]
    .
    Contenu du dossier 'Tâches planifiées'

    2009-05-12 c:\windows\Tasks\Ad-Aware Update (Weekly).job
    - c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 13:19]

    2009-05-07 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://french.ircfast.com/fr/index.php?rvs=hompag
    mStart Page = hxxp://french.ircfast.com/fr/index.php?rvs=hompag
    uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=74&bd=smb&pf=desktop
    uInternet Settings,ProxyOverride = *.local
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    TCP: {46DE5D06-D333-429F-9FCE-9F25D56C49DE} = 192.168.1.1
    FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\q6e2jed9.default\
    FF - prefs.js: browser.search.selectedEngine - YouGoo
    FF - prefs.js: browser.startup.homepage - hxxp://www.orange.fr/
    FF - prefs.js: keyword.URL - hxxp://french.ircfast.com/fr/index.php?rvs=hompag
    FF - plugin: c:\program files\Mozilla Firefox\plugins\npatgpc.dll
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-05-13 08:36
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pdfcDispatcher]
    "ImagePath"="c:\program files\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-3754797242-3388723837-2426328699-500\Software\Microsoft\SystemCertificates\AddressBook*]
    @Allowed: (Read) (RestrictedCode)
    @Allowed: (Read) (RestrictedCode)
    .
    Heure de fin: 2009-05-13 8:38
    ComboFix-quarantined-files.txt 2009-05-13 06:38
    ComboFix2.txt 2009-05-12 15:59
    ComboFix3.txt 2009-05-12 15:52
    ComboFix4.txt 2009-05-12 14:29
    ComboFix5.txt 2009-05-13 06:33

    Avant-CF: 231 190 159 360 octets libres
    Après-CF: 231 178 764 288 octets libres

    199 --- E O F --- 2009-05-05 16:01
    0
  9. matsay81
     
    Concernant DirLook.exe cela fait rien, petite fenêtre dos, puis appuyer sur une touche pour continuer, et quand j'appui elle se ferme et plus rien !
    J'ai désintaller Spybot et téléchargé antivir, je l'installe ?
    0
  10. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    désolé, la numérotation a changé.

    Je voudrais celui qui a tourné à 6h33.

    Si il a avorté, celui de 6h38 :

    omboFix-quarantined-files.txt 2009-05-13 06:38
    ComboFix2.txt 2009-05-12 15:59
    ComboFix3.txt 2009-05-12 15:52
    ComboFix4.txt 2009-05-12 14:29
    ComboFix5.txt 2009-05-13 06:33

    C'est pour voir l'état avant nettoyage.

    0
  11. matsay81
     
    Je ne sais pas si c'est celui là, ça c'est le combofix2.txt l'un des tous premier qui a été fait.

    ComboFix 09-05-12.06 - Administrateur 13/05/2009 11:04.5 - NTFSx86 MINIMAL
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1014.820 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Administrateur\Bureau\defre.exe

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    ((((((((((((((((((((((((((((( Fichiers créés du 2009-04-13 au 2009-05-13 ))))))))))))))))))))))))))))))))))))
    .

    2009-05-13 08:37 . 2009-05-13 09:01 -------- d-----w C:\FindyKill
    2009-05-13 07:45 . 2009-05-13 08:18 -------- d-----w c:\windows\BDOSCAN8
    2009-05-12 13:24 . 2009-05-12 13:20 15688 ----a-w c:\windows\system32\lsdelete.exe
    2009-05-12 13:20 . 2009-05-12 13:19 64160 ----a-w c:\windows\system32\drivers\Lbd.sys
    2009-05-12 13:19 . 2009-05-12 13:19 -------- d-----w c:\program files\CCleaner
    2009-05-12 13:19 . 2009-05-12 14:38 -------- d-----w c:\program files\RegCleaner
    2009-05-12 13:18 . 2009-05-12 13:18 -------- dc-h--w c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}
    2009-05-12 09:19 . 2009-05-12 09:19 32768 ----a-w c:\windows\system32\dkcecry.exe
    2009-05-12 09:19 . 2009-05-12 09:19 32768 ---h--w c:\documents and settings\Administrateur\tpedck.exe
    2009-05-12 09:19 . 2009-05-12 09:19 118784 ----a-w c:\windows\system32\sgc11uj0ecc8.dll
    2009-05-12 09:19 . 2009-05-12 09:19 80191 ----a-w c:\windows\system32\qgc51uj0ecc8.exe
    2009-05-11 15:57 . 2009-05-11 15:57 -------- d-----w C:\aaa81
    2009-05-11 13:16 . 2009-05-11 13:16 -------- d-----w c:\program files\B4Playing
    2009-05-11 12:20 . 2009-05-11 14:55 -------- d-----w c:\program files\A4MenuBuilder
    2009-05-11 12:10 . 2009-05-11 12:16 -------- d-----w c:\program files\Flash Menu Builder
    2009-05-06 13:06 . 2009-05-06 13:06 -------- d-----w c:\documents and settings\All Users\Application Data\Babylon
    2009-05-06 13:06 . 2009-05-06 13:06 -------- d-----w c:\documents and settings\Administrateur\Application Data\Babylon
    2009-05-05 13:40 . 2009-05-05 13:40 -------- d-----w c:\documents and settings\Administrateur\Library
    2009-05-05 13:40 . 2009-05-05 13:40 -------- d-----w c:\documents and settings\Administrateur\Application Data\com.adobe.ExMan
    2009-05-04 08:59 . 2009-05-11 06:01 -------- d-----w c:\documents and settings\Administrateur\Tracing
    2009-05-04 08:57 . 2009-05-04 08:57 -------- d-----w c:\program files\Microsoft
    2009-05-04 08:57 . 2009-05-04 08:57 -------- d-----w c:\program files\Windows Live SkyDrive
    2009-05-04 08:57 . 2009-05-04 08:57 -------- d-----w c:\program files\Windows Live
    2009-05-04 08:38 . 2009-05-04 08:38 -------- d-----w c:\program files\Fichiers communs\Windows Live
    2009-05-04 06:59 . 2009-02-06 10:10 227840 ------w c:\windows\system32\dllcache\wmiprvse.exe
    2009-05-04 06:59 . 2009-03-06 14:20 286720 ------w c:\windows\system32\dllcache\pdh.dll
    2009-05-04 06:59 . 2009-02-09 10:53 401408 ------w c:\windows\system32\dllcache\rpcss.dll
    2009-05-04 06:59 . 2009-02-09 10:53 473600 ------w c:\windows\system32\dllcache\fastprox.dll
    2009-05-04 06:59 . 2009-02-06 10:39 35328 ------w c:\windows\system32\dllcache\sc.exe
    2009-05-04 06:59 . 2009-02-09 10:53 685568 ------w c:\windows\system32\dllcache\advapi32.dll
    2009-05-04 06:59 . 2009-02-09 10:53 735744 ------w c:\windows\system32\dllcache\lsasrv.dll
    2009-05-04 06:59 . 2009-02-09 10:53 453120 ------w c:\windows\system32\dllcache\wmiprvsd.dll
    2009-05-04 06:59 . 2009-02-09 10:53 739840 ------w c:\windows\system32\dllcache\ntdll.dll
    2009-05-04 06:59 . 2008-12-16 12:31 354304 ------w c:\windows\system32\dllcache\winhttp.dll
    2009-05-04 06:58 . 2008-04-21 21:15 219136 ------w c:\windows\system32\dllcache\wordpad.exe
    2009-05-04 06:42 . 2009-05-04 07:00 -------- d-----w C:\aaa
    2009-04-30 14:08 . 2009-04-30 14:32 -------- d-----w c:\program files\PhotoFiltre Studio
    2009-04-29 06:49 . 2009-04-29 06:49 -------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
    2009-04-27 14:52 . 2009-04-30 14:05 -------- d-----w c:\documents and settings\Administrateur\.gimp-2.6
    2009-04-27 14:52 . 2009-04-27 14:52 -------- d-----w c:\documents and settings\Administrateur\.gegl-0.0
    2009-04-24 07:49 . 2009-04-24 07:49 -------- d-----w c:\documents and settings\Administrateur\Application Data\Artisteer
    2009-04-21 13:35 . 2009-05-13 08:34 -------- d-----w c:\documents and settings\Administrateur\Application Data\FileZilla
    2009-04-21 13:34 . 2009-04-28 15:39 -------- d-----w c:\program files\FileZilla FTP Client
    2009-04-21 13:28 . 2009-04-24 06:49 -------- d---a-w C:\xampplite
    2009-04-14 14:20 . 2009-04-14 14:20 -------- d-----w c:\documents and settings\Administrateur\Application Data\Icone

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-05-13 08:50 . 2008-11-13 16:56 73978 ----a-w c:\windows\system32\perfc040.dat
    2009-05-13 08:50 . 2008-11-13 16:56 466798 ----a-w c:\windows\system32\perfh040.dat
    2009-05-13 08:50 . 2006-05-08 16:33 74366 ----a-w c:\windows\system32\perfc00C.dat
    2009-05-13 08:50 . 2006-05-08 16:33 467594 ----a-w c:\windows\system32\perfh00C.dat
    2009-05-13 08:03 . 2009-03-31 08:55 -------- d-----w c:\program files\SWFMenu
    2009-05-13 07:36 . 2008-12-30 07:14 -------- d-----w c:\program files\Spybot - Search & Destroy
    2009-05-12 09:24 . 2008-08-26 16:16 -------- d-----w c:\program files\PDF Complete
    2009-05-11 15:52 . 2008-11-03 09:15 -------- d-----w c:\program files\eMule
    2009-05-04 06:17 . 2008-11-03 10:07 -------- d-----w c:\program files\Vuze
    2009-05-04 06:15 . 2009-01-15 13:17 -------- d-----w c:\program files\Save Flash
    2009-05-04 06:11 . 2008-08-26 16:13 -------- d-----w c:\program files\Fichiers communs\InstallShield
    2009-05-04 06:11 . 2008-08-26 16:14 -------- d--h--w c:\program files\InstallShield Installation Information
    2009-05-04 06:10 . 2009-02-27 10:40 -------- d-----w c:\program files\Fichiers communs\Apple
    2009-05-04 06:07 . 2009-02-11 13:18 -------- d-----w c:\program files\Bonjour
    2009-04-08 15:37 . 2009-04-08 15:37 -------- d-----w c:\program files\CoffeeCup Software
    2009-04-03 13:54 . 2009-04-03 13:54 46913 ----a-w c:\documents and settings\Administrateur\chat-land.vbs
    2009-03-31 08:00 . 2004-08-19 23:09 960 --sha-w C:\tcfjaw3o.sys
    2009-03-06 14:20 . 2004-08-19 23:09 286720 ----a-w c:\windows\system32\pdh.dll
    2009-03-03 00:13 . 2004-08-19 23:09 826368 ----a-w c:\windows\system32\wininet.dll
    2009-02-20 17:10 . 2004-08-19 23:09 78336 ----a-w c:\windows\system32\ieencode.dll
    2008-12-04 13:09 . 2008-12-04 13:09 27976 ----a-w c:\program files\mozilla firefox\plugins\atgpcdec.dll
    2008-12-04 13:09 . 2008-12-04 13:09 125848 ----a-w c:\program files\mozilla firefox\plugins\atgpcext.dll
    2008-12-04 13:09 . 2008-12-04 13:09 98712 ----a-w c:\program files\mozilla firefox\plugins\ieatgpc.dll
    .

    ------- Sigcheck -------

    [7] 2004-08-19 23:10 14336 2979B03D5382A602623C0535B16AB9C0 c:\windows\$NtServicePackUninstall$\svchost.exe
    [7] 2008-04-14 02:34 14336 E4BDF223CD75478BF44567B4D5C2634D c:\windows\ServicePackFiles\i386\svchost.exe
    [-] 2008-04-14 02:34 17408 863AFAF4FE620E013BF552E8DB42B703 c:\windows\system32\svchost.exe

    [7] 2004-08-19 23:10 506368 123EEA158F74D0F67A51DCDF065D1091 c:\windows\$NtServicePackUninstall$\winlogon.exe
    [7] 2008-04-14 02:34 512000 DD73D6B9F6B4CB630CF35B438B540174 c:\windows\ServicePackFiles\i386\winlogon.exe
    [-] 2008-04-14 02:34 516096 AFAADCBC38A4EA0D81F1DD571E4C39C8 c:\windows\system32\winlogon.exe

    [-] 2008-04-14 02:34 1040384 745659CE15CA381E6F3B0A5D20BB822D c:\windows\explorer.exe
    [7] 2004-08-19 23:09 1036288 2A7BD330924252A2FD80344FC949BB72 c:\windows\$NtServicePackUninstall$\explorer.exe
    [7] 2008-04-14 02:34 1037824 F2317622D29F9FF0F88AEECD5F60F0DD c:\windows\ServicePackFiles\i386\explorer.exe

    [7] 2009-02-09 11:16 111104 62789101F9C2401ED598AA2CDE7450C0 c:\windows\$hf_mig$\KB956572\SP3QFE\services.exe
    [7] 2004-08-19 23:10 108544 63DCDE1A0D86EEB8924D6738FF616EAD c:\windows\$NtServicePackUninstall$\services.exe
    [7] 2008-04-14 02:34 109056 54CB50058851D95E56EC70D09F70857F c:\windows\$NtUninstallKB956572$\services.exe
    [7] 2008-04-14 02:34 109056 54CB50058851D95E56EC70D09F70857F c:\windows\ServicePackFiles\i386\services.exe
    [7] 2009-02-09 10:08 111104 9D6BF82FE50D55F20F8E10E0F6653886 c:\windows\SoftwareDistribution\Download\284fbcf1e8e0b40c0953d6b85a551eae\SP2GDR\services.exe
    [7] 2009-02-09 09:53 111104 51A24094F076961A7FF73E5F7E991D68 c:\windows\SoftwareDistribution\Download\284fbcf1e8e0b40c0953d6b85a551eae\SP2QFE\services.exe
    [7] 2009-02-09 11:23 111104 C3FB1D70CB88722267949694BA51759E c:\windows\SoftwareDistribution\Download\284fbcf1e8e0b40c0953d6b85a551eae\SP3GDR\services.exe
    [7] 2009-02-09 11:16 111104 62789101F9C2401ED598AA2CDE7450C0 c:\windows\SoftwareDistribution\Download\284fbcf1e8e0b40c0953d6b85a551eae\SP3QFE\services.exe
    [-] 2009-02-09 11:23 113152 C20DECCBE56FB7C1E9BD692B9E481B7E c:\windows\system32\services.exe

    [7] 2004-08-19 23:09 13312 259AF82A0932EEA4F316F92DB94707B6 c:\windows\$NtServicePackUninstall$\lsass.exe
    [7] 2008-04-14 02:34 13312 91E6024D6D4DCDECDB36C43ECF9BBECB c:\windows\ServicePackFiles\i386\lsass.exe
    [-] 2008-04-14 02:34 14848 FF1C377E6932C9B0F6DA15288EACE075 c:\windows\system32\lsass.exe
    .
    ((((((((((((((((((((((((((((( SnapShot@2009-05-12_15.50.52 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2006-05-08 16:33 . 2009-05-05 06:44 61346 c:\windows\system32\perfc009.dat
    + 2006-05-08 16:33 . 2009-05-13 08:50 61346 c:\windows\system32\perfc009.dat
    + 2006-05-24 23:21 . 2006-05-24 23:21 53248 c:\windows\Downloaded Program Files\ipsupd.dll
    + 2006-05-24 23:22 . 2006-05-24 23:22 53248 c:\windows\bdoscandel.exe
    + 2009-05-13 07:45 . 2009-05-13 07:45 86016 c:\windows\BDOSCAN8\librtvr.dll
    + 2006-05-24 23:21 . 2006-05-24 23:21 53248 c:\windows\BDOSCAN8\ipsupd.dll
    + 2009-05-13 07:45 . 2009-05-13 07:45 27136 c:\windows\BDOSCAN8\avxt.dll
    + 2009-05-13 07:45 . 2009-05-13 07:45 10240 c:\windows\BDOSCAN8\avxs.dll
    + 2009-05-13 07:45 . 2009-05-13 07:45 45056 c:\windows\BDOSCAN8\avxdisk.dll
    - 2006-05-08 16:33 . 2009-05-05 06:44 400414 c:\windows\system32\perfh009.dat
    + 2006-05-08 16:33 . 2009-05-13 08:50 400414 c:\windows\system32\perfh009.dat
    + 2006-05-24 23:21 . 2006-05-24 23:21 118784 c:\windows\Downloaded Program Files\bdupd.dll
    + 2004-12-07 15:07 . 2009-05-13 07:45 142848 c:\windows\BDOSCAN8\libfn.dll
    + 2006-05-24 23:21 . 2006-05-24 23:21 118784 c:\windows\BDOSCAN8\bdupd.dll
    + 2004-12-07 15:07 . 2009-05-13 07:45 102400 c:\windows\BDOSCAN8\bdcore.dll
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
    "SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "AdobeCS4ServiceManager"="c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
    "rgc31uj0ecc8"="c:\windows\system32\qgc51uj0ecc8.exe" [2009-05-12 80191]
    "dkcecry"="c:\windows\system32\dkcecry.exe" [2009-05-12 32768]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Auto Document Link.lnk - c:\program files\RDS\PLDlnk.exe [2008-10-20 544768]
    Function Palette.lnk - c:\program files\RDS\PLTBar.exe [2008-10-20 163840]
    SmartDeviceMonitor for Client.lnk - c:\program files\RDS\RMClient\PMClient.exe [2008-10-20 495616]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\beep.sys]
    @="beep"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
    @="Service"

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "\\\\Hp11339510072\\ANAELTT\\PROG\\TT\\ANAELTT.exe"=
    "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
    "c:\\Program Files\\RDS\\PLTBar.exe"=
    "c:\\Program Files\\FileMaker\\FileMaker Pro 9 Advanced\\FileMaker Pro Advanced.exe"=
    "c:\\Program Files\\FileMaker\\FileMaker Pro 9 Advanced\\Extensions\\Web Support\\FM Web Publishing.exe"=
    "c:\\Program Files\\Fichiers communs\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
    "c:\\Program Files\\eMule\\emule.exe"=
    "c:\\TYPSoft FTP Server\\ftpserv.exe"=
    "c:\\Program Files\\Adobe\\Adobe Dreamweaver CS4\\Dreamweaver.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\xampplite\\apache\\bin\\httpd.exe"=
    "c:\\WINDOWS\\system32\\dkcecry.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "50003:TCP"= 50003:TCP:FM
    "5353:TCP"= 5353:TCP:Adobe CSI CS4
    "12169:TCP"= 12169:TCP:NortonAV
    "18100:TCP"= 18100:TCP:NortonAV

    R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [12/05/2009 15:20 64160]
    S2 pdfcDispatcher;PDF Document Manager;c:\program files\PDF Complete\pdfsvc.exe [26/08/2008 18:16 576024]
    S3 PMObserv;PMObserv;c:\windows\system32\PMObserv.exe [20/10/2008 17:22 180224]
    S4 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [18/01/2009 23:34 953168]
    .
    Contenu du dossier 'Tâches planifiées'

    2009-05-12 c:\windows\Tasks\Ad-Aware Update (Weekly).job
    - c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 13:19]

    2009-05-07 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://french.ircfast.com/fr/index.php?rvs=hompag
    mStart Page = hxxp://french.ircfast.com/fr/index.php?rvs=hompag
    uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=74&bd=smb&pf=desktop
    uInternet Settings,ProxyOverride = *.local
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    TCP: {46DE5D06-D333-429F-9FCE-9F25D56C49DE} = 192.168.1.1
    DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
    FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\q6e2jed9.default\
    FF - prefs.js: browser.search.selectedEngine - YouGoo
    FF - prefs.js: browser.startup.homepage - hxxp://www.orange.fr/
    FF - prefs.js: keyword.URL - hxxp://french.ircfast.com/fr/index.php?rvs=hompag
    FF - plugin: c:\program files\Mozilla Firefox\plugins\npatgpc.dll
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-05-13 11:07
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pdfcDispatcher]
    "ImagePath"="c:\program files\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-3754797242-3388723837-2426328699-500\Software\Microsoft\SystemCertificates\AddressBook*]
    @Allowed: (Read) (RestrictedCode)

    @Allowed: (Read) (RestrictedCode)
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'explorer.exe'(860)
    c:\windows\system32\eappprxy.dll
    .
    Heure de fin: 2009-05-13 11:09
    ComboFix-quarantined-files.txt 2009-05-13 09:09
    ComboFix2.txt 2009-05-13 06:52
    ComboFix3.txt 2009-05-13 06:38
    ComboFix4.txt 2009-05-12 15:59
    ComboFix5.txt 2009-05-13 09:04

    Avant-CF: 231 039 782 912 octets libres
    Après-CF: 231 026 638 848 octets libres

    221 --- E O F --- 2009-05-05 16:01
    0
  12. matsay81
     
    Bonjour,
    Après avoir fait marché l'antivirus Antivir qui trouve pas mal de chose et qui sait réparé, j'ai les inscription en haut des fenêtres qui a disparu, tout a l'air de marché, la seule chose manquante était le fichier Spool pour l'imprimante que j'ai trouvé dans un autre répertoire de Windows et après un redémarrage magique ça remarche.
    Comment être sur qu'il n'y a plus rien sur ma machine d'infecté et que cela va pas revenir d'ici quelques jours.
    Merci

    Mathieu
    0
  13. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    refais tourner Combofix (toutes applications fermées et déconnecté d'Internet) et poste le nouveau rapport.
    0