[Virus] impossible d'écrire... virus

Résolu
antoine1812 -  
FillPCA Messages postés 2264 Statut Contributeur sécurité -
Bonjour,
je rencontre un problème je pense classique... j'ai été un peu imprudent.

Mon PC fixe est infecté par un virus qui m'empêche de taper le mot virus...
Impossible de scanner en ligne, de télcharger hijackthis ou quoi que ce soit.
J'écris ce message depuis mon portable, c'est le fixe qui est infecté.

(config XP Pro)

je ne sais pas quoi faire... merci d'avance pour l'aide

24 réponses

  • 1
  • 2
  1. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Bonjour,
    * Télécharge PCA (d'Evosla) : http://ww25.evosla.com/pca_cpt.php?agr=pca_securite
    * Dézippe-le dans un répertoire dédié comme c:\PCA au moyen d'un clic droit (Extraire...),
    * Clique sur l'onglet "diagnostic du PC" puis "analyser".
    * Laisse l'analyse se dérouler. Cela ne prend que quelques secondes.
    * Clique sur "enregistrer le rapport" en bas à droite et sauvegarde-le sur le bureau.
    * Edite le contenu de ce rapport dans ta prochaine réponse. Il se nomme PCA_LOG.txt

    FillPCA
    1
  2. antoine1812
     
    re-
    ouais, le rapport est tellement long que tout est pas passé dans la réponse (450 fichiers trouvés de mémoire)

    voici la fin

    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\cjrhtnee.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\cszbbkjb.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\hzenbhql.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\kenjxzsk.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\msinfo.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\qnkstrhn.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\selznkbn.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\sysComponentInfo.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\sysEvtLogInfo.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\sysHealthInfo.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\sysinfosum.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\sysRemoteInfo.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\sysServicesInfo.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\sysSoftwareInfo.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\tehbbexs.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\trvnbvzr.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\AboutWU.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\ecrvhvjh.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\ewznktww.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\hnshlbtv.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\hsxenjvk.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\Learn.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\LearnInternet.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\learnWU.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\necxlsbh.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\updatecenter.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Connection.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\estewkrn.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\OfflineDC.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\OfflineOptions.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\btlekkxb.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Common\btlekkxb.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Common\ConnIssue.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Common\LearnInternet.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Common\RCMoreInfo.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\confirm.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Common\btlekkxb.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Common\rcConnection.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Common\rcscreen1.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Common\rcscreen2.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Common\rcscreen3.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\btlekkxb.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\rcDetails.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\rcInviteStatus.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\rcscreen4.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\rcscreen5.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\rcscreen6.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\rcscreen6_head.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\rcscreen7.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\rcscreen8.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\rcscreen9.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\rcstatus.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\tlrrsvlj.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\zejthvxk.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\ServicePackFiles\i386\activ.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\ServicePackFiles\i386\activsvc.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\ServicePackFiles\i386\actlan.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\ServicePackFiles\i386\actshell.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\ServicePackFiles\i386\adeskerr.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\ServicePackFiles\i386\bkssenst.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\ServicePackFiles\i386\brnkzltb.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\ServicePackFiles\i386\ctjbrrsw.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\ServicePackFiles\i386\msobshel.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\ServicePackFiles\i386\neweula.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\ServicePackFiles\i386\rcvrjrrh.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\ServicePackFiles\i386\tqbknlnb.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\ServicePackFiles\i386\tsweb1.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\ServicePackFiles\i386\tznzcrkl.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\ServicePackFiles\i386\zejkxcwb.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\ServicePackFiles\i386\znbbsjsk.exe
    Virus:Generic Malware Disinfected C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\04O3Q4V7\84785_redworld[1].exe
    Virus:W32/Spybot.AIE.worm Disinfected C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\04O3Q4V7\84785_winhtb[2].exe
    Virus:W32/Spybot.AIE.worm Disinfected C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\04O3Q4V7\84785_winhtb[4].exe
    Virus:W32/Spybot.AIE.worm Disinfected C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\04O3Q4V7\84785_winhtb[5].exe
    Virus:Trj/Diazom.AU Disinfected C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\04O3Q4V7\edcv[1].jpg
    Virus:Trj/Diazom.AU Disinfected C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\04O3Q4V7\edcv[2].jpg
    Virus:W32/Spybot.AIE.worm Disinfected C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\3YNSY7MI\84785_winhtb[1].exe
    Virus:W32/Spybot.AIE.worm Disinfected C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\3YNSY7MI\84785_winhtb[2].exe
    Virus:W32/Spybot.AIE.worm Disinfected C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\3YNSY7MI\84785_winhtb[3].exe
    Virus:W32/Sdbot.KQD.worm Disinfected C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\3YNSY7MI\84785_winsrp[1].exe
    Virus:W32/Sdbot.KQD.worm Disinfected C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\3YNSY7MI\84785_winsrp[2].exe
    Virus:Generic Malware Disinfected C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OW73WBHC\84785_redworld[1].exe
    Virus:Generic Malware Disinfected C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OW73WBHC\84785_redworld[2].exe
    Virus:W32/Spybot.AIE.worm Disinfected C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OW73WBHC\84785_winhtb[1].exe
    Virus:W32/Spybot.AIE.worm Disinfected C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OW73WBHC\84785_winhtb[2].exe
    Virus:W32/Sdbot.KQD.worm Disinfected C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OW73WBHC\84785_winsrp[1].exe
    Virus:Trj/Diazom.AU Disinfected C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\OW73WBHC\edcv[1].jpg
    Virus:W32/Spybot.AIE.worm Disinfected C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\SW936MKX\84785_winhtb[1].exe
    Virus:W32/Sdbot.KQD.worm Disinfected C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\SW936MKX\84785_winsrp[1].exe
    Virus:W32/Sdbot.KQD.worm Disinfected C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\SW936MKX\84785_winsrp[2].exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\actsetup\actconn.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\actsetup\actdone.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\actsetup\activ.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\actsetup\activerr.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\actsetup\activsvc.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\actsetup\actlan.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\actsetup\adeskerr.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\actsetup\adrdyreg.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\actsetup\apolicy.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\actsetup\aprvcyms.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\actsetup\areg1.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\actsetup\aregdial.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\actsetup\aregdone.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\actsetup\ausrinfo.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\actsetup\blvccbsx.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\actsetup\brvecwcs.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\actsetup\btesnnel.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\actsetup\btqkxenz.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\actsetup\cwbbnetr.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\actsetup\hlrrerkq.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\actsetup\knkskthw.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\actsetup\lrlzztll.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\actsetup\nzzwhebn.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\actsetup\rkjenssc.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\actsetup\rrthsntk.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\actsetup\tchekrqt.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\actsetup\vrrkkhbn.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\actsetup\zvswnlev.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\actshell.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\dtsgnup.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\error\cnncterr.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\error\dialtone.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\error\ektltnch.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\error\erettxjr.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\error\hndshake.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\error\isp2busy.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\error\jkhehnjn.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\error\kbwnhlkk.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\error\lktkttrb.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\error\neehnzxl.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\error\noanswer.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\error\pberr.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\error\pulse.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\error\sswzlttc.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\error\toobusy.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\error\xenjnbqe.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\html\dslmain\dslmain.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\html\dslmain\dsl_a.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\html\dslmain\dsl_b.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\html\dslmain\nevttblh.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\html\dslmain\qxztllwj.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\html\dslmain\slhcezwb.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\html\iconnect\icntlast.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\html\iconnect\iconnect.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\html\iconnect\jsnsljzh.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\html\iconnect\shrtrsbs.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\html\isptype\isptype.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\html\isptype\lnvlnzbq.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\html\mouse\bccxejnc.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\html\mouse\bzrbbsrn.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\html\mouse\cjxsjlbr.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\html\mouse\hcvxrtwz.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\html\mouse\jjlhknhh.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\html\mouse\jlkshlvl.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\html\mouse\khkvhhsb.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\html\mouse\klkhkrts.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\html\mouse\lbzcxver.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\html\mouse\mouse.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\html\mouse\mouse_a.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\html\mouse\mouse_b.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\html\mouse\mouse_c.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\html\mouse\mouse_d.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\html\mouse\mouse_e.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\html\mouse\mouse_f.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\html\mouse\mouse_g.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\html\mouse\mouse_h.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\html\mouse\mouse_i.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\html\mouse\mouse_j.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\html\mouse\mouse_k.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\html\mouse\nrlcnzsh.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\html\mouse\qetvqlnw.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\html\mouse\rbnrnnxt.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\html\sconnect\jkhjlhbb.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\html\sconnect\scntlast.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\html\sconnect\sconnect.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\html\sconnect\vznnebet.exe
    1
  3. antoine1812
     
    Tout à l'air de bien se passer.
    J'installe antivir de ce pas.

    Est-il nécessaie de garder en plus avg antispyware ou y a-t-il double emploi ?

    Où est-ce que je clique pour marquer le sujet résolu ?

    Merci beaucoup pour toute ton aide en tout cas.

    antoine
    1
  4. antoine1812
     
    merci pour ta réponse. j'ai suivi tes instructions, voici le rapport :
    (au passage, plusieurs redémarrages car la barre des tâches se bloque complètement)

    # PCA Sécurité V 1.0.2, (fichier LOG).
    # Rapport du :20/08/2007 20:00:46
    Microsoft Windows XP Service Pack 1

    ==>> Processus <==
    \SystemRoot\System32\smss.exe
    \??\C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\dllcache\mlqm.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\WINDOWS\System32\ctfmon.exe
    C:\WINDOWS\System32\dllcache\qhotsew.exe
    C:\WINDOWS\System32\urdvxc.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\dllcache\winsony.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\cmd.exe
    C:\WINDOWS\System32\dllcache\winegne.exe
    c:\c.exe
    C:\pca\pca.exe
    C:\WINDOWS\TEMP\flx49729.exe

    //pages de démarrage et de recherche d'Internet Explorer
    RO - HKLM\Software\Microsoft\Internet Explorer\Main\Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
    RO - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    RO - HKCU\Software\Microsoft\Internet Explorer\Main\Start Page = https://www.google.fr/?gws_rd=ssl
    RO - HKCU\Software\Microsoft\Internet Explorer\Toolbar\LinksFolderName = Liens
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main\Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R1 - HKLM\Software\Microsoft\Internet Explorer\Search\CustomizeSearch = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchcust.htm
    R1 - HKLM\Software\Microsoft\Internet Explorer\Search\SearchAssistant = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm
    //applications lancées depuis system.ini,win.ini
    //03 - Browser Helper Objects (BHOs)
    02 - BHO: - {7E853D72-626A-48EC-A868-BA8D5E23E045} -
    O3 - Toolbar : &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    //04 - applications chargées automatiquement
    04 - HKLM\..\RUN: [NvCplDaemon] - RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    04 - HKLM\..\RUN: [nwiz] - nwiz.exe /install
    04 - HKLM\..\RUN: [NvMediaCenter] - RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    04 - HKLM\..\RUN: [WinampAgent] - "C:\Program Files\Winamp\Winampa.exe"
    04 - HKLM\..\RUN: [Internet] - C:\WINDOWS\System32\WinSecUp.exe
    04 - HKLM\..\RUN: [ICQ Agent] - C:\WINDOWS\System32\icq6.exe
    04 - HKLU\..\RUN: [CTFMON.EXE] - C:\WINDOWS\System32\ctfmon.exe
    04 - HKLM\..\RunServices: [Internet] - C:\WINDOWS\System32\ctfmon.exe
    04 - HKLU\..\RunServices: [Internet] - C:\WINDOWS\System32\ctfmon.exe
    04 - HKUS\S-1-5-18\..\RUN: [CTFMON.EXE] - RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    04 - HKUS\S-1-5-18\..\RUN: [ICQ Agent] - nwiz.exe /install
    04 - HKUS\S-1-5-19\..\RUN: [CTFMON.EXE] - RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    04 - HKUS\S-1-5-20\..\RUN: [CTFMON.EXE] - RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    04 - HKUS\S-1-5-21-2000478354-1993962763-839522115-1003\..\RUN: [CTFMON.EXE] - RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    //05 - Accès au panneau de contrôle d'Internet Explorer (control.ini)
    //06- interdiction à l' accès au options (Internet Explorer)
    //07 - blocage de l'exécution de Regedit
    //08 - lignes supplémentaires dans le menu contextuel d'Internet Explorer
    //09 - boutons situés sur la barre d'outils principale d'Internet Explorer
    //O10 - Pirates de Winsock
    //O11 - Onglet supplémentaire dans les options avancées d'Internet Explorer)
    //O12 - IE plugins
    //013 : DefaultPrefix
    //014 - Option : (Rétablir les paramètres Web)
    //015 - Zone de confiance d'Internet Explorer
    //O16 - Objets ActiveX
    O16 - DPF : WUWebControl Class - {6414512B-B978-451D-A0D8-FCFDF33E833C} - C:\WINDOWS\System32\wuweb.dll
    O16 - DPF : Shockwave Flash Object - {D27CDB6E-AE6D-11CF-96B8-444553540000} - C:\WINDOWS\System32\Macromed\Flash\Flash9d.ocx
    //O17 - piratage de domaine Lop.com
    //O18 - protocoles additionnels
    O18 - Protocol: lid - {5C135180-9973-46D9-ABF4-148267CBB8BF} - C:\WINDOWS\System32\msvidctl.dll
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} -
    O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\System32\itss.dll
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\System32\msdxm.ocx
    //O19 - feuille de style de l'utilisateur
    //O20 - valeur de Registre AppInit_DLLs et les sous-clés Winlogon Notify
    //O21 - ShellServiceObjectDelayLoad
    O21 - SSODL: Objet PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} -
    O21 - SSODL: Dossier du Bureau pour l'écriture de CD - {fbeb8a05-beee-4442-804e-409d6c4515e9} -
    O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} -
    O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll
    //O22 - SharedTaskScheduler
    O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\System32\browseui.dll
    O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\System32\browseui.dll
    //O23 - services de XP,NT, 2000, et 2003
    O23 - Service: [Service de la passerelle de la couche Application] - %SystemRoot%\System32\alg.exe
    O23 - Service: [Gestionnaire de l'Album] - %SystemRoot%\system32\clipsrv.exe
    O23 - Service: [Application système COM+] - C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
    O23 - Service: [EnGenius Network Analysis Tool] - "C:\WINDOWS\System32\dllcache\winegne.exe"
    O23 - Service: [Service COM de gravage de CD IMAPI] -
    O23 - Service: [Logitech QuickCam Manager] - "C:\WINDOWS\System32\dllcache\mlqm.exe"
    O23 - Service: [M1crosoft Agant] - "C:\WINDOWS\System32\dllcache\qhotsew.exe"
    O23 - Service: [Partage de Bureau à distance NetMeeting] - C:\WINDOWS\System32\mnmsrvc.exe
    O23 - Service: [Distributed Transaction Coordinator] - C:\WINDOWS\System32\msdtc.exe
    O23 - Service: [Network Windows Service] - "C:\WINDOWS\System32\urdvxc.exe" /service
    O23 - Service: [NVIDIA Display Driver Service] - %SystemRoot%\System32\nvsvc32.exe
    O23 - Service: [Gestionnaire de session d'aide sur le Bureau à distance] - C:\WINDOWS\system32\sessmgr.exe
    O23 - Service: [Localisateur d'appels de procédure distante (RPC)] - %SystemRoot%\System32\locator.exe
    O23 - Service: [QoS RSVP] - %SystemRoot%\System32\rsvp.exe
    O23 - Service: [Sony Network Analysis Tool] - "C:\WINDOWS\System32\dllcache\winsony.exe"
    O23 - Service: [Spouleur d'impression] - %SystemRoot%\system32\spoolsv.exe
    O23 - Service: [MS Software Shadow Copy Provider] - C:\WINDOWS\System32\dllhost.exe /Processid:{D60B0C1A-4B98-492F-A2D9-2D0AD78323A7}
    O23 - Service: [Journaux et alertes de performance] - %SystemRoot%\system32\smlogsvc.exe
    O23 - Service: [Telnet] - C:\WINDOWS\System32\tlntsvr.exe
    O23 - Service: [Onduleur] - %SystemRoot%\System32\ups.exe
    O23 - Service: [Service Messenger Sharing Folders USN Journal Reader] - C:\Program Files\MSN Messenger\usnsvc.exe
    O23 - Service: [Cliché instantané de volume] - %SystemRoot%\System32\vssvc.exe
    O23 - Service: [Carte de performance WMI] - C:\WINDOWS\System32\wbem\wmiapsrv.exe
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Re,
    1/
    * Télécharge combofix.exe (par sUBs) sur ton Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    * Double clique combofix.exe et suis les invites.
    * Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    2/ # Télécharge SDFix (créé par Andy Manchesta) et sauvegarde le sur ton Bureau : http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
    # Imprime ceci.
    # Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

    * Redémarre ton ordinateur.
    * Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (ou F5).
    * A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    * Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    * Choisis ton compte.

    # Déroule la liste des instructions ci-dessous :

    * En mode sans échec, double-clique sur le fichier SDFix.exe et clique sur install,
    * Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
    * Appuie sur Y pour commencer le script.
    * Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du Registre et il te demandera d'appuyer sur une touche pour redémarrer.
    * Appuie sur une touche pour redémarrer le PC.
    * Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    * Après le chargement du Bureau, l'outil terminera son travail et affichera Finished
    * Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    * Enfin, ouvre le dossier de SDFix sur ton Bureau et copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

    3/ Edite les deux rapport précédents et essaie d'éditer un rapport Hijackthis. Si ça ne marche pas, édite un nouveau rapport PCA.

    Fill
    0
  7. antoine1812
     
    re-
    j'ai suivi les instructions.
    Ci-dessous les 3 rapports. Toujours pas moyen de dwnld hijackthis donc j'ai mis PCA

    ComboFix 07-08-17.2 - "Antoine" 2007-08-20 20:25:32.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.114 [GMT 2:00]

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

    C:\c.exe
    C:\WINDOWS\system32\.exe
    C:\WINDOWS\system32\a.exe

    ((((((((((((((((((((((((( Files Created from 2007-07-20 to 2007-08-20 )))))))))))))))))))))))))))))))

    2007-08-20 20:25 51,200 --a------ C:\WINDOWS\nircmd.exe
    2007-08-20 20:18 490 --a------ C:\1.vbs
    2007-08-20 20:00 129,536 --a------ C:\WINDOWS\system32\icq6.exe
    2007-08-20 20:00 107,008 --a------ C:\WINDOWS\system32\iea.dll
    2007-08-20 20:00 <REP> dr------- C:\DOCUME~1\LOCALS~1\Favoris
    2007-08-20 20:00 <REP> d-------- C:\pca
    2007-08-20 18:00 57,856 --ahs---- C:\WINDOWS\system32\urdvxc.exe
    2007-08-20 17:37 <REP> d-------- C:\Program Files\Alwil Software
    2007-08-19 22:04 <REP> d-------- C:\DOCUME~1\Antoine\APPLIC~1\Media Player Classic
    2007-08-19 22:03 765,952 --a------ C:\WINDOWS\system32\xvidcore.dll
    2007-08-19 22:03 740,442 --a------ C:\WINDOWS\system32\divx.dll
    2007-08-19 22:03 73,728 --a------ C:\WINDOWS\system32\dpl100.dll
    2007-08-19 22:03 7,680 --a------ C:\WINDOWS\system32\ff_vfw.dll
    2007-08-19 22:03 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
    2007-08-19 22:03 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
    2007-08-19 22:03 217,088 --a------ C:\WINDOWS\system32\yv12vfw.dll
    2007-08-19 22:03 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll
    2007-08-19 22:03 163,840 --a------ C:\WINDOWS\system32\unrar.dll
    2007-08-19 22:03 <REP> d-------- C:\Program Files\K-Lite Codec Pack
    2007-08-19 21:39 <REP> d-------- C:\DOCUME~1\Antoine\APPLIC~1\vlc
    2007-08-19 21:27 48,640 --a------ C:\WINDOWS\system32\INETWH32.DLL
    2007-08-19 21:27 317,952 --a------ C:\WINDOWS\system32\Roboex32.dll
    2007-08-19 21:27 1,712,128 --a------ C:\WINDOWS\system32\gdiplus.dll
    2007-08-19 21:27 <REP> d-------- C:\Program Files\Qualcomm
    2007-08-19 21:23 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
    2007-08-19 21:23 <REP> d-------- C:\DOCUME~1\Antoine\Contacts
    2007-08-19 21:15 <REP> d-------- C:\Program Files\MSN Messenger
    2007-08-19 21:13 <REP> d--hs---- C:\RECYCLER
    2007-08-19 21:09 <REP> d-------- C:\Program Files\Winamp
    2007-08-19 21:08 <REP> d-------- C:\Program Files\VideoLAN
    2007-08-19 20:57 <REP> d-------- C:\WINDOWS\Prefetch
    2007-08-19 20:43 115,712 --a------ C:\WINDOWS\system32\dpcdll.dll
    2007-08-19 20:41 921,475 --------- C:\WINDOWS\system32\ati3d2ag.dll
    2007-08-19 20:41 89,088 --a------ C:\WINDOWS\system32\mqsec.dll
    2007-08-19 20:41 844,675 --------- C:\WINDOWS\system32\ati3d1ag.dll
    2007-08-19 20:41 75,776 --a------ C:\WINDOWS\system32\tlntsess.exe
    2007-08-19 20:41 70,144 --a------ C:\WINDOWS\system32\fdeploy.dll
    2007-08-19 20:41 7,168 --a------ C:\WINDOWS\system32\tlntsvrp.dll
    2007-08-19 20:41 69,632 --a------ C:\WINDOWS\system32\tlntsvr.exe
    2007-08-19 20:41 67,200 --a------ C:\WINDOWS\system32\drivers\mqac.sys
    2007-08-19 20:41 63,663 --------- C:\WINDOWS\system32\drivers\atinrvxx.sys
    2007-08-19 20:41 613,888 --a------ C:\WINDOWS\system32\mqqm.dll
    2007-08-19 20:41 6,912 --------- C:\WINDOWS\system32\drivers\hidir.sys
    2007-08-19 20:41 59,904 --a------ C:\WINDOWS\system32\tlntadmn.exe
    2007-08-19 20:41 57,344 --a------ C:\WINDOWS\system32\nwwks.dll
    2007-08-19 20:41 563,200 --a------ C:\WINDOWS\system32\wsecedit.dll
    2007-08-19 20:41 56,591 --------- C:\WINDOWS\system32\drivers\atinbtxx.sys
    2007-08-19 20:41 525,312 --a------ C:\WINDOWS\system32\mqutil.dll
    2007-08-19 20:41 5,120 --------- C:\WINDOWS\system32\hccoin.dll
    2007-08-19 20:41 478,720 --a------ C:\WINDOWS\system32\mqsnap.dll
    2007-08-19 20:41 450,432 --------- C:\WINDOWS\system32\drivers\ati2mtag.sys
    2007-08-19 20:41 403,456 --------- C:\WINDOWS\system32\winbrand.dll
    2007-08-19 20:41 377,984 --------- C:\WINDOWS\system32\ati2dvaa.dll
    2007-08-19 20:41 36,463 --------- C:\WINDOWS\system32\drivers\atintuxx.sys
    2007-08-19 20:41 34,735 --------- C:\WINDOWS\system32\drivers\atinxsxx.sys
    2007-08-19 20:41 327,168 --------- C:\WINDOWS\system32\drivers\ati2mtaa.sys
    2007-08-19 20:41 30,671 --------- C:\WINDOWS\system32\drivers\atinraxx.sys
    2007-08-19 20:41 3,584 --------- C:\WINDOWS\system32\dsprpres.dll
    2007-08-19 20:41 29,696 --------- C:\WINDOWS\system32\asr_pfu.exe
    2007-08-19 20:41 29,455 --------- C:\WINDOWS\system32\drivers\atinxbxx.sys
    2007-08-19 20:41 284,160 --a------ C:\WINDOWS\system32\appmgr.dll
    2007-08-19 20:41 26,367 --------- C:\WINDOWS\system32\drivers\atinsnxx.sys
    2007-08-19 20:41 232,448 --a------ C:\WINDOWS\system32\tracerpt.exe
    2007-08-19 20:41 218,112 --------- C:\WINDOWS\system32\sbe.dll
    2007-08-19 20:41 21,343 --------- C:\WINDOWS\system32\drivers\atinttxx.sys
    2007-08-19 20:41 202,496 --------- C:\WINDOWS\system32\ati2dvag.dll
    2007-08-19 20:41 198,144 --------- C:\WINDOWS\system32\xpsp1res.dll
    2007-08-19 20:41 19,328 --------- C:\WINDOWS\system32\drivers\usbehci.sys
    2007-08-19 20:41 185,856 --a------ C:\WINDOWS\system32\gptext.dll
    2007-08-19 20:41 18,944 --------- C:\WINDOWS\system32\faxpatch.exe
    2007-08-19 20:41 172,032 --------- C:\WINDOWS\system32\mssap.dll
    2007-08-19 20:41 17,792 --------- C:\WINDOWS\system32\drivers\irbus.sys
    2007-08-19 20:41 165,376 --a------ C:\WINDOWS\system32\appmgmts.dll
    2007-08-19 20:41 164,864 --a------ C:\WINDOWS\system32\mqrt.dll
    2007-08-19 20:41 164,352 --a------ C:\WINDOWS\system32\mqtrig.dll
    2007-08-19 20:41 156,544 --a------ C:\WINDOWS\system32\drivers\nwrdr.sys
    2007-08-19 20:41 155,648 --------- C:\WINDOWS\system32\encdec.dll
    2007-08-19 20:41 14,848 --a------ C:\WINDOWS\system32\mqise.dll
    2007-08-19 20:41 130,048 --a------ C:\WINDOWS\system32\mqad.dll
    2007-08-19 20:41 13,056 --------- C:\WINDOWS\system32\drivers\wacompen.sys
    2007-08-19 20:41 122,368 --a------ C:\WINDOWS\system32\schtasks.exe
    2007-08-19 20:41 12,288 --------- C:\WINDOWS\system32\encapi.dll
    2007-08-19 20:41 12,047 --------- C:\WINDOWS\system32\drivers\atinpdxx.sys
    2007-08-19 20:41 116,736 --a------ C:\WINDOWS\system32\gpresult.exe
    2007-08-19 20:41 110,080 --------- C:\WINDOWS\system32\sbeio.dll
    2007-08-19 20:41 11,904 --------- C:\WINDOWS\system32\drivers\mutohpen.sys
    2007-08-19 20:41 11,615 --------- C:\WINDOWS\system32\drivers\atinmdxx.sys
    2007-08-19 20:41 103,936 --a------ C:\WINDOWS\system32\rsnotify.exe
    2007-08-19 20:41 10,752 --------- C:\WINDOWS\system32\spiisupd.exe
    2007-08-19 20:41 1,677,312 --------- C:\WINDOWS\system32\wmvcore2.dll
    2007-08-19 20:41 <REP> d-------- C:\WINDOWS\ServicePackFiles
    2007-08-19 20:41 <REP> d-------- C:\WINDOWS\ehome
    2007-08-19 20:40 95,744 --a------ C:\WINDOWS\system32\nlhtml.dll
    2007-08-19 20:40 94,720 --a------ C:\WINDOWS\system32\dmusic.dll
    2007-08-19 20:40 94,208 --a------ C:\WINDOWS\system32\odbccp32.dll
    2007-08-19 20:40 91,648 --a------ C:\WINDOWS\system32\iuctl.dll
    2007-08-19 20:40 91,648 --a------ C:\WINDOWS\system32\ahui.exe
    2007-08-19 20:40 9,728 --a------ C:\WINDOWS\system32\mstinit.exe
    2007-08-19 20:40 9,216 --a------ C:\WINDOWS\system32\icaapi.dll
    2007-08-19 20:40 9,216 --a------ C:\WINDOWS\system32\dumprep.exe

    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

    2007-08-20 18:02 57856 --a------ C:\WINDOWS\web\wcxnjhhj.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\zejthvxk.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\tlrrsvlj.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\btlekkxb.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Common\btlekkxb.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Common\btlekkxb.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\btlekkxb.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\estewkrn.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\UpdateCtr\necxlsbh.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\UpdateCtr\hsxenjvk.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\UpdateCtr\hnshlbtv.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\UpdateCtr\ewznktww.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\UpdateCtr\ecrvhvjh.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\sysinfo\trvnbvzr.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\sysinfo\tehbbexs.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\sysinfo\selznkbn.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\sysinfo\qnkstrhn.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\sysinfo\kenjxzsk.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\sysinfo\hzenbhql.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\sysinfo\cszbbkjb.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\sysinfo\cjrhtnee.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\Remote Assistance\sljktqsl.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\Remote Assistance\lenvstcw.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\Remote Assistance\lbncltew.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\Remote Assistance\Interaction\Server\vhzlshll.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\Remote Assistance\Interaction\Server\heclkcje.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\Remote Assistance\Interaction\Server\ejjtwclz.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\Remote Assistance\Interaction\Server\brbjhjhb.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\Remote Assistance\Interaction\Server\bbcrvske.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\Remote Assistance\Interaction\Common\xxrlrrck.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\Remote Assistance\Interaction\Common\slkweqkr.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\Remote Assistance\Interaction\Common\jjtkbtsb.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\Remote Assistance\Interaction\Client\rlkctexe.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\Remote Assistance\Interaction\Client\resrzjkr.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\Remote Assistance\Interaction\Client\kcqrjjel.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\Remote Assistance\Interaction\Client\jllrjejn.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\Remote Assistance\Interaction\Client\hlnbkbjt.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\Remote Assistance\Interaction\Client\cqlwbrtn.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\Remote Assistance\Common\vtxbneqq.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\Remote Assistance\Common\jzrjzkke.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\Remote Assistance\Common\jqnsbclx.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\rc\rjzhtwer.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\panels\zeektjlr.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\panels\tjsnlncx.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\NetDiag\stleqtrb.exe
    2007-08-20 18:02 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\NetDiag\bnkrcrqq.exe
    2007-08-20 18:01 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\errors\xnejeese.exe
    2007-08-20 18:01 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\ErrMsg\nvsbqtlx.exe
    2007-08-20 18:01 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\DVDUpgrd\kvzexhbs.exe
    2007-08-20 18:01 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\DFS\zwjcbxql.exe
    2007-08-20 18:01 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\DFS\jlskvkjt.exe
    2007-08-20 18:01 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\DFS\hhktjkel.exe
    2007-08-20 18:01 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\CompatCtr\tcjqbtst.exe
    2007-08-20 18:01 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\CompatCtr\nrbhslcz.exe
    2007-08-20 18:01 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\CompatCtr\eqlrejrl.exe
    2007-08-20 18:01 57856 --a------ C:\WINDOWS\pchealth\HELPCTR\System\CompatCtr\brvhkxjh.exe
    2007-08-20 18:01 57856 --a------ C:\WINDOWS\help\tsbjbtvn.exe
    2007-08-20 18:01 57856 --a------ C:\WINDOWS\help\Tours\WindowsMediaPlayer\Cnt\tjnbzhbh.exe
    2007-08-20 18:01 57856 --a------ C:\WINDOWS\help\Tours\WindowsMediaPlayer\Audio\lllknblj.exe
    2007-08-20 18:01 57856 --a------ C:\WINDOWS\help\jjlenkbt.exe
    2007-08-20 18:01 57856 --a------ C:\WINDOWS\help\jbnshhqj.exe
    2007-08-20 18:01 57856 --a------ C:\WINDOWS\help\hwexrtne.exe
    2007-08-20 18:01 57856 --a------ C:\WINDOWS\help\bzehxvnz.exe
    2007-08-19 20:43 2410 --a------ C:\WINDOWS\pchealth\HELPCTR\PackageStore\SkuStore.bin
    2007-08-19 16:39 8738 --a------ C:\WINDOWS\pchealth\HELPCTR\Config\Cntstore.bin

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

    *Note* empty entries & legit default entries are not shown

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B08D32DE-64B2-4137-8345-87293E70D40B}]
    2007-08-20 20:00 107008 --a------ C:\WINDOWS\System32\iea.dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-04-01 16:16]
    "nwiz"="nwiz.exe" [2005-04-01 16:16 C:\WINDOWS\system32\nwiz.exe]
    "NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2005-04-01 16:16]
    "WinampAgent"="C:\Program Files\Winamp\Winampa.exe" []
    "ICQ Agent"="C:\WINDOWS\System32\icq6.exe" [2007-08-20 20:00]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 11:45]
    "ICQ Agent"="C:\WINDOWS\System32\icq6.exe" [2007-08-20 20:00]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
    "Internet"=C:\WINDOWS\System32\WinSecUp.exe

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
    "ICQ Agent"=C:\WINDOWS\System32\icq6.exe

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    "{EDB0E980-90BD-11D4-8599-0008C7D3B6F8}"= C:\Program Files\Qualcomm\Eudora\EuShlExt.dll [2002-09-30 18:36 86016]

    R1 VIAPFD;VIAPFD;C:\WINDOWS\System32\Drivers\VIAPFD.SYS
    R2 EnGenius Network Analysis Tool;EnGenius Network Analysis Tool;"C:\WINDOWS\System32\dllcache\winegne.exe"
    R2 Logitech QuickCam Manager;Logitech QuickCam Manager;"C:\WINDOWS\System32\dllcache\mlqm.exe"
    R2 M1crosoft Agant;M1crosoft Agant;"C:\WINDOWS\System32\dllcache\qhotsew.exe"
    R2 MSWindows;Network Windows Service;"C:\WINDOWS\System32\urdvxc.exe" /service
    R2 Sony Network Analysis Tool;Sony Network Analysis Tool;"C:\WINDOWS\System32\dllcache\winsony.exe"
    R3 WFsys;WinFox Control I/O Driver;C:\WINDOWS\System32\DRIVERS\wfsys.sys
    S3 AN983;Carte Fast Ethernet 10/100 Mbps ADMtek AN983/AN985/ADM951X;C:\WINDOWS\System32\DRIVERS\AN983.sys

    **************************************************************************

    catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-08-20 20:25:58
    Windows 5.1.2600 Service Pack 1 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    ICQ Agent = C:\WINDOWS\System32\icq6.exe??S?y?s?t?e?m?3?2?\?M?S?C?T?F?.?d?l?@????#$??#$??????????E?w?????#$??E?w????H"$?????!???p????????D?w??????????????????????????????$?????????x???????????x???x????????????????P?w????????C?:?\?W?I?N?D?O?W?S?\?S?y?s?t?e?m?3?2?\?i?c?q?6
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    ICQ Agent = C:\WINDOWS\System32\icq6.exe??S?y?s?t?e?m?3?2?\?M?S?C?T?F?.?d?l?@????#$??#$??????????E?w?????#$??E?w????H"$?????!???p????????D?w??????????????????????????????$?????????x???????????x???x????????????????P?w????????C?:?\?W?I?N?D?O?W?S?\?S?y?s?t?e?m?3?2?\?i?c?q?6

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************

    Completion time: 2007-08-20 20:26:28
    C:\ComboFix-quarantined-files.txt ... 2007-08-20 20:26

    --- E O F ---

    SDFix: Version 1.99

    Run by Antoine on 20/08/2007 at 20:29

    Microsoft Windows XP [version 5.1.2600]

    Running From: C:\SDFix

    Safe Mode:
    Checking Services:

    Name:
    EnGenius Network Analysis Tool
    M1crosoft Agant
    MSWindows
    Sony Network Analysis Tool

    ImagePath:
    "C:\WINDOWS\System32\dllcache\winegne.exe"
    "C:\WINDOWS\System32\dllcache\qhotsew.exe"
    "C:\WINDOWS\System32\urdvxc.exe" /service
    "C:\WINDOWS\System32\dllcache\winsony.exe"

    EnGenius Network Analysis Tool - Deleted
    M1crosoft Agant - Deleted
    MSWindows - Deleted
    Sony Network Analysis Tool - Deleted

    Restoring Windows Registry Values
    Restoring Windows Default Hosts File

    Rebooting...

    Normal Mode:
    Checking Files:

    Trojan Files Found:

    C:\WINDOWS\system32\dllcache\qhotsew.exe - Deleted
    C:\WINDOWS\system32\dllcache\winegne.exe - Deleted
    C:\WINDOWS\system32\dllcache\winsony.exe - Deleted
    C:\WINDOWS\system32\icq6.exe - Deleted
    C:\WINDOWS\system32\urdvxc.exe - Deleted

    Removing Temp Files...

    ADS Check:

    C:\WINDOWS
    No streams found.

    C:\WINDOWS\system32
    No streams found.

    C:\WINDOWS\system32\svchost.exe
    No streams found.

    C:\WINDOWS\system32\ntoskrnl.exe
    No streams found.

    Final Check:

    Remaining Services:
    ------------------

    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "C:\\WINDOWS\\System32\\dllcache\\mlqm.exe"="C:\\WINDOWS\\System32\\dllcache\\mlqm.exe:*:Enabled:Logitech QuickCam Manager"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

    Remaining Files:
    ---------------

    File Backups: - C:\SDFix\backups\backups.zip
    Registry Backups: - C:\SDFix\backups\backupreg.zip
    Full Registry Backup: - C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE

    Files with Hidden Attributes:

    C:\WINDOWS\system32\gyaqpsgo.exe
    C:\WINDOWS\system32\dllcache\mlqm.exe

    Finished

    # PCA Sécurité V 1.0.2, (fichier LOG).
    # Rapport du :20/08/2007 20:34:09
    Microsoft Windows XP Service Pack 1

    ==>> Processus <==
    \SystemRoot\System32\smss.exe
    \??\C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\dllcache\mlqm.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\WINDOWS\System32\ctfmon.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\pca\pca.exe
    C:\WINDOWS\SoftwareDistribution\Download\Install\WindowsXP-KB329441-x86-FRA.exe
    d:\325eabc516e94811b36445\xpsp1hfm.exe
    d:\325eabc516e94811b36445\sp2\update\update.exe

    //pages de démarrage et de recherche d'Internet Explorer
    RO - HKLM\Software\Microsoft\Internet Explorer\Main\Start Page = about:blank
    RO - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    RO - HKCU\Software\Microsoft\Internet Explorer\Main\Start Page = https://www.google.fr/?gws_rd=ssl
    RO - HKCU\Software\Microsoft\Internet Explorer\Toolbar\LinksFolderName = Liens
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main\Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R1 - HKLM\Software\Microsoft\Internet Explorer\Search\CustomizeSearch = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchcust.htm
    R1 - HKLM\Software\Microsoft\Internet Explorer\Search\SearchAssistant = https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm
    //applications lancées depuis system.ini,win.ini
    //03 - Browser Helper Objects (BHOs)
    02 - BHO: - {7E853D72-626A-48EC-A868-BA8D5E23E045} -
    02 - BHO: Assistant Class - {B08D32DE-64B2-4137-8345-87293E70D40B} - C:\WINDOWS\System32\iea.dll
    O3 - Toolbar : &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    //04 - applications chargées automatiquement
    04 - HKLM\..\RUN: [NvCplDaemon] - RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    04 - HKLM\..\RUN: [nwiz] - nwiz.exe /install
    04 - HKLM\..\RUN: [NvMediaCenter] - RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    04 - HKLM\..\RUN: [WinampAgent] - "C:\Program Files\Winamp\Winampa.exe"
    04 - HKLU\..\RUN: [CTFMON.EXE] - C:\WINDOWS\System32\ctfmon.exe
    04 - HKUS\S-1-5-18\..\RUN: [CTFMON.EXE] - RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    04 - HKUS\S-1-5-18\..\RUN: [ICQ Agent] - nwiz.exe /install
    04 - HKUS\S-1-5-19\..\RUN: [CTFMON.EXE] - RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    04 - HKUS\S-1-5-20\..\RUN: [CTFMON.EXE] - RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    04 - HKUS\S-1-5-21-2000478354-1993962763-839522115-1003\..\RUN: [CTFMON.EXE] - RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    //05 - Accès au panneau de contrôle d'Internet Explorer (control.ini)
    //06- interdiction à l' accès au options (Internet Explorer)
    //07 - blocage de l'exécution de Regedit
    //08 - lignes supplémentaires dans le menu contextuel d'Internet Explorer
    //09 - boutons situés sur la barre d'outils principale d'Internet Explorer
    //O10 - Pirates de Winsock
    //O11 - Onglet supplémentaire dans les options avancées d'Internet Explorer)
    //O12 - IE plugins
    //013 : DefaultPrefix
    //014 - Option : (Rétablir les paramètres Web)
    //015 - Zone de confiance d'Internet Explorer
    //O16 - Objets ActiveX
    O16 - DPF : WUWebControl Class - {6414512B-B978-451D-A0D8-FCFDF33E833C} - C:\WINDOWS\System32\wuweb.dll
    O16 - DPF : Shockwave Flash Object - {D27CDB6E-AE6D-11CF-96B8-444553540000} - C:\WINDOWS\System32\Macromed\Flash\Flash9d.ocx
    //O17 - piratage de domaine Lop.com
    //O18 - protocoles additionnels
    O18 - Protocol: lid - {5C135180-9973-46D9-ABF4-148267CBB8BF} - C:\WINDOWS\System32\msvidctl.dll
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} -
    O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\System32\itss.dll
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\System32\msdxm.ocx
    //O19 - feuille de style de l'utilisateur
    //O20 - valeur de Registre AppInit_DLLs et les sous-clés Winlogon Notify
    //O21 - ShellServiceObjectDelayLoad
    O21 - SSODL: Objet PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} -
    O21 - SSODL: Dossier du Bureau pour l'écriture de CD - {fbeb8a05-beee-4442-804e-409d6c4515e9} -
    O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} -
    O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll
    //O22 - SharedTaskScheduler
    O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\System32\browseui.dll
    O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\System32\browseui.dll
    //O23 - services de XP,NT, 2000, et 2003
    O23 - Service: [Service de la passerelle de la couche Application] - %SystemRoot%\System32\alg.exe
    O23 - Service: [Gestionnaire de l'Album] - %SystemRoot%\system32\clipsrv.exe
    O23 - Service: [Application système COM+] - C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
    O23 - Service: [Service COM de gravage de CD IMAPI] -
    O23 - Service: [Logitech QuickCam Manager] - "C:\WINDOWS\System32\dllcache\mlqm.exe"
    O23 - Service: [Partage de Bureau à distance NetMeeting] - C:\WINDOWS\System32\mnmsrvc.exe
    O23 - Service: [Distributed Transaction Coordinator] - C:\WINDOWS\System32\msdtc.exe
    O23 - Service: [NVIDIA Display Driver Service] - %SystemRoot%\System32\nvsvc32.exe
    O23 - Service: [Gestionnaire de session d'aide sur le Bureau à distance] - C:\WINDOWS\system32\sessmgr.exe
    O23 - Service: [Localisateur d'appels de procédure distante (RPC)] - %SystemRoot%\System32\locator.exe
    O23 - Service: [QoS RSVP] - %SystemRoot%\System32\rsvp.exe
    O23 - Service: [Spouleur d'impression] - %SystemRoot%\system32\spoolsv.exe
    O23 - Service: [MS Software Shadow Copy Provider] - C:\WINDOWS\System32\dllhost.exe /Processid:{D60B0C1A-4B98-492F-A2D9-2D0AD78323A7}
    O23 - Service: [Journaux et alertes de performance] - %SystemRoot%\system32\smlogsvc.exe
    O23 - Service: [Telnet] - C:\WINDOWS\System32\tlntsvr.exe
    O23 - Service: [Uninterruptible Power Supply] - %SystemRoot%\System32\ups.exe
    O23 - Service: [Service Messenger Sharing Folders USN Journal Reader] - C:\Program Files\MSN Messenger\usnsvc.exe
    O23 - Service: [Cliché instantané de volume] - %SystemRoot%\System32\vssvc.exe
    O23 - Service: [Carte de performance WMI] - C:\WINDOWS\System32\wbem\wmiapsrv.exe
    0
  8. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Re,

    Je pense que c'est du lourd.

    J'examine ces rapports. Je voudrais aussi vérifer quelquechose.

    Pourrais-tu faire ceci en attendant :
    1/ Télécharge fix gromozon : http://info.prevx.com/gromozon.asp
    Exécute-le et édite le rapport généré.

    2/ * Télécharge SREng (de Smallfrogs) : http://www.kztechs.com/eng/download.html
    * Dézippe tout son contenu sur ton bureau (clic droit >Extraire ici).
    * Ouvre le dossier SReng2 et double-clique sur SREng.exe.
    * Clique sur "smart scan".
    * Clique sur le bouton "scan".
    * Quand l'analyse est terminée, clique sur le bouton "save reports".
    * Sauvegarde alors le rapport sur ton bureau.
    * Copie/colle le contenu du rapport SREnglLOG.log dans ta prochaine réponse.

    3/ * Télécharge DiagHelp.zip sur ton bureau(Merci Malekal) :
    http://www.malekal.com/download/DiagHelp.zip
    Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php
    * Ne double-clique pas dessus !! Fais un clic droit sur le fichier et extraire tout.
    * Un nouveau dossier chercher va être créé.
    * Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
    * Une fenêtre va s'ouvrir, choisis l'option 1
    * L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
    * A la fin de l'analyse, le programme de dmeande de redémarrer ton PC. Fais-le.
    * Une fenêtre avec le rapport s'ouvre alors. Copie/colle son contenu. (Il se trouve aussi ici : c:\resultat.txt)
    * Double-clique sur ce fichier, Fais CTRL+A puis CTRL+C.
    * Dans ta prochaine réponse, colle le rapport en faisant CTRL+V.

    FillPCA
    0
  9. antoine1812
     
    re
    non sans quelques difficultés, voici la suite
    (pas de redémarrage demandé par DiagHelp)

    Removal tool loaded into memory
    Gromozon rootkit component not detected - searching for other components
    Scanning: C:\WINDOWS
    Scanning: C:\Program Files\Fichiers communs

    Trojan.Gromozon does not exist - your system is clean.

    [CODE]

    2007-08-20,21:07:50

    System Repair Engineer 2.5.16.900
    Smallfrogs (http://www.KZTechs.com)

    Windows XP Professional Service Pack 1 (Build 2600) - Administrative User - Completed Functions Allowed

    Follow item(s) have been choosed:
    All Boot Items (Including Registry, Startup Folders, Services and so on)
    Browser Add-ons
    Runing Processes (Including process model information)
    File Associations
    Winsock Provider
    Autorun.Inf
    HOSTS File
    Process Privileges Scan

    Boot Items
    Registry
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <CTFMON.EXE><C:\WINDOWS\System32\ctfmon.exe> [(Verified)Microsoft Windows XP Publisher]
    [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><> [N/A]
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <NvCplDaemon><RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup> [(Verified)Microsoft Windows Hardware Compatibility Publisher]
    <nwiz><nwiz.exe /install> [NVIDIA Corporation]
    <NvMediaCenter><RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit> [(Verified)Microsoft Windows XP Publisher]
    <WinampAgent><"C:\Program Files\Winamp\Winampa.exe"> [N/A]
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe> [(Verified)Microsoft Windows XP Publisher]
    <Userinit><C:\WINDOWS\system32\userinit.exe,> [(Verified)Microsoft Windows XP Publisher]
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><> [N/A]
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><logonui.exe> [(Verified)Microsoft Windows XP Publisher]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{EDB0E980-90BD-11D4-8599-0008C7D3B6F8}><C:\Program Files\Qualcomm\Eudora\EuShlExt.dll> [Qualcomm Inc.]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
    <Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE> [N/A]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
    <Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE> [N/A]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
    <Lecteur Windows Media Microsoft 6.4><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\mplayer2.inf,PerUserStub.NT> [(Verified)Microsoft Windows XP Publisher]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
    <Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll> [N/A]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{306D6C21-C1B6-4629-986C-E59E1875B8AF}]
    <N/A><"C:\WINDOWS\System32\rundll32.exe" "C:\Program Files\Messenger\msgsc.dll",ShowIconsUser> [(Verified)Microsoft Windows XP Publisher]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
    <Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install> [N/A]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
    <NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT> [(Verified)Microsoft Windows XP Publisher]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5945c046-1e7d-11d1-bc44-00c04fd912be}]
    <Windows Messenger><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.Install.PerUser> [(Verified)Microsoft Windows XP Publisher]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
    <Microsoft Windows Media Player 8><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp.inf,PerUserStub> [(Verified)Microsoft Windows XP Publisher]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
    <Carnet d'adresses 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install> [N/A]

    ==================================
    Startup Folders
    N/A

    ==================================
    Services
    [Accès du périphérique d'interface utilisateur / HidServ][Stopped/Disabled]
    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
    [Logitech QuickCam Manager / Logitech QuickCam Manager][Running/Auto Start]
    <"C:\WINDOWS\System32\dllcache\mlqm.exe"><N/A>
    [NVIDIA Display Driver Service / nvSvc][Running/Auto Start]
    <C:\WINDOWS\System32\nvsvc32.exe><NVIDIA Corporation>
    [Windows Management Service / wms][Running/Auto Start]
    <C:\WINDOWS\System32\wms.exe><N/A>

    ==================================
    Drivers
    [Carte Fast Ethernet 10/100 Mbps ADMtek AN983/AN985/ADM951X / AN983][Stopped/Manual Start]
    <System32\DRIVERS\AN983.sys><ADMtek Incorporated.>
    [catchme / catchme][Stopped/Manual Start]
    <\??\C:\DOCUME~1\Antoine\LOCALS~1\Temp\catchme.sys><N/A>
    [Creative AudioPCI (ES1371,ES1373) (WDM) / es1371][Running/Manual Start]
    <system32\drivers\es1371mp.sys><Creative Technology Ltd.>
    [Logitech USB Monitor Filter / LVUSBSta][Running/Manual Start]
    <System32\DRIVERS\LVUSBSta.sys><Logitech Inc.>
    [nv / nv][Running/Manual Start]
    <System32\DRIVERS\nv4_mini.sys><NVIDIA Corporation>
    [nv4 / nv4][Stopped/Manual Start]
    <System32\DRIVERS\nv4_mini.sys><NVIDIA Corporation>
    [Logitech QuickCam Express(PID_0928) / PID_0928][Running/Manual Start]
    <System32\DRIVERS\LV561AV.SYS><Logitech Inc.>
    [Pilote de liaison parallèle directe / Ptilink][Running/Manual Start]
    <System32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
    [Secdrv / Secdrv][Stopped/Manual Start]
    <System32\DRIVERS\secdrv.sys><N/A>
    [VIAPFD / VIAPFD][Running/System Start]
    <\SystemRoot\System32\Drivers\VIAPFD.SYS><VIA Technologies. Inc.>
    [WinFox Control I/O Driver / WFsys][Running/Manual Start]
    <System32\DRIVERS\wfsys.sys><Leadtek Research Inc.>
    [Codec Teletext standard / WSTCODEC][Stopped/Manual Start]
    <System32\DRIVERS\WSTCODEC.SYS><Microsoft Corporation>

    ==================================
    Browser Add-ons
    [Assistant Class]
    {B08D32DE-64B2-4137-8345-87293E70D40B} <C:\WINDOWS\System32\iea.dll, TODO: <Company name>>
    [&Radio]
    {8E718888-423F-11D2-876E-00A0C9082467} <C:\WINDOWS\System32\msdxm.ocx, Microsoft Corporation>
    [WUWebControl Class]
    {6414512B-B978-451D-A0D8-FCFDF33E833C} <C:\WINDOWS\System32\wuweb.dll, Microsoft Corporation>
    [Shockwave Flash Object]
    {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\System32\Macromed\Flash\Flash9d.ocx, Adobe Systems, Inc.>

    ==================================
    Running Processes
    [PID: 368 / SYSTEM][\SystemRoot\System32\smss.exe] [Microsoft Corporation, 5.1.2600.1106 (xpsp1.020828-1920)]
    [PID: 436 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [PID: 620 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.1106 (xpsp1.020828-1920)]
    [C:\WINDOWS\System32\wdmaud.drv] [Microsoft Corporation, 5.1.2600.0 (XPClient.010817-1148)]
    [C:\WINDOWS\System32\msacm32.drv] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [PID: 664 / SYSTEM][C:\WINDOWS\system32\services.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [PID: 676 / SYSTEM][C:\WINDOWS\system32\lsass.exe] [Microsoft Corporation, 5.1.2600.1106 (xpsp1.020828-1920)]
    [PID: 852 / SYSTEM][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [PID: 932 / SYSTEM][C:\WINDOWS\System32\svchost.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [PID: 1072 / SERVICE RÉSEAU][C:\WINDOWS\System32\svchost.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [PID: 1092 / SERVICE LOCAL][C:\WINDOWS\System32\svchost.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [PID: 1396 / Antoine][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2800.1106 (xpsp1.020828-1920)]
    [C:\Program Files\Qualcomm\Eudora\EuShlExt.dll] [Qualcomm Inc., 1, 0, 1, 1]
    [PID: 1444 / SYSTEM][C:\WINDOWS\system32\spoolsv.exe] [Microsoft Corporation, 5.1.2600.0 (XPClient.010817-1148)]
    [PID: 1588 / SYSTEM][C:\WINDOWS\System32\dllcache\mlqm.exe] [N/A, ]
    [C:\WINDOWS\System32\dllcache\WS2_32.dll] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [C:\WINDOWS\System32\dllcache\WS2HELP.dll] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [C:\WINDOWS\System32\dllcache\rasadhlp.dll] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [PID: 1744 / SYSTEM][C:\WINDOWS\System32\nvsvc32.exe] [NVIDIA Corporation, 6.14.10.7189]
    [C:\WINDOWS\System32\NVRSFR.DLL] [NVIDIA Corporation, 6.14.10.7189]
    [PID: 1812 / SYSTEM][C:\WINDOWS\System32\svchost.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [PID: 1868 / SYSTEM][C:\WINDOWS\System32\wms.exe] [N/A, ]
    [PID: 2016 / Antoine][C:\WINDOWS\System32\RUNDLL32.EXE] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [C:\WINDOWS\System32\NvMcTray.dll] [NVIDIA Corporation, 6.14.10.7189]
    [C:\WINDOWS\System32\NVRSFR.DLL] [NVIDIA Corporation, 6.14.10.7189]
    [PID: 2024 / Antoine][C:\WINDOWS\System32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.1106 (xpsp1.020828-1920)]
    [PID: 2452 / Antoine][C:\Documents and Settings\Antoine\Bureau\SREng2\SREngPS.EXE] [Smallfrogs Studio, 2.5.16.900]
    [C:\Documents and Settings\Antoine\Bureau\SREng2\Upload\3rdUpd.DLL] [Smallfrogs Studio, 2, 1, 0, 15]

    ==================================
    File Associations
    .TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
    .EXE OK. ["%1" %*]
    .COM OK. ["%1" %*]
    .PIF OK. ["%1" %*]
    .REG OK. [regedit.exe "%1"]
    .BAT OK. ["%1" %*]
    .SCR OK. ["%1" /S]
    .CHM OK. ["C:\WINDOWS\hh.exe" %1]
    .HLP OK. [%SystemRoot%\System32\winhlp32.exe %1]
    .INI OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
    .INF OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
    .VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
    .JS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
    .LNK OK. [{00021401-0000-0000-C000-000000000046}]

    ==================================
    Winsock Provider
    N/A

    ==================================
    Autorun.Inf
    N/A

    ==================================
    HOSTS File
    127.0.0.1 localhost

    ==================================
    Process Privileges Scan
    N/A

    ==================================
    API HOOK
    N/A

    ==================================
    Hidden Process
    N/A

    ==================================

    [/CODE]

    DiagHelp version v1.1.2 - http://www.malekal.com
    excute le 20/08/2007 à 21:11:27,38

    Liste des derniers fichies modifies/crees dans windir\system32
    C:\WINDOWS\System32/drivers\nv4_mini.sys -->01/04/2005 16:16:00
    C:\WINDOWS\System32/drivers\LV561AV.SYS -->31/01/2005 12:20:03
    C:\WINDOWS\System32/drivers\LVUSBSta.sys -->31/01/2005 12:12:46
    C:\WINDOWS\System32/drivers\srv.sys -->20/12/2002 12:36:00
    C:\WINDOWS\System32/drivers\rdpwd.sys -->29/08/2002 11:45:24
    C:\WINDOWS\System32/drivers\termdd.sys -->29/08/2002 11:45:22
    C:\WINDOWS\System32/drivers\dxg.sys -->29/08/2002 11:44:46

    C:\WINDOWS\System32\nvapps.xml -->20/08/2007 21:06:02
    C:\WINDOWS\System32\1.tmp -->20/08/2007 20:53:22
    C:\WINDOWS\System32\wms.exe -->20/08/2007 20:52:56
    C:\WINDOWS\System32\def.vpc -->20/08/2007 20:06:27
    C:\WINDOWS\System32\iea.dll -->20/08/2007 20:00:33
    C:\WINDOWS\System32\wpa.dbl -->19/08/2007 22:00:08
    C:\WINDOWS\System32\perfh00C.dat -->19/08/2007 21:10:53
    C:\WINDOWS\System32\perfh009.dat -->19/08/2007 21:10:53
    C:\WINDOWS\System32\perfc00C.dat -->19/08/2007 21:10:53
    C:\WINDOWS\System32\perfc009.dat -->19/08/2007 21:10:53
    C:\WINDOWS\System32\PerfStringBackup.INI -->19/08/2007 21:10:52
    C:\WINDOWS\System32\FNTCACHE.DAT -->19/08/2007 20:57:29
    C:\WINDOWS\System32\lvcoinst.log -->19/08/2007 19:32:22
    C:\WINDOWS\System32\h323log.txt -->19/08/2007 17:33:11
    C:\WINDOWS\System32\wmpscheme.xml -->19/08/2007 16:48:36
    C:\WINDOWS\System32\$winnt$.inf -->19/08/2007 16:42:17
    C:\WINDOWS\System32\CONFIG.NT -->19/08/2007 16:39:36
    C:\WINDOWS\System32\nscompat.tlb -->19/08/2007 16:39:33
    C:\WINDOWS\System32\amcompat.tlb -->19/08/2007 16:39:33
    C:\WINDOWS\System32\WindowsLogon.manifest -->19/08/2007 16:38:27
    C:\WINDOWS\System32\logonui.exe.manifest -->19/08/2007 16:38:27
    C:\WINDOWS\System32\wuaucpl.cpl.manifest -->19/08/2007 16:38:22
    C:\WINDOWS\System32\sapi.cpl.manifest -->19/08/2007 16:38:22
    C:\WINDOWS\System32\nwc.cpl.manifest -->19/08/2007 16:38:22
    C:\WINDOWS\System32\ncpa.cpl.manifest -->19/08/2007 16:38:22

    C:\WINDOWS\0.log -->20/08/2007 21:06:00
    C:\WINDOWS\wiadebug.log -->20/08/2007 21:05:57
    C:\WINDOWS\wiaservc.log -->20/08/2007 21:05:56
    C:\WINDOWS\bootstat.dat -->20/08/2007 21:05:53
    C:\WINDOWS\SchedLgU.Txt -->20/08/2007 20:50:16
    C:\WINDOWS\Q810577.log -->20/08/2007 20:36:17
    C:\WINDOWS\WindowsUpdate.log -->20/08/2007 20:36:16
    C:\WINDOWS\setupapi.log -->20/08/2007 20:36:15
    C:\WINDOWS\xpsp1hfm.log -->20/08/2007 20:35:59
    C:\WINDOWS\tsoc.log -->20/08/2007 20:35:59
    C:\WINDOWS\tabletoc.log -->20/08/2007 20:35:59
    C:\WINDOWS\Q810833.log -->20/08/2007 20:35:59
    C:\WINDOWS\ocmsn.log -->20/08/2007 20:35:59
    C:\WINDOWS\ocgen.log -->20/08/2007 20:35:59
    C:\WINDOWS\ntdtcsetup.log -->20/08/2007 20:35:59

    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est A079-2A8F

    Répertoire de C:\WINDOWS\system32

    28/08/2001 14:00 4 096 csrss.exe
    1 fichier(s) 4 096 octets
    0 Rép(s) 7 286 730 752 octets libres

    Contenu de Downloaded Program Files
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est A079-2A8F

    Répertoire de C:\WINDOWS\Downloaded Program Files

    19/08/2007 21:21 <REP> .
    19/08/2007 21:21 <REP> ..
    19/08/2007 16:38 65 desktop.ini
    11/06/2007 12:21 5 021 swflash.inf
    16/04/2007 22:50 293 wuweb.inf
    3 fichier(s) 5 379 octets

    Total des fichiers listés :
    3 fichier(s) 5 379 octets
    2 Rép(s) 7 286 730 752 octets libres

    Recherche de rootkit! (Merci S!Ri)

    Recherche d'infections connues

    Export des clefs sensibles..

    Liste des fichiers en exception sur le pare-feu XP SP2

    "C:\\WINDOWS\\System32\\dllcache\\mlqm.exe"="C:\\WINDOWS\\System32\\dllcache\\mlqm.exe:*:Enabled:Logitech QuickCam Manager"

    Export de la clef SharedTaskScheduler

    [SharedTaskScheduler]
    "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
    "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

    Rechercher adresses sensibles dans le fichier HOSTS...

    catchme 0.3.1066 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-08-20 21:11:35
    Windows 5.1.2600 Service Pack 1 NTFS

    scanning hidden services & system hive ...

    scanning hidden registry entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

    Process list by traversal of KiWaitListHead

    4 - System
    436 - csrss.exe
    620 - winlogon.exe
    664 - services.exe
    676 - lsass.exe
    852 - svchost.exe
    932 - svchost.exe
    1072 - svchost.exe
    1092 - svchost.exe
    1396 - explorer.exe
    1588 - mlqm.exe
    1812 - svchost.exe
    1868 - wms.exe
    2024 - ctfmon.exe
    9624 - winsony.exe
    14828 - cmd.exe

    Total number of processes = 16
    NOTE: Under WinXP, this will not show all processes.

    KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

    Driver/Module list by traversal of PsLoadedModuleList

    804D4000 - \WINDOWS\system32\ntoskrnl.exe
    806C8000 - \WINDOWS\system32\hal.dll
    F9F32000 - \WINDOWS\system32\KDCOM.DLL
    F9E42000 - \WINDOWS\system32\BOOTVID.dll
    F99E5000 - ACPI.sys
    F9F34000 - \WINDOWS\System32\DRIVERS\WMILIB.SYS
    F9A32000 - pci.sys
    F9A42000 - isapnp.sys
    F9F36000 - viaide.sys
    F9CB2000 - \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
    F9A52000 - MountMgr.sys
    F99C6000 - ftdisk.sys
    F9F38000 - dmload.sys
    F99A2000 - dmio.sys
    F9CBA000 - PartMgr.sys
    F9A62000 - VolSnap.sys
    F998C000 - atapi.sys
    F9A72000 - disk.sys
    F9A82000 - \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
    F997B000 - sr.sys
    F9967000 - KSecDD.sys
    F98DD000 - Ntfs.sys
    F98B4000 - NDIS.sys
    F9CC2000 - viaagp.sys
    F989A000 - Mup.sys
    F9B02000 - \SystemRoot\System32\DRIVERS\processr.sys
    F94EF000 - \SystemRoot\System32\DRIVERS\nv4_mini.sys
    F94DD000 - \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS
    F9B22000 - \SystemRoot\system32\drivers\es1371mp.sys
    F94BC000 - \SystemRoot\system32\drivers\portcls.sys
    F9B32000 - \SystemRoot\system32\drivers\drmk.sys
    F949B000 - \SystemRoot\system32\drivers\ks.sys
    F9B42000 - \SystemRoot\System32\Drivers\Imapi.SYS
    F9B52000 - \SystemRoot\System32\DRIVERS\cdrom.sys
    F9B62000 - \SystemRoot\System32\DRIVERS\redbook.sys
    F9CF2000 - \SystemRoot\System32\DRIVERS\usbuhci.sys
    F9479000 - \SystemRoot\System32\DRIVERS\USBPORT.SYS
    F9CFA000 - \SystemRoot\System32\DRIVERS\fdc.sys
    F9B72000 - \SystemRoot\System32\DRIVERS\serial.sys
    F9ED6000 - \SystemRoot\System32\DRIVERS\serenum.sys
    F9466000 - \SystemRoot\System32\DRIVERS\parport.sys
    F9B82000 - \SystemRoot\System32\DRIVERS\i8042prt.sys
    F9D02000 - \SystemRoot\System32\DRIVERS\mouclass.sys
    F9D0A000 - \SystemRoot\System32\DRIVERS\kbdclass.sys
    FA0DF000 - \SystemRoot\System32\DRIVERS\audstub.sys
    F9BF2000 - \SystemRoot\System32\DRIVERS\rasl2tp.sys
    F9EDA000 - \SystemRoot\System32\DRIVERS\ndistapi.sys
    F943F000 - \SystemRoot\System32\DRIVERS\ndiswan.sys
    F9C02000 - \SystemRoot\System32\DRIVERS\raspppoe.sys
    F9C12000 - \SystemRoot\System32\DRIVERS\raspptp.sys
    F9EDE000 - \SystemRoot\System32\DRIVERS\TDI.SYS
    F942E000 - \SystemRoot\System32\DRIVERS\psched.sys
    F9C22000 - \SystemRoot\System32\DRIVERS\msgpc.sys
    F9D22000 - \SystemRoot\System32\DRIVERS\ptilink.sys
    F9D2A000 - \SystemRoot\System32\DRIVERS\raspti.sys
    F93F0000 - \SystemRoot\System32\DRIVERS\rdpdr.sys
    F9C32000 - \SystemRoot\System32\DRIVERS\termdd.sys
    FA136000 - \SystemRoot\System32\DRIVERS\swenum.sys
    F9306000 - \SystemRoot\System32\DRIVERS\update.sys
    F9EFE000 - \SystemRoot\System32\DRIVERS\wfsys.sys
    F9C42000 - \SystemRoot\System32\Drivers\NDProxy.SYS
    F9F2A000 - \SystemRoot\System32\DRIVERS\gameenum.sys
    F9C82000 - \SystemRoot\System32\DRIVERS\usbhub.sys
    F9F6A000 - \SystemRoot\System32\DRIVERS\USBD.SYS
    F9D42000 - \SystemRoot\System32\DRIVERS\flpydisk.sys
    F9F76000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
    FA166000 - \SystemRoot\System32\Drivers\Null.SYS
    F9F78000 - \SystemRoot\System32\Drivers\Beep.SYS
    FA167000 - \SystemRoot\System32\Drivers\VIAPFD.SYS
    F9D52000 - \SystemRoot\System32\drivers\vga.sys
    F9F7A000 - \SystemRoot\System32\Drivers\mnmdd.SYS
    F9F7C000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
    F9D5A000 - \SystemRoot\System32\Drivers\Msfs.SYS
    F9D62000 - \SystemRoot\System32\Drivers\Npfs.SYS
    F986E000 - \SystemRoot\System32\DRIVERS\rasacd.sys
    F9CA2000 - \SystemRoot\System32\DRIVERS\ipsec.sys
    F814C000 - \SystemRoot\System32\DRIVERS\tcpip.sys
    F8125000 - \SystemRoot\System32\DRIVERS\netbt.sys
    F9AB2000 - \SystemRoot\System32\DRIVERS\netbios.sys
    F80FD000 - \SystemRoot\System32\DRIVERS\rdbss.sys
    F8099000 - \SystemRoot\System32\DRIVERS\mrxsmb.sys
    F9AC2000 - \SystemRoot\System32\Drivers\Fips.SYS
    F9AD2000 - \SystemRoot\System32\DRIVERS\wanarp.sys
    F9D7A000 - \SystemRoot\System32\DRIVERS\USBSTOR.SYS
    F9AE2000 - \SystemRoot\System32\DRIVERS\LVUSBSta.sys
    F803D000 - \SystemRoot\System32\DRIVERS\LV561AV.SYS
    F9AF2000 - \SystemRoot\System32\DRIVERS\STREAM.SYS
    F9B12000 - \SystemRoot\System32\Drivers\Cdfs.SYS
    F93E8000 - \SystemRoot\System32\DRIVERS\usb8023.sys
    F9D82000 - \SystemRoot\System32\DRIVERS\RNDISMP.SYS
    F7F87000 - \SystemRoot\System32\Drivers\dump_atapi.sys
    F9F82000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
    BF800000 - \SystemRoot\System32\win32k.sys
    F93C8000 - \SystemRoot\System32\watchdog.sys
    F9302000 - \SystemRoot\System32\drivers\Dxapi.sys
    BFF80000 - \SystemRoot\System32\drivers\dxg.sys
    FA067000 - \SystemRoot\System32\drivers\dxgthk.sys
    BF9BB000 - \SystemRoot\System32\nv4_disp.dll
    F7006000 - \SystemRoot\System32\drivers\afd.sys
    F709B000 - \SystemRoot\System32\DRIVERS\ndisuio.sys
    F5DD3000 - \SystemRoot\System32\DRIVERS\mrxdav.sys
    F9FC0000 - \SystemRoot\System32\Drivers\ParVdm.SYS
    F5D34000 - \SystemRoot\System32\DRIVERS\srv.sys
    F5D10000 - \SystemRoot\System32\Drivers\Fastfat.SYS
    F5ACD000 - \SystemRoot\system32\drivers\wdmaud.sys
    F5C40000 - \SystemRoot\system32\drivers\sysaudio.sys
    FA149000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

    Total number of drivers = 107

    Liste des programmes installes

    Ad-Aware SE Personal
    Adobe Acrobat 4.0
    Adobe Flash Player 9 ActiveX
    Correctif Windows XP - KB823980
    Correctif Windows XP - KB835732
    Correctif Windows XP - KB842773
    Correctif Windows XP (SP2) Q329170
    Correctif Windows XP (SP2) Q329441
    Correctif Windows XP (SP2) Q810833
    Correctif Windows XP (SP2) Q815021
    Eudora
    K-Lite Codec Pack 3.3.0 Full
    Language pack for Ad-Aware SE
    NVIDIA Drivers
    Package du correctif Windows XP [voir Q329115 pour plus de détails]
    Package du correctif Windows XP [voir Q329390 pour plus de détails]
    Service Pack 1a pour Windows XP
    VideoLAN VLC media player 0.8.6b
    WebFldrs XP
    Winamp (remove only)
    Windows Genuine Advantage Validation Tool (KB892130)
    Windows Genuine Advantage Validation Tool (KB892130)
    Windows Live Messenger
    WinFast GeForce2 MX Display Driver
    WinFast GeForce256 Display Driver
    WinFast(R) Display Driver
    WinFast(R) Display Driver

    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est A079-2A8F

    Répertoire de C:\Program Files

    20/08/2007 17:37 <REP> .
    20/08/2007 17:37 <REP> ..
    19/08/2007 16:55 <REP> Adobe
    20/08/2007 17:37 <REP> Alwil Software
    19/08/2007 16:36 <REP> ComPlus Applications
    19/08/2007 16:58 <REP> directx
    19/08/2007 16:56 <REP> Fichiers communs
    19/08/2007 20:41 <REP> Internet Explorer
    19/08/2007 22:03 <REP> K-Lite Codec Pack
    19/08/2007 17:59 <REP> Lavasoft
    19/08/2007 20:57 <REP> Messenger
    19/08/2007 16:39 <REP> microsoft frontpage
    19/08/2007 20:41 <REP> Movie Maker
    19/08/2007 16:36 <REP> MSN
    19/08/2007 16:36 <REP> MSN Gaming Zone
    19/08/2007 21:23 <REP> MSN Messenger
    20/08/2007 18:01 <REP> NetMeeting
    19/08/2007 20:41 <REP> Outlook Express
    19/08/2007 21:27 <REP> Qualcomm
    19/08/2007 16:38 <REP> Services en ligne
    19/08/2007 21:08 <REP> VideoLAN
    20/08/2007 18:01 <REP> Winamp
    19/08/2007 20:41 <REP> Windows Media Player
    19/08/2007 16:36 <REP> Windows NT
    19/08/2007 16:39 <REP> xerox
    0 fichier(s) 0 octets
    25 Rép(s) 7 286 718 464 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est A079-2A8F

    Répertoire de C:\Program Files\fichiers communs

    19/08/2007 16:56 <REP> .
    19/08/2007 16:56 <REP> ..
    19/08/2007 16:55 <REP> Adobe
    19/08/2007 17:51 <REP> InstallShield
    19/08/2007 16:48 <REP> Microsoft Shared
    19/08/2007 16:37 <REP> MSSoap
    19/08/2007 17:29 <REP> ODBC
    19/08/2007 16:37 <REP> Services
    19/08/2007 17:29 <REP> SpeechEngines
    19/08/2007 20:41 <REP> System
    0 fichier(s) 0 octets
    10 Rép(s) 7 286 718 464 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est A079-2A8F

    Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

    19/08/2007 16:48 <REP> .
    19/08/2007 16:48 <REP> ..
    18/05/2001 17:57 561 209 MSONSEXT.DLL
    03/06/1999 14:09 122 937 MSOWS409.DLL
    07/03/2001 09:00 127 033 MSOWS40c.DLL
    3 fichier(s) 811 179 octets
    2 Rép(s) 7 286 718 464 octets libres
    Le volume dans le lecteur C n'a pas de nom.
    Le numéro de série du volume est A079-2A8F

    Répertoire de C:\

    12/05/2007 18:22 68 096 diff.exe
    12/05/2007 18:22 103 424 grep.exe
    20/08/2007 21:09 491 520 winsony.exe
    3 fichier(s) 663 040 octets
    0 Rép(s) 7 286 718 464 octets libres
    c:\Documents and Settings\Antoine\Bureau\ComboFix.exe
    c:\Documents and Settings\Antoine\Bureau\D22174F.exe
    c:\Documents and Settings\Antoine\Bureau\klcodec330f.exe
    c:\Documents and Settings\Antoine\Bureau\SDFix.exe
    c:\Documents and Settings\Antoine\Bureau\stinger.exe
    c:\Documents and Settings\Antoine\Bureau\WindowsXP-KB822603-x86-FRA.exe
    c:\Documents and Settings\Antoine\Bureau\WindowsXP-KB835935-SP2-FRA.exe
    c:\Documents and Settings\Antoine\Bureau\xpsp1a_fr_x86.exe
    c:\Documents and Settings\Antoine\Bureau\DiagHelp\DiagHelp\catchme.exe
    c:\Documents and Settings\Antoine\Bureau\DiagHelp\DiagHelp\diff.exe
    c:\Documents and Settings\Antoine\Bureau\DiagHelp\DiagHelp\dumphive.exe
    c:\Documents and Settings\Antoine\Bureau\DiagHelp\DiagHelp\FilesInfoCmd.exe
    c:\Documents and Settings\Antoine\Bureau\DiagHelp\DiagHelp\find2.exe
    c:\Documents and Settings\Antoine\Bureau\DiagHelp\DiagHelp\Fport.exe
    c:\Documents and Settings\Antoine\Bureau\DiagHelp\DiagHelp\grep.exe
    c:\Documents and Settings\Antoine\Bureau\DiagHelp\DiagHelp\KProcCheck.exe
    c:\Documents and Settings\Antoine\Bureau\DiagHelp\DiagHelp\LFiles.exe
    c:\Documents and Settings\Antoine\Bureau\DiagHelp\DiagHelp\LISTDLLS.exe
    c:\Documents and Settings\Antoine\Bureau\DiagHelp\DiagHelp\pslist.exe
    c:\Documents and Settings\Antoine\Bureau\DiagHelp\DiagHelp\streams.exe
    c:\Documents and Settings\Antoine\Bureau\DiagHelp\DiagHelp\swreg.exe
    c:\Documents and Settings\Antoine\Bureau\SREng2\SREngPS.EXE
    c:\Documents and Settings\Antoine\Local Settings\Temporary Internet Files\Content.IE5\G52FST2R\4EC48EA[1].exe
    c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0DE3WLI3\cv_3.0[1].exe
    c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

    ****** Fin du rapport DiagHelp
    0
  10. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Re,

    C'est déjà une bonne nouvelle : tu n'as pas à priori Gromozon/Link Optimizer.

    A/
    1. Télécharger The Avenger par Swandog46 sur votre Bureau :
    http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
    · Click sur Avenger.zip pour ouvrir le fichier
    · Extraire avenger.exe sur votre bureau

    2. Copier tout le texte de la boîte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

    Drivers to unload:
    wms

    Registry keys to delete:
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B08D32DE-64B2-4137-8345-87293E70D40B}

    Files to delete:
    C:\1.vbs
    C:\WINDOWS\System32\iea.dll
    C:\WINDOWS\system32\divx.dll
    C:\WINDOWS\web\wcxnjhhj.exe
    C:\WINDOWS\system32\gyaqpsgo.exe
    C:\WINDOWS\system32\dllcache\mlqm.exe
    C:\WINDOWS\System32\1.tmp
    C:\WINDOWS\System32\def.vpc
    C:\WINDOWS\System32\wms.exe


    Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
    si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

    3. Maintenant, lancer The Avenger en cliquant sur son icône du bureau.
    · Sous "Script file to execute" choisir "Input Script Manually".
    · Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
    · Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V).
    · Cliquer Done
    · ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
    · Répondre "Yes" deux fois quand demandé.
    4. The Avenger va automatiquement faire ce qui suit:
    · Il va Re-démarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.)
    · Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.
    · Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
    · The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.
    5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans votre réponse avec un nouveau log HijackThis en utilisant REPONDRE

    B/ Edite un rapport Hijackthis et un rapport SREng. Si Hijackthis ne passe pas, édite un rapport PCA.
    Il me faut aussi le rapport Avenger.

    Ca devrait aller déjà mieux, mais il reste au moins allaple.

    Fill
    0
  11. antoine1812
     
    Re
    ça a l'air déjà beaucoup mieux... merci beaucoup

    (pour après, tu as des conseils pour protéger le PC à l'avenir ? :-) )

    voici les rapports :

    Logfile of The Avenger version 1, by Swandog46
    Running from registry key:
    \Registry\Machine\System\CurrentControlSet\Services\eunfmvog

    *******************

    Script file located at: \??\C:\WINDOWS\System32\gdjugxqm.txt
    Script file opened successfully.

    Script file read successfully

    Backups directory opened successfully at C:\Avenger

    *******************

    Beginning to process script file:

    Driver wms unloaded successfully.

    File C:\1.vbs not found!
    Deletion of file C:\1.vbs failed!

    Could not process line:
    C:\1.vbs
    Status: 0xc0000034

    File C:\WINDOWS\System32\iea.dll deleted successfully.
    File C:\WINDOWS\system32\divx.dll deleted successfully.
    File C:\WINDOWS\web\wcxnjhhj.exe deleted successfully.
    File C:\WINDOWS\system32\gyaqpsgo.exe deleted successfully.
    File C:\WINDOWS\system32\dllcache\mlqm.exe deleted successfully.
    File C:\WINDOWS\System32\1.tmp deleted successfully.
    File C:\WINDOWS\System32\def.vpc deleted successfully.
    File C:\WINDOWS\System32\wms.exe deleted successfully.
    Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B08D32DE-64B2-4137-8345-87293E70D40B} deleted successfully.

    Completed script processing.

    *******************

    Finished! Terminate.

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 22:02:32, on 20/08/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\dllcache\qhotsew.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\dllcache\winsony.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\WINDOWS\System32\ctfmon.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Antoine\Bureau\HiJackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O23 - Service: Logitech QuickCam Manager - Unknown owner - C:\WINDOWS\System32\dllcache\mlqm.exe (file missing)
    O23 - Service: M1crosoft Agant - Unknown owner - C:\WINDOWS\System32\dllcache\qhotsew.exe
    O23 - Service: NVIDIA Display Driver Service (nvSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Sony Network Analysis Tool - Unknown owner - C:\WINDOWS\System32\dllcache\winsony.exe
    0
  12. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Re,

    Rassure-toi, on en parlera. Effectivement, ça va mieux.

    1/ Installe un firewall car il y a eu ré-infection. Ceci est dû au fait que ton système n'est pas à jour.
    Tu peux installer zone alarm qui est assez simple à utiliser : https://www.zonealarm.com/software

    Télécharge la version free.

    2/ # Imprime ceci (sauf si tu as conservé l'impression).
    # Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

    * Redémarre ton ordinateur.
    * Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (ou F5).
    * A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    * Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    * Choisis ton compte.

    # Déroule la liste des instructions ci-dessous :

    * En mode sans échec, double-clique sur le fichier SDFix.exe et clique sur install,
    * Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
    * Appuie sur Y pour commencer le script.
    * Il va supprimer les services de certains trojans, effectuera aussi quelques réparations du Registre et il te demandera d'appuyer sur une touche pour redémarrer.
    * Appuie sur une touche pour redémarrer le PC.
    * Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    * Après le chargement du Bureau, l'outil terminera son travail et affichera Finished
    * Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    * Enfin, ouvre le dossier de SDFix sur ton Bureau et copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

    3/ Télécharge Ccleaner Basic https://www.ccleaner.com/ccleaner/download

    Ouvre Ccleaner, clique sur "lancer le nettoyage".

    4/ Télécharge AVGantispyware : https://www.avg.com/en-ww/free-antivirus-download
    Tu l'installes.
    Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente.

    Clique sur le bouton Analyse (de la barre d'outils)
    Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantaine.
    Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
    A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas. Ensuite.
    Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

    5/ * Fais un scan en ligne en cliquant ici : http://assiste.com.free.fr/...
    * Choisis Panda
    * Tu dois réaliser le scan en utilisant Internet explorer. Une information apparait en haut, près de la barre d'état. Tu dois accepter et installer l'activeX proposé. La mise à jour de l'antivirus se lance.
    * Réalise un scan complet du système.
    * Sauvegarde le rapport en mode texte à l'issue du scan.

    6/ Edite les rapports suivants :
    SDfix, AVGantispyware, Panda et un nouveau rapport Hijackthis.

    Cela risque de prendre du temps mais je serai là demain pour achever le nettoyage de ton PC.

    FillPCA
    0
  13. antoine1812
     
    Ok, je commence tout ça ce soir. Je finirai demain.
    Merci beaucoup en tout cas pour ton aide et bonne fin de soirée.

    antoine
    0
  14. antoine1812
     
    salut,
    ça a été assez long en effet de tout faire, comme annoncé
    Voici les rapports, qu'en penses-tu ?

    SDFix: Version 1.99

    Run by Antoine on 20/08/2007 at 22:43

    Microsoft Windows XP [version 5.1.2600]

    Running From: C:\test\SDFix

    Safe Mode:
    Checking Services:

    Name:
    M1crosoft Agant
    Sony Network Analysis Tool

    ImagePath:
    "C:\WINDOWS\System32\dllcache\qhotsew.exe"
    "C:\WINDOWS\System32\dllcache\winsony.exe"

    M1crosoft Agant - Deleted
    Sony Network Analysis Tool - Deleted

    Restoring Windows Registry Values
    Restoring Windows Default Hosts File

    Rebooting...

    Normal Mode:
    Checking Files:

    Trojan Files Found:

    C:\WINDOWS\system32\dllcache\qhotsew.exe - Deleted
    C:\WINDOWS\system32\dllcache\winsony.exe - Deleted

    Removing Temp Files...

    ADS Check:

    C:\WINDOWS
    No streams found.

    C:\WINDOWS\system32
    No streams found.

    C:\WINDOWS\system32\svchost.exe
    No streams found.

    C:\WINDOWS\system32\ntoskrnl.exe
    No streams found.

    Final Check:

    Remaining Services:
    ------------------

    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "C:\\WINDOWS\\System32\\dllcache\\mlqm.exe"="C:\\WINDOWS\\System32\\dllcache\\mlqm.exe:*:Enabled:Logitech QuickCam Manager"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

    Remaining Files:
    ---------------

    File Backups: - C:\test\SDFix\backups\backups.zip
    Registry Backups: - C:\test\SDFix\backups\backupreg.zip
    Full Registry Backup: - C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE

    Files with Hidden Attributes:

    Finished

    ---------------------------------------------------------
    AVG Anti-Spyware - Rapport d'analyse
    ---------------------------------------------------------

    + Créé à: 20:35:30 21/08/2007

    + Résultat de l'analyse:

    C:\avenger\backup-20.08.2007-22.27.18,13.zip/avenger/iea.dll -> Adware.BHO : Nettoyé et sauvegardé (mise en quarantaine).
    C:\SDFix\backups\backups.zip/backups/winegne.exe -> Backdoor.IRCBot.aaq : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\SW936MKX\84785_winsptr[1].exe -> Backdoor.IRCBot.aaq : Nettoyé et sauvegardé (mise en quarantaine).
    C:\Documents and Settings\Antoine\Cookies\antoine@atdmt[1].txt -> TrackingCookie.Atdmt : Nettoyé.

    Fin du rapport

    Incident Status Location

    Virus:W32/Spybot.AIE.worm Disinfected C:\avenger\backup.zip[avenger/mlqm.exe]
    Virus:W32/RAHack.II.worm Disinfected C:\avenger\backup.zip[avenger/wms.exe]
    Potentially unwanted tool:Application/NirCmd.A Not disinfected C:\Documents and Settings\Antoine\Bureau\ComboFix.exe[nircmd.exe]
    Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\Antoine\Bureau\SDFix.exe[SDFix\apps\Process.exe]
    Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\Antoine\Cookies\antoine@xiti[1].txt
    Virus:Trj/Diazom.AU Disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0DE3WLI3\cv_3.0[1].exe
    Virus:W32/Sdbot.KZS.worm Disinfected C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\WDUJ4XMZ\mxv22t[1].jpg
    Virus:HTML/Instancob.A Disinfected C:\Program Files\Fichiers communs\Microsoft Shared\Papier à lettres\Belle journée.htm
    Virus:W32/Rahack.gen Disinfected C:\Program Files\Fichiers communs\Microsoft Shared\Papier à lettres\bxjsjwkl.exe
    Virus:HTML/Instancob.A Disinfected C:\Program Files\Fichiers communs\Microsoft Shared\Papier à lettres\Camemberts.htm
    Virus:W32/Rahack.gen Disinfected C:\Program Files\Fichiers communs\Microsoft Shared\Papier à lettres\cvhrrnkr.exe
    Virus:HTML/Instancob.A Disinfected C:\Program Files\Fichiers communs\Microsoft Shared\Papier à lettres\Céramique.htm
    Virus:W32/Rahack.gen Disinfected C:\Program Files\Fichiers communs\Microsoft Shared\Papier à lettres\ekzwrrrn.exe
    Virus:HTML/Instancob.A Disinfected C:\Program Files\Fichiers communs\Microsoft Shared\Papier à lettres\Feuilles.htm
    Virus:HTML/Instancob.A Disinfected C:\Program Files\Fichiers communs\Microsoft Shared\Papier à lettres\Fiesta.htm
    Virus:HTML/Instancob.A Disinfected C:\Program Files\Fichiers communs\Microsoft Shared\Papier à lettres\Glacier.htm
    Virus:W32/Rahack.gen Disinfected C:\Program Files\Fichiers communs\Microsoft Shared\Papier à lettres\hvxbzklt.exe
    Virus:W32/Rahack.gen Disinfected C:\Program Files\Fichiers communs\Microsoft Shared\Papier à lettres\jekrcktb.exe
    Virus:W32/Rahack.gen Disinfected C:\Program Files\Fichiers communs\Microsoft Shared\Papier à lettres\lhlksbkv.exe
    Virus:HTML/Instancob.A Disinfected C:\Program Files\Fichiers communs\Microsoft Shared\Papier à lettres\Lierre.htm
    Virus:W32/Rahack.gen Disinfected C:\Program Files\Fichiers communs\Microsoft Shared\Papier à lettres\llvbnekb.exe
    Virus:HTML/Instancob.A Disinfected C:\Program Files\Fichiers communs\Microsoft Shared\Papier à lettres\Nature.htm
    Virus:W32/Rahack.gen Disinfected C:\Program Files\Fichiers communs\Microsoft Shared\Papier à lettres\nshxrvsz.exe
    Virus:HTML/Instancob.A Disinfected C:\Program Files\Fichiers communs\Microsoft Shared\Papier à lettres\Punch aux agrumes.htm
    Virus:W32/Rahack.gen Disinfected C:\Program Files\Fichiers communs\Microsoft Shared\Papier à lettres\reehbqsr.exe
    Virus:W32/Rahack.gen Disinfected C:\Program Files\Fichiers communs\Microsoft Shared\Papier à lettres\reeqntbt.exe
    Virus:HTML/Instancob.A Disinfected C:\Program Files\Fichiers communs\Microsoft Shared\Papier à lettres\Réseau.htm
    Virus:HTML/Instancob.A Disinfected C:\Program Files\Fichiers communs\Microsoft Shared\Papier à lettres\Sucreries.htm
    Virus:W32/Rahack.gen Disinfected C:\Program Files\Fichiers communs\Microsoft Shared\Papier à lettres\tcsbtese.exe
    Virus:HTML/Instancob.A Disinfected C:\Program Files\Fichiers communs\Microsoft Shared\Papier à lettres\Technique.htm
    Virus:HTML/Instancob.A Disinfected C:\Program Files\Fichiers communs\Microsoft Shared\Papier à lettres\Tournesol.htm
    Virus:W32/Rahack.gen Disinfected C:\Program Files\Fichiers communs\Microsoft Shared\Papier à lettres\vhsbbknz.exe
    Virus:HTML/Instancob.A Disinfected C:\Program Files\Fichiers communs\Microsoft Shared\Papier à lettres\Vierge.htm
    Virus:W32/Rahack.gen Disinfected C:\Program Files\Fichiers communs\Microsoft Shared\Papier à lettres\xcrhcljj.exe
    Virus:W32/Rahack.gen Disinfected C:\Program Files\Fichiers communs\Microsoft Shared\Papier à lettres\zqkrvsre.exe
    Virus:HTML/Instancob.A Disinfected C:\Program Files\Fichiers communs\System\ado\MDACReadme.htm
    Virus:W32/Rahack.gen Disinfected C:\Program Files\Fichiers communs\System\ado\svsllkjj.exe
    Virus:W32/Rahack.gen Disinfected C:\Program Files\K-Lite Codec Pack\info\eeneszvj.exe
    Virus:HTML/Instancob.A Disinfected C:\Program Files\K-Lite Codec Pack\info\faq.htm
    Virus:HTML/Instancob.A Disinfected C:\Program Files\MSN\MSNCoreFiles\msnread.htm
    Virus:W32/Rahack.gen Disinfected C:\Program Files\MSN\MSNCoreFiles\tlbhnrlv.exe
    Virus:HTML/Instancob.A Disinfected C:\Program Files\NetMeeting\netmeet.htm
    Virus:W32/Rahack.gen Disinfected C:\Program Files\NetMeeting\rsewzjqn.exe
    Virus:HTML/Instancob.A Disinfected C:\Program Files\Qualcomm\Eudora\eudora.htm
    Virus:W32/Rahack.gen Disinfected C:\Program Files\Qualcomm\Eudora\xkkwlkwr.exe
    Virus:HTML/Instancob.A Disinfected C:\Program Files\VideoLAN\VLC\http\old\admin\browse.html
    Virus:W32/Rahack.gen Disinfected C:\Program Files\VideoLAN\VLC\http\old\admin\lznelksn.exe
    Virus:HTML/Instancob.A Disinfected C:\Program Files\VideoLAN\VLC\http\old\info.html
    Virus:W32/Rahack.gen Disinfected C:\Program Files\VideoLAN\VLC\http\old\wjnhtlje.exe
    Virus:HTML/Instancob.A Disinfected C:\Program Files\Winamp\winampmb.htm
    Virus:W32/Rahack.gen Disinfected C:\Program Files\Winamp\xkchlkhn.exe
    Virus:Trj/Diazom.AU Disinfected C:\QooBox\Quarantine\C\c.exe.vir
    Virus:Trj/Diazom.AU Disinfected C:\QooBox\Quarantine\C\WINDOWS\system32\a.exe.vir
    Potentially unwanted tool:Application/Processor Not disinfected C:\SDFix\apps\Process.exe
    Potentially unwanted tool:Application/Processor Not disinfected C:\test\SDFix\apps\Process.exe
    Virus:Generic Malware Disinfected C:\test\SDFix\backups\backups.zip[backups/qhotsew.exe]
    Virus:W32/Sdbot.KQD.worm Disinfected C:\test\SDFix\backups\backups.zip[backups/winsony.exe]
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\$NtServicePackUninstall$\activ.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\$NtServicePackUninstall$\activsvc.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\$NtServicePackUninstall$\actlan.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\$NtServicePackUninstall$\actshell.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\$NtServicePackUninstall$\adeskerr.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\$NtServicePackUninstall$\bjhkxjjz.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\$NtServicePackUninstall$\eklnhrej.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\$NtServicePackUninstall$\hhellnvw.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\$NtServicePackUninstall$\ltknjbsx.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\$NtServicePackUninstall$\msobshel.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\$NtServicePackUninstall$\nbkcnwsv.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\$NtServicePackUninstall$\neweula.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\$NtServicePackUninstall$\rthejeet.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\$NtServicePackUninstall$\tthtelsk.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\Help\bzehxvnz.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\Help\ciadmin.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\Help\ciquery.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\Help\hwexrtne.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\Help\ixqlang.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\Help\jbnshhqj.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\Help\jjlenkbt.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\Help\migwiz.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\Help\migwiz2.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Audio\lllknblj.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Audio\snd.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Cnt\contents.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Cnt\tjnbzhbh.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\Help\tsbjbtvn.exe
    Potentially unwanted tool:Application/NirCmd.A Not disinfected C:\WINDOWS\nircmd.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\AboutCompat.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\brvhkxjh.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\CompatMode.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\CompatOffline.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\eqlrejrl.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\LearnCompat.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\nrbhslcz.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\tcjqbtst.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\DFS\hhktjkel.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\DFS\jlskvkjt.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\DFS\privacy.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\DFS\uplddrvinfo.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\DFS\xmldialog.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\DFS\zwjcbxql.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\DVDUpgrd\dvdupgrd.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\DVDUpgrd\kvzexhbs.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\ErrMsg\ErrorMessagesOffline.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\ErrMsg\nvsbqtlx.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\errors\connection.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\errors\xnejeese.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\NetDiag\bnkrcrqq.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\NetDiag\dglogshelp.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\NetDiag\stleqtrb.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\tjsnlncx.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\zeektjlr.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\rc\rcRequest.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\rc\rjzhtwer.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Common\ConnIssue.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Common\jqnsbclx.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Common\jzrjzkke.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Common\LearnInternet.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Common\RCMoreInfo.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Common\vtxbneqq.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\helpeeaccept.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\cqlwbrtn.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\DividerBar.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\hlnbkbjt.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\jllrjejn.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\kcqrjjel.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\RAChatClient.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\RAClient.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\RAStatusBar.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\rcscreen6_head.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\resrzjkr.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\rlkctexe.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\setting.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Common\ErrorMsgs.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Common\jjtkbtsb.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Common\RCFileXfer.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Common\slkweqkr.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Common\VOIPMsgs.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Common\xxrlrrck.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\bbcrvske.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\brbjhjhb.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\DividerBar1.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\DividerBar2.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\ejjtwclz.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\heclkcje.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\RAChatServer.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\SettingServer.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\TakeControlMsgs.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\vhzlshll.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\lbncltew.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\lenvstcw.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\RAStartPage.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\rcBuddy.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\sljktqsl.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\cjrhtnee.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\cszbbkjb.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\hzenbhql.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\kenjxzsk.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\msinfo.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\qnkstrhn.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\selznkbn.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\sysComponentInfo.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\sysEvtLogInfo.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\sysHealthInfo.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\sysinfosum.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\sysRemoteInfo.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\sysServicesInfo.htm
    0
  15. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Bonsoir,

    Lol !

    En vitesse de crosière, tu vas passer du MO5 ou quadri-core !

    Je crois que le rapport Panda est incomplet !

    FillPCA
    0
  16. antoine1812
     
    et voici le hijackthis

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:27:02, on 21/08/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Documents and Settings\Antoine\Bureau\HiJackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - https://portail.inetpsa.com/http://mailz1.domino.inetpsa.com/iNotes.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Logitech QuickCam Manager - Unknown owner - C:\WINDOWS\System32\dllcache\mlqm.exe (file missing)
    O23 - Service: NVIDIA Display Driver Service (nvSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    0
  17. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Re,
    Peux-tu éditer aussi le rapport Hijackthis et dis-moi comment le pc se porte.

    FillPCA
    Edite : on s'est croisé. J'examine ceci.
    0
    1. antoine1812
       
      salut,
      je peux malheureusement pas rester plus longtemps ce soir sur le PC.
      je lirai ton verdict demain (bon j'espère) et je finirai de faire ce qu'il faut dans l'après-midi.

      merci encore et bonne soirée

      antoine
      0
  18. antoine1812
     
    hum, toujours pas complet en fait, donc voilà la 3ème partie du rapport panda
    Désolé pour le morcellement :

    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\icserror\icsdc.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\icserror\vcejlxkt.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\isperror\hkenntsl.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\isperror\ispcnerr.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\isperror\ispdtone.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\isperror\isphdshk.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\isperror\ispins.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\isperror\ispnoanw.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\isperror\isppberr.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\isperror\ispphbsy.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\isperror\ispsbusy.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\isperror\jjtrkbnj.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\isperror\knkbrnbn.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\isperror\ktkbeknl.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\isperror\rkeetqew.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\isperror\skqbvxsq.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\isperror\tsjhshcj.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\isperror\ztceskls.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\krcxzncj.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\msobshel.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\qjeejeej.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\regerror\cetrjwtt.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\regerror\ehxzeshx.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\regerror\etnwxxnv.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\regerror\kjtzrlbb.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\regerror\rcnterr.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\regerror\rcwnttzv.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\regerror\rdtone.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\regerror\rhndshk.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\regerror\rnoansw.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\regerror\rnomdm.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\regerror\rpberr.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\regerror\rpulse.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\regerror\rtoobusy.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\regerror\wlkbbnrq.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\regerror\wtkkxrlr.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\regerror\xcjnkske.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\acterror.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\activate.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\act_plcy.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\badeula.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\badpkey.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\bknkjheh.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\bvqncler.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\compname.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\crjrhltv.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\dialup.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\drdyisp.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\drdymig.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\drdyoem.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\drdyref.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\dtiwait.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\enbsjwre.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\esjhxblq.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\eskcxkhr.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\fini.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\hlqstwxz.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\hnhkkene.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\hnwprmpt.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\hwncrnhh.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\hxckwnzl.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\hxxttskn.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\iconn.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\ics.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\ident1.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\ident2.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\isp.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\ispwait.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\jejrhnvh.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\jndomain.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\jndom_a.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\jtxsbxwn.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\keybd.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\keybdcmt.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\kjqkxtnz.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\kksksesr.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\knkhrczb.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\lhkhbjzl.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\lkjtrhks.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\migdial.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\miglist.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\migpage.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\neweula.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\neweula2.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\nkhlvlzt.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\nleevxqj.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\nstnnnkk.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\ntwbjnxv.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\nvbbshss.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\nwqjkkhn.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\oempriv.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\prodkey.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\prvcyms.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\refdial.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\reg1.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\reg3.htm
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\regdial.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\rresnsct.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\rserkten.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\security.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\sejkhevn.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\seqtjbee.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\shbqjhcl.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\timezone.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\tnqsbljb.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\tqkbrhnx.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\tthzxntk.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\username.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\vjbssbhj.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\vkckxhbn.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\system32\oobe\setup\welcome.htm
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\wnklretl.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\wrbbnjss.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\wtenslnj.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\zeblsxxw.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\zhhrrltb.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\setup\zhzsnhje.exe
    Virus:W32/Rahack.gen Disinfected C:\WINDOWS\system32\oobe\tttnwshl.exe
    Virus:HTML/Instancob.A Disinfected C:\WINDOWS\Web\tip.htm
    Virus:W32/Rahack.gen Disinfected D:\65e0d8d728cb0d4298fa54b88621\i386\shzsczzs.exe
    Virus:HTML/Instancob.A Disinfected D:\65e0d8d728cb0d4298fa54b88621\i386\smartnav.htm
    Virus:W32/Rahack.gen Disinfected D:\Logiciels\Money\kqkshlnq.exe
    Virus:HTML/Instancob.A Disinfected D:\Logiciels\Money\moreinfo.htm
    Virus:HTML/Instancob.A Disinfected D:\Mes documents\Mails eudora\attach\actualite.htm
    Virus:HTML/Instancob.A Disinfected D:\Mes documents\Mails eudora\attach\ac_lfbt_new.php.htm
    Virus:W32/Rahack.gen Disinfected D:\Mes documents\Mails eudora\attach\bsshkzvs.exe
    Virus:HTML/Instancob.A Disinfected D:\Mes documents\Mails eudora\attach\cr-mail-doc.htm
    Virus:HTML/Instancob.A Disinfected D:\Mes documents\Mails eudora\attach\Drone.php.htm
    Virus:HTML/Instancob.A Disinfected D:\Mes documents\Mails eudora\attach\Firesout.php.htm
    Virus:HTML/Instancob.A Disinfected D:\Mes documents\Mails eudora\attach\free.fravionsp=petitduc.htm
    Virus:HTML/Instancob.A Disinfected D:\Mes documents\Mails eudora\attach\Helios.php.htm
    Virus:W32/Rahack.gen Disinfected D:\Mes documents\Mails eudora\attach\hjlzersq.exe
    Virus:W32/Rahack.gen Disinfected D:\Mes documents\Mails eudora\attach\hnrsnekc.exe
    Virus:W32/Rahack.gen Disinfected D:\Mes documents\Mails eudora\attach\hrjtkvlk.exe
    Virus:W32/Rahack.gen Disinfected D:\Mes documents\Mails eudora\attach\hrnxhswn.exe
    Virus:W32/Rahack.gen Disinfected D:\Mes documents\Mails eudora\attach\jnvsvwjr.exe
    Virus:W32/Rahack.gen Disinfected D:\Mes documents\Mails eudora\attach\knbtjnhb.exe
    Virus:W32/Rahack.gen Disinfected D:\Mes documents\Mails eudora\attach\nwslscbk.exe
    Virus:HTML/Instancob.A Disinfected D:\Mes documents\Mails eudora\attach\Page_English_Duc.htm
    Virus:HTML/Instancob.A Disinfected D:\Mes documents\Mails eudora\attach\Pegasus.php.htm
    Virus:HTML/Instancob.A Disinfected D:\Mes documents\Mails eudora\attach\Predator.php.htm
    Virus:W32/Rahack.gen Disinfected D:\Mes documents\Mails eudora\attach\sbxllhzr.exe
    Virus:HTML/Instancob.A Disinfected D:\Mes documents\Mails eudora\attach\Shadow.php.htm
    Virus:HTML/Instancob.A Disinfected D:\Mes documents\Mails eudora\attach\test.scr.htm
    Virus:W32/Rahack.gen Disinfected D:\Mes documents\Mails eudora\attach\thzjnrse.exe
    Virus:W32/Rahack.gen Disinfected D:\Mes documents\Mails eudora\attach\wtxexcsb.exe
    Virus:HTML/Instancob.A Disinfected D:\Mes documents\Mails eudora\attach\X-45.php.htm
    Virus:W32/Rahack.gen Disinfected D:\Mes documents\Mails eudora\attach\zhjjtetw.exe
    Virus:W32/Rahack.gen Disinfected D:\Mes documents\Mails eudora\attach\zkbvljee.exe
    Potentially unwanted tool:Application/Processor Not disinfected D:\MSNFix\MSNFix\incl\Process.exe
    Adware:Adware/Gator Not disinfected D:\System Volume Information\_restore{C91BECE4-364E-419D-8A7E-2457E6AC1105}\RP2\A0002160.exe
    0
  19. antoine1812
     
    re-
    niveau symptomes du PC, pour l'instant, plus aucun problème.
    Pour preuve, j'ai pas rebooté depuis au moins deux heures ! lol
    0
  20. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Re,

    1/ Supprime Avenger puis vide ta corbeille.
    2/ Clique sur démarrer>Exécuter>Services.msc -> Valide
    Dans la liste de services, choisis cette ligne et double-clique dessus :

    Logitech QuickCam Manager

    Dans démarrage, tu choisis "désactivé".

    Clique sur "arrêter" -> appliquer -> OK.

    Ouvre Hijackthis>"open the misc tool section">"delete a NT service"
    Dans l'invite de commande, tape ceci : Logitech QuickCam Manager

    2/ * Sélectionne le texte suivant :

    Registry::
    [-HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]

    File::
    C:\WINDOWS\System32\dllcache\mlqm.exe


    * Copie le texte sélectionné (CTRL+C).
    * Ouvre le bloc-note (programme>Accessoire>bloc-note).
    * Colle le texte copié dans ce bloc-note (CTRL+V).
    * Sauvegarde ce fichier sous le nom de CFScript.txt
    * Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

    * Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
    * Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
    * Une fois le scan achevé, un rapport va s'afficher: Poste son contenu.
    * Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    3/ Ouvre Ccleaner, clique sur "lancer le nettoyage".

    4/ Vu ce qu'il y avait, on fait un autre scan de vérification.
    * Fais un scan en ligne en cliquant ici : http://assiste.com.free.fr/...
    * Choisis Kaspersky.
    * Tu dois réaliser le scan en utilisant Internet explorer. Une information apparait en haut, près de la barre d'état. Tu dois accepter et installer l'activeX proposé. La mise à jour de l'antivirus se lance.
    * Réalise un scan complet du système.
    * Sauvegarde le rapport en mode texte à l'issue du scan.

    5/ Edite le rapport Combofix, Kaspersky et un autre rapport Hijackthis. Ensuite, on termine.

    FillPCA
    0
  21. antoine1812
     
    Salut,
    j'ai fait ce que tu as indiqué.
    Ci-dessous les 2 rapports combofix et jijackthis. Kaspersky suit.

    ComboFix 07-08-17.2 - "Antoine" 2007-08-22 15:32:24.3 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.63 [GMT 2:00]
    Command switches used :: C:\Documents and Settings\Antoine\Bureau\CFScript.txt
    * Created a new restore point

    FILE::
    C:\WINDOWS\System32\dllcache\mlqm.exe

    ((((((((((((((((((((((((( Files Created from 2007-07-22 to 2007-08-22 )))))))))))))))))))))))))))))))

    2007-08-21 22:24 <REP> d-------- C:\WINDOWS\LastGood
    2007-08-21 22:24 <REP> d-------- C:\DOCUME~1\LOCALS~1\Menu D‚marrer
    2007-08-21 22:23 <REP> d-------- C:\WINDOWS\Prefetch
    2007-08-21 21:44 <REP> d-------- C:\WINDOWS\provisioning
    2007-08-21 21:44 <REP> d-------- C:\WINDOWS\peernet
    2007-08-21 21:37 <REP> d-------- C:\WINDOWS\system32\ReinstallBackups
    2007-08-21 20:38 <REP> d-------- C:\WINDOWS\system32\ActiveScan
    2007-08-21 20:06 4,569 --------- C:\WINDOWS\system32\secupd.dat
    2007-08-21 20:06 11,776 --------- C:\WINDOWS\system32\spnpinst.exe
    2007-08-21 18:54 1,097,728 --a------ C:\WINDOWS\system32\esent.dll
    2007-08-20 22:50 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
    2007-08-20 22:47 <REP> d-------- C:\WINDOWS\system32\PreInstall
    2007-08-20 22:46 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
    2007-08-20 22:46 <REP> d--h----- C:\WINDOWS\$hf_mig$
    2007-08-20 22:42 <REP> d-------- C:\test
    2007-08-20 22:33 75,932 --a------ C:\WINDOWS\system32\drivers\klick.dat
    2007-08-20 22:33 75,248 --a------ C:\WINDOWS\zllsputility.exe
    2007-08-20 22:33 74,396 --a------ C:\WINDOWS\system32\drivers\klin.dat
    2007-08-20 22:33 54,672 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll
    2007-08-20 22:33 42,384 --a------ C:\WINDOWS\zllsputility_loc040c.dll
    2007-08-20 22:33 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
    2007-08-20 22:33 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc040c.dll
    2007-08-20 22:33 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc040c.dll
    2007-08-20 22:33 12,320 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
    2007-08-20 22:33 110,360 --a------ C:\WINDOWS\system32\drivers\kl1.sys
    2007-08-20 22:33 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
    2007-08-20 22:33 1,568 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
    2007-08-20 22:33 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\MailFrontier
    2007-08-20 22:32 1,086,952 --a------ C:\WINDOWS\system32\zpeng24.dll
    2007-08-20 22:32 <REP> d-------- C:\WINDOWS\system32\ZoneLabs
    2007-08-20 22:31 <REP> d-------- C:\WINDOWS\Internet Logs
    2007-08-20 22:23 <REP> d-------- C:\Program Files\CCleaner
    2007-08-20 21:10 853 --a------ C:\reboot.cmd
    2007-08-20 21:10 68,096 --a------ C:\diff.exe
    2007-08-20 21:10 103,424 --a------ C:\grep.exe
    2007-08-20 20:49 <REP> d-a------ C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
    2007-08-20 20:34 241,664 --a------ C:\WINDOWS\system32\srrstr.dll
    2007-08-20 20:29 <REP> d-------- C:\WINDOWS\ERUNT
    2007-08-20 20:25 51,200 --a------ C:\WINDOWS\nircmd.exe
    2007-08-20 20:00 <REP> dr------- C:\DOCUME~1\LOCALS~1\Favoris
    2007-08-20 20:00 <REP> d-------- C:\pca
    2007-08-20 17:37 <REP> d-------- C:\Program Files\Alwil Software
    2007-08-19 22:04 <REP> d-------- C:\DOCUME~1\Antoine\APPLIC~1\Media Player Classic
    2007-08-19 22:03 765,952 --a------ C:\WINDOWS\system32\xvidcore.dll
    2007-08-19 22:03 73,728 --a------ C:\WINDOWS\system32\dpl100.dll
    2007-08-19 22:03 7,680 --a------ C:\WINDOWS\system32\ff_vfw.dll
    2007-08-19 22:03 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
    2007-08-19 22:03 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
    2007-08-19 22:03 217,088 --a------ C:\WINDOWS\system32\yv12vfw.dll
    2007-08-19 22:03 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll
    2007-08-19 22:03 163,840 --a------ C:\WINDOWS\system32\unrar.dll
    2007-08-19 22:03 <REP> d-------- C:\Program Files\K-Lite Codec Pack
    2007-08-19 21:39 <REP> d-------- C:\DOCUME~1\Antoine\APPLIC~1\vlc
    2007-08-19 21:27 48,640 --a------ C:\WINDOWS\system32\INETWH32.DLL
    2007-08-19 21:27 317,952 --a------ C:\WINDOWS\system32\Roboex32.dll
    2007-08-19 21:27 1,712,128 --a------ C:\WINDOWS\system32\gdiplus.dll
    2007-08-19 21:27 <REP> d-------- C:\Program Files\Qualcomm
    2007-08-19 21:23 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
    2007-08-19 21:23 <REP> d-------- C:\DOCUME~1\Antoine\Contacts
    2007-08-19 21:15 <REP> d-------- C:\Program Files\MSN Messenger
    2007-08-19 21:13 <REP> d--hs---- C:\RECYCLER
    2007-08-19 21:09 <REP> d-------- C:\Program Files\Winamp
    2007-08-19 21:08 <REP> d-------- C:\Program Files\VideoLAN
    2007-08-19 20:43 97,280 --a------ C:\WINDOWS\system32\dpcdll.dll
    2007-08-19 20:41 95,744 --a------ C:\WINDOWS\system32\mqsec.dll
    2007-08-19 20:41 938,496 --------- C:\WINDOWS\system32\winbrand.dll
    2007-08-19 20:41 870,784 --------- C:\WINDOWS\system32\ati3d1ag.dll
    2007-08-19 20:41 80,384 --a------ C:\WINDOWS\system32\tlntsess.exe
    2007-08-19 20:41 76,288 --a------ C:\WINDOWS\system32\fdeploy.dll
    2007-08-19 20:41 75,264 --a------ C:\WINDOWS\system32\tlntsvr.exe
    2007-08-19 20:41 73,216 --------- C:\WINDOWS\system32\drivers\atintuxx.sys
    2007-08-19 20:41 72,960 --a------ C:\WINDOWS\system32\drivers\mqac.sys
    2007-08-19 20:41 701,440 --------- C:\WINDOWS\system32\drivers\ati2mtag.sys
    2007-08-19 20:41 7,168 --a------ C:\WINDOWS\system32\tlntsvrp.dll
    2007-08-19 20:41 7,168 --------- C:\WINDOWS\system32\hccoin.dll
    2007-08-19 20:41 660,992 --a------ C:\WINDOWS\system32\mqqm.dll
    2007-08-19 20:41 65,024 --a------ C:\WINDOWS\system32\nwwks.dll
    2007-08-19 20:41 63,488 --a------ C:\WINDOWS\system32\tlntadmn.exe
    2007-08-19 20:41 63,488 --------- C:\WINDOWS\system32\drivers\atinxsxx.sys
    2007-08-19 20:41 614,400 --a------ C:\WINDOWS\system32\wsecedit.dll
    2007-08-19 20:41 57,856 --------- C:\WINDOWS\system32\drivers\atinbtxx.sys
    2007-08-19 20:41 527,360 --a------ C:\WINDOWS\system32\mqutil.dll
    2007-08-19 20:41 52,224 --------- C:\WINDOWS\system32\drivers\atinraxx.sys
    2007-08-19 20:41 517,632 --a------ C:\WINDOWS\system32\mqsnap.dll
    2007-08-19 20:41 40,832 --------- C:\WINDOWS\system32\drivers\irbus.sys
    2007-08-19 20:41 4,096 --------- C:\WINDOWS\system32\dsprpres.dll
    2007-08-19 20:41 377,984 --------- C:\WINDOWS\system32\ati2dvaa.dll
    2007-08-19 20:41 327,168 --------- C:\WINDOWS\system32\drivers\ati2mtaa.sys
    2007-08-19 20:41 32,768 --------- C:\WINDOWS\system32\asr_pfu.exe
    2007-08-19 20:41 31,744 --------- C:\WINDOWS\system32\drivers\atinxbxx.sys
    2007-08-19 20:41 302,592 --a------ C:\WINDOWS\system32\appmgr.dll
    2007-08-19 20:41 28,672 --------- C:\WINDOWS\system32\drivers\atinsnxx.sys
    2007-08-19 20:41 270,848 --------- C:\WINDOWS\system32\sbe.dll
    2007-08-19 20:41 260,096 --a------ C:\WINDOWS\system32\tracerpt.exe
    2007-08-19 20:41 26,624 --------- C:\WINDOWS\system32\drivers\usbehci.sys
    2007-08-19 20:41 201,728 --------- C:\WINDOWS\system32\ati2dvag.dll
    2007-08-19 20:41 201,216 --a------ C:\WINDOWS\system32\gptext.dll
    2007-08-19 20:41 20,992 --------- C:\WINDOWS\system32\faxpatch.exe
    2007-08-19 20:41 20,480 --------- C:\WINDOWS\system32\encapi.dll
    2007-08-19 20:41 197,632 --------- C:\WINDOWS\system32\xpsp1res.dll

    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

    2007-08-21 21:49 2724 --a------ C:\WINDOWS\pchealth\HELPCTR\PackageStore\SkuStore.bin
    2007-08-21 21:46 8972 --a------ C:\WINDOWS\pchealth\HELPCTR\Config\Cntstore.bin
    2007-08-20 22:37 1220 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
    2007-08-20 22:37 1220 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

    *Note* empty entries & legit default entries are not shown

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-04-01 16:16]
    "nwiz"="nwiz.exe" [2005-04-01 16:16 C:\WINDOWS\system32\nwiz.exe]
    "NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2005-04-01 16:16]
    "WinampAgent"="C:\Program Files\Winamp\Winampa.exe" []
    "ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54]
    "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09]

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
    "ICQ Agent"=C:\WINDOWS\System32\icq6.exe

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    "{EDB0E980-90BD-11D4-8599-0008C7D3B6F8}"= C:\Program Files\Qualcomm\Eudora\EuShlExt.dll [2002-09-30 18:36 86016]

    R1 VIAPFD;VIAPFD;C:\WINDOWS\system32\Drivers\VIAPFD.SYS
    R2 Dnscache;Client DNS;C:\WINDOWS\System32\svchost.exe -k NetworkService
    R3 WFsys;WinFox Control I/O Driver;C:\WINDOWS\system32\DRIVERS\wfsys.sys
    S3 AN983;Carte Fast Ethernet 10/100 Mbps ADMtek AN983/AN985/ADM951X;C:\WINDOWS\system32\DRIVERS\AN983.sys

    **************************************************************************

    catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-08-22 15:34:27
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    C:\WINDOWS\KB920872.log
    **************************************************************************

    Completion time: 2007-08-22 15:36:05
    C:\ComboFix-quarantined-files.txt ... 2007-08-22 15:35
    C:\ComboFix2.txt ... 2007-08-20 20:26

    --- E O F ---

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:02:36, on 22/08/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Documents and Settings\Antoine\Bureau\HiJackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/71365/kavwebscan_unicode.cab
    O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - https://portail.inetpsa.com/http://mailz1.domino.inetpsa.com/iNotes.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: NVIDIA Display Driver Service (nvSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    0
  • 1
  • 2