search dailyRésolu/Fermé

Question

Bonjour,

Je suis un néophite sur ce forum et pas super calé en informatique. Je crois avoir chopé le virus search daily. Quelqu'un peut il m'aider à "tuer" cette bête et me dire si d'autres virus sont présents sur mon PC ? Un grand merci d'avance !!!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:50:07, on 06/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
F:\iPod Nano 4GO\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Belkin\Logiciel Bluetooth\BTTray.exe
C:\Program Files\Belkin\Logiciel Bluetooth\BTTray.exe
D:\PROGRA~1\INCRED~1\bin\ImApp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\PROGRA~1\INCRED~1\bin\IncMail.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lequipe.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.creative.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {868413A3-2A4B-4CD3-BDDE-A8772D016337} - C:\WINDOWS\system32\browseu.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: (no name) - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [rock] rock.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "F:\iPod Nano 4GO\iTunesHelper.exe"
O4 - HKLM\..\Run: [ImInstaller_IncrediMail] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ImInstaller\IncrediMail\IncrediMail_Install.exe -startup -product IncrediMail
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [IncrediMail] D:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: BTTray.lnk = ?
O4 - Startup: Lancement rapide d'Adobe Reader.lnk = D:\Readereader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\Readereader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie_ctx.htm
O14 - IERESET.INF: START_PAGE_URL=https://fr.creative.com/
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} - http://acces.blonde.com/package/op/PackageHtmlCab.CAB
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} (CamfrogWEB Advanced Unicode Control) - https://www.bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

g!rly · Answer

salut 

t´as ete voir les blondes...

a l´aide de hijack this coche et fix ceci :

O3 - Toolbar: (no name) - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - (no file)
O4 - HKLM\..\Run: [rock] rock.exe
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} - http://acces.blonde.com/package/op/PackageHtmlCab.CAB

comment fixer :

Tutoriel d´utilisation (video) :

-> http://pageperso.aol.fr/balltrap34/demohijack.htm

puis :

Télécharge BTFix de Bibi26
http://cluster1.easy-hebergement.net/
Dézippe l'archive sur ton Bureau.
Ouvre le dossier BTFix.
Double clique sur BTFix.exe.
Clique sur Rechercher.
Un rapport va apparaître, copie/colle-le dans ta prochaine réponse.

@+

planetesoccer · Answer

Merci de ton aide g!rly

J'ai fait ce que tu m'as dit. Voici le rapport BTFix :
BTFix 1.064 (par bibi26) - 06/12/2007 18:47:26 - Analyse
Lancé depuis C:\Documents and Settings\Administrateur\Bureau\BTFix\BTFix.exe

---> Fichiers/Dossiers trouvés

 - C:\DBBackup
 - C:\WINDOWS\Fonts\acrsecB.fon
 - C:\WINDOWS\Fonts\acrsec.fon

---> Analyse terminée

a+

g!rly · Answer

re,

1 Télécharge CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.


2 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.

3.Lance le nettoyage des fichiers temporaires a l´aide de ccleaner : "nettoyeur"

-> décoche la derniere case (Avancé si elle est cochée) puis click sur "lancer le nettoyage" qunand il aura terminé le scan click en bas a droite sur "lancer le nettoyage" et accepte par oui.

4Ouvre BTFix.
Clique sur Nettoyer.
Un rapport va apparaître.

5 Relance ccleaner pour nettoyer les erreures : "erreurs" :

->Coches toutes les cases dans les propriétés du nettoyeur de l´onglet "windows" et "applications", puis click en bas sur "chercher des erreurs" une fois terminé, clic sur "reparer les erreurs", tu auras un message pour sauvegarder ta base de registre, tu click "oui" puis tu recommence jusqu'à ce qu'il ne trouve plus rien.

ps : les sauvegardes que tu auras faites, pourront etre supprimées ulterieurement si tout va bien.


6 Redémarre normalement

7 Poste un nouveau log HijackThis avec le rapport de BTFix.

@+

planetesoccer · Answer

J'ai suivi tes instructions.

Voici le rapport BTFix :
BTFix 1.064 (par bibi26) - 06/12/2007 19:10:26 - Nettoyage - Mode sans échec
Lancé depuis C:\Documents and Settings\Administrateur\Bureau\BTFix\BTFix.exe

---> Fichiers/dossiers supprimés

 - Fichiers temporaires effacés
 - C:\DBBackup
 - C:\WINDOWS\Fonts\acrsecB.fon
 - C:\WINDOWS\Fonts\acrsec.fon

---> Nettoyage terminé

Voici le rapport Hijackthis :
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {868413A3-2A4B-4CD3-BDDE-A8772D016337} - C:\WINDOWS\system32\browseu.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "F:\iPod Nano 4GO\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [IncrediMail] D:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: BTTray.lnk = ?
O4 - Startup: Lancement rapide d'Adobe Reader.lnk = D:\Readereader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\Readereader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie_ctx.htm
O14 - IERESET.INF: START_PAGE_URL=https://fr.creative.com/
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} (CamfrogWEB Advanced Unicode Control) - https://www.bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

g!rly · Answer

re,

fais ceci :

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe      

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

@+

planetesoccer · Answer

Voici le rapport du scan Combofix ComboFix 07-12-02.6 - Administrateur 2007-12-06 19:48:33.2 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.103 [GMT 1:00] Running from: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe * Created a new restore point . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\Administrateur\Application Data\AntiSpywareBot C:\Documents and Settings\Administrateur\Application Data\AntiSpywareBot\Log\2007 Dec 01 - 01_38_55 PM_702.log C:\Documents and Settings\Administrateur\Application Data\AntiSpywareBot\Log\2007 Dec 01 - 01_38_58 PM_155.log C:\Documents and Settings\Administrateur\Application Data\AntiSpywareBot\Log\2007 Dec 01 - 01_47_58 PM_141.log C:\Documents and Settings\Administrateur\Application Data\AntiSpywareBot s.dat C:\Documents and Settings\Administrateur\Application Data\AntiSpywareBot\Settings\CustomScan.stg C:\Documents and Settings\Administrateur\Application Data\AntiSpywareBot\Settings\IgnoreList.stg C:\Documents and Settings\Administrateur\Application Data\AntiSpywareBot\Settings\ScanInfo.stg C:\Documents and Settings\Administrateur\Application Data\AntiSpywareBot\Settings\ScanResults.stg C:\Documents and Settings\Administrateur\Application Data\AntiSpywareBot\Settings\SelectedFolders.stg C:\Documents and Settings\Administrateur\Application Data\AntiSpywareBot\Settings\Settings.stg C:\WINDOWS\Tasks.\AntiSpywareBot Scheduled Scan.job . ((((((((((((((((((((((((((((( Fichiers créés 2007-11-06 to 2007-12-06 )))))))))))))))))))))))))))))))))))) . 2007-12-06 17:49 . 2007-12-06 17:49 396,288 --a------ C:\HijackThis.exe 2007-12-02 20:47 . 2007-12-02 20:49 8,646,776 --a------ C:\Program Files\Windows-KB890830-V1.35.exe 2007-12-02 19:46 . 2007-12-02 19:46 d-------- C:\Documents and Settings\LocalService\Application Data\AVG7 2007-12-02 19:39 . 2007-12-02 20:35 d-------- C:\Documents and Settings\Administrateur\Application Data\AVG7 2007-12-02 19:38 . 2007-12-02 20:53 d-------- C:\Documents and Settings\All Users\Application Data\avg7 2007-12-02 08:23 . 2007-12-06 19:21 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2007-12-02 08:23 . 2007-12-02 08:23 1,409 --a------ C:\WINDOWS\QTFont.for 2007-12-02 08:22 . 2007-12-02 08:22 d-------- C:\Program Files\iPod 2007-12-01 11:27 . 2007-12-01 12:10 d-a------ C:\Documents and Settings\All Users\Application Data\TEMP 2007-12-01 11:27 . 2005-09-23 07:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll 2007-11-30 22:38 . 2007-12-02 20:53 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft 2007-11-30 12:17 . 2006-11-29 13:06 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll 2007-11-30 12:16 . 2007-11-30 12:16 d-------- C:\Program Files\Microsoft SQL Server Compact Edition 2007-11-30 12:07 . 2007-12-01 12:17 d-------- C:\Program Files\Windows Live 2007-11-30 12:07 . 2007-11-30 12:12 d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller 2007-11-30 12:06 . 2007-11-30 12:06 d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller 2007-11-28 17:55 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2007-11-28 17:55 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2007-11-28 17:55 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-11-28 17:55 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2007-11-27 18:47 . 2004-08-20 00:09 110,080 --a------ C:\WINDOWS\system32\browseu.2 2007-11-27 18:47 . 2004-08-20 00:09 99,072 --a------ C:\WINDOWS\system32\browseu.dll 2007-11-27 18:47 . 2004-08-20 00:09 83,456 --a------ C:\WINDOWS\system32\browseu.1 2007-11-27 18:47 . 19,456 C:\WINDOWS\system32\drivers\ffyoffam.dat 2007-11-17 21:43 . 2007-11-17 21:43 d-------- C:\Program Files\CFWebAdvancedU_BOBTV.FR 2007-11-17 21:43 . 2007-11-17 21:43 d-------- C:\Documents and Settings\Administrateur\Application Data\CamfrogWEB 2007-11-14 23:43 . 2007-11-14 23:43 65,536 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx 2007-11-14 23:43 . 2007-11-14 23:43 49,152 --a------ C:\WINDOWS\system32\QuickTime.qts 2007-11-11 20:11 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl 2007-11-10 18:31 . 2007-11-10 18:31 d-------- C:\Documents and Settings\All Users\Application Data\Avira . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-05 14:52 --------- d-----w C:\Program Files\Fichiers communs\Adobe 2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys 2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys 2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys 2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys 2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys 2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe 2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr 2007-12-02 07:37 --------- d-----w C:\Program Files\Apple Software Update 2007-12-02 07:20 --------- d-----w C:\Program Files\QuickTime 2007-12-01 14:30 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-12-01 11:12 --------- d-----w C:\Program Files\Google 2007-11-30 21:33 --------- d-----w C:\Program Files\HighMAT CD Writing Wizard 2007-11-30 21:10 --------- d-----w C:\Program Files\Panda Security 2007-11-11 19:11 --------- d-----w C:\Program Files\Java 2007-10-18 10:31 51,224 ----a-w C:\WINDOWS\system32\sirenacm.dll 2007-10-08 17:50 --------- d-----w C:\Program Files\Macromedia 2007-08-11 06:23 24,200 -c--a-w C:\Documents and Settings\Administrateur\Application Data\GDIPFONTCACHEV1.DAT 2006-06-28 16:21 15,295,272 ----a-w C:\Program Files\Install_Messenger.exe 2006-06-19 18:39 11,290,496 ----a-w C:\Program Files\setupfre.exe 2006-06-18 14:09 2,176,928 ----a-w C:\Program Files\Windows-KB890830-V1.17.exe 2006-03-13 18:01 746,837 ----a-w C:\Program Files\setup.exe 2006-03-11 19:14 3,355,056 ----a-w C:\Program Files\VRINST.EXE 2006-01-08 15:49 178,872 ----a-w C:\Program Files\FxLodear.exe 2005-10-24 17:41 9,343,176 ----a-w C:\Program Files\Install_MSN_Messenger.EXE 2004-10-07 19:34 870,912 -c--a-w C:\Program Files\iview392.exe 2004-09-23 17:56 10,078,344 ----a-w C:\Program Files\WMEncoder.exe 2004-09-03 15:44 284 -c--a-w C:\Documents and Settings\Administrateur\Application Data\ViewerApp.dat 2004-05-18 19:49 24,491,245 ----a-w C:\Program Files\kit.exe 2000-04-19 20:00 6,995 -c--a-w C:\WINDOWS\inf\RAMDISK.SYS . ((((((((((((((((((((((((((((( snapshot@2007-12-01_11.14.59.59 ))))))))))))))))))))))))))))))))))))))))) . - 2007-11-08 15:59:01 136,704 ----a-w C:\WINDOWS\catchme.exe + 2007-11-27 02:58:11 140,288 ----a-w C:\WINDOWS\catchme.exe - 2007-12-01 10:12:26 81,920 ----a-w C:\WINDOWS\Cookies\index.dat + 2007-12-06 18:33:34 32,768 ----a-w C:\WINDOWS\Cookies\index.dat + 2007-12-02 07:23:19 102,400 ----a-r C:\WINDOWS\Installer\{4F5CE18C-D97D-48FF-A510-A0D90C918294}\iTunesIco.exe + 2007-12-02 06:56:12 27,136 ----a-r C:\WINDOWS\Installer\{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}\AppleSoftwareUpdateIco.exe + 2007-10-31 13:09:14 30,464 -c--a-w C:\WINDOWS\system32\DRVSTORE\usbaapl_4351B7DAFF62FD33510D77DFAE3CF8CC82517571\usbaapl.sys - 2007-11-23 21:17:52 132,480 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT + 2007-12-05 16:48:47 128,504 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT - 2007-04-24 10:32:06 1,485,696 ------w C:\WINDOWS\system32\LegitCheckControl.dll + 2007-10-11 13:12:48 1,468,968 ------w C:\WINDOWS\system32\LegitCheckControl.dll + 2007-07-30 18:18:34 207,736 ----a-w C:\WINDOWS\system32\muweb.dll - 2007-10-28 06:14:05 53,656 ----a-w C:\WINDOWS\system32\perfc009.dat + 2007-12-01 10:28:47 53,656 ----a-w C:\WINDOWS\system32\perfc009.dat - 2007-10-28 06:14:05 65,018 ----a-w C:\WINDOWS\system32\perfc00C.dat + 2007-12-01 10:28:47 65,018 ----a-w C:\WINDOWS\system32\perfc00C.dat - 2007-10-28 06:14:05 381,818 ----a-w C:\WINDOWS\system32\perfh009.dat + 2007-12-01 10:28:47 381,818 ----a-w C:\WINDOWS\system32\perfh009.dat - 2007-10-28 06:14:05 447,822 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2007-12-01 10:28:47 447,822 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2007-12-06 18:21:44 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_4f8.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{868413A3-2A4B-4CD3-BDDE-A8772D016337}] 2004-08-20 00:09 99072 --a------ C:\WINDOWS\system32\browseu.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09] "CTSyncU.exe"="C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe" [2006-04-28 16:08] "IncrediMail"="D:\Program Files\IncrediMail\bin\IncMail.exe" [2007-07-19 09:54] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "nwiz"="nwiz.exe" [2003-10-06 14:16 C:\WINDOWS\system32 wiz.exe] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00] "NvCplDaemon"="RUNDLL32.exe" [2004-08-20 00:10 C:\WINDOWS\system32 undll32.exe] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-11-14 23:43] "iTunesHelper"="F:\iPod Nano 4GO\iTunesHelper.exe" [2007-11-15 13:11] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09] "ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" [] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ BTTray.lnk - C:\Program Files\Belkin\Logiciel Bluetooth\BTTray.exe [2005-08-24 13:06:54] Lancement rapide d'Adobe Reader.lnk - D:\Reader eader_sl.exe [2004-12-14 03:44:06] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ BTTray.lnk - C:\Program Files\Belkin\Logiciel Bluetooth\BTTray.exe [2005-08-24 13:06:54] Lancement rapide d'Adobe Reader.lnk - D:\Reader eader_sl.exe [2004-12-14 03:44:06] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^DSLMON.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\DSLMON.lnk backup=C:\WINDOWS\pss\DSLMON.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^FotoStation Easy AutoLaunch.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\FotoStation Easy AutoLaunch.lnk backup=C:\WINDOWS\pss\FotoStation Easy AutoLaunch.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^NkvMon.exe.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\NkvMon.exe.lnk backup=C:\WINDOWS\pss\NkvMon.exe.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AltnetPointsManager] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BlockAds] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] 2004-08-20 00:09 15360 --a------ C:\WINDOWS\System32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] C:\WINDOWS\system32\dumprep 0 -k [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LDM] 2003-08-08 14:59 16384 --a--c--- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Utility] Logi_MwX.Exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck] 2001-07-09 11:50 155648 --a------ C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg wiz] nwiz.exe /install [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] SOUNDMAN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TransparentIcons] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TransTask] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tweak-XP] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\websx] C:\Program Files\websx\int147792.exe -auto [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zBrowser Launcher] 2002-11-23 01:15 631362 --a--c--- C:\Program Files\Logitech\iTouch\iTouch.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "WZCSVC"=2 (0x2) "TermService"=3 (0x3) "helpsvc"=2 (0x2) "ccEvtMgr"=2 (0x2) R0 dpmujwnh;dpmujwnh;C:\WINDOWS\system32\drivers\ffyoffam.dat R1 cdrbsvsd;cdrbsvsd;C:\WINDOWS\system32\drivers\cdrbsvsd.sys R2 nvcap;nVidia WDM Video Capture (universal);C:\WINDOWS\system32\DRIVERS vcap.sys R2 nvTUNEP;nVidia WDM TVTuner;C:\WINDOWS\system32\DRIVERS vtunep.sys R2 nvtvSND;nVidia WDM TVAudio Crossbar;C:\WINDOWS\system32\DRIVERS vtvsnd.sys R2 NVXBAR;nVidia WDM A/V Crossbar;C:\WINDOWS\system32\DRIVERS\NVxbar.sys R3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\system32\DRIVERS\fbxusb.sys S3 adiusbae;USB ADSL LAN Adapter;C:\WINDOWS\system32\DRIVERS\adiusbae.sys S3 AvFlt;Antivirus Filter Driver;C:\WINDOWS\system32\drivers\av5flt.sys [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{35e930f0-0def-11dc-a540-0007cb0000ff}] \Shell\AutoRun\command - I:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3984f970-2af7-11db-a30b-0007cb0000ff}] \Shell\Auto\command - I:\Real.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Real.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4d141164-ddfd-11db-a4b2-0007cb0000ff}] \Shell\Auto\command - I:\boot.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL boot.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a4f286d2-262d-11dc-a57e-0007cb0000ff}] \Shell\Auto\command - Real.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Real.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a4f286d3-262d-11dc-a57e-0007cb0000ff}] \Shell\Auto\command - J:\Real.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Real.exe . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2007-12-02 06:56:11 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe "2007-12-06 18:47:00 C:\WINDOWS\Tasks\Symantec NetDetect.job" - C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE . ************************************************************************** catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-06 19:51:22 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-12-06 19:52:15 C:\ComboFix2.txt ... 2007-12-01 11:15 . --- E O F ---

g!rly · Answer

re,

Copie le texte ci-dessous :

File::
C:\WINDOWS\QTFont.qfn
C:\WINDOWS\QTFont.for
C:\WINDOWS\system32\d3dx9_32.dll

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix, 

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt2

S'il n'y a pas de rédémarrage, poste quand même le rapport.

et

fais analyser ce fichier 

C:\WINDOWS\system32\drivers\ffyoffam.dat

ici 

http://virusscan.jotti.org/de/

et post le resultat

puis fais ceci 

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

@+

planetesoccer · Answer

ComboFix 07-12-02.6 - Administrateur 2007-12-06 21:14:59.3 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.107 [GMT 1:00] Running from: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt * Created a new restore point FILE C:\WINDOWS\QTFont.for C:\WINDOWS\QTFont.qfn C:\WINDOWS\system32\d3dx9_32.dll . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\QTFont.for C:\WINDOWS\QTFont.qfn C:\WINDOWS\system32\d3dx9_32.dll . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-06 to 2007-12-06 )))))))))))))))))))))))))))))))))))) . 2007-12-06 17:49 . 2007-12-06 17:49 396,288 --a------ C:\HijackThis.exe 2007-12-02 20:47 . 2007-12-02 20:49 8,646,776 --a------ C:\Program Files\Windows-KB890830-V1.35.exe 2007-12-02 19:46 . 2007-12-02 19:46 d-------- C:\Documents and Settings\LocalService\Application Data\AVG7 2007-12-02 19:39 . 2007-12-02 20:35 d-------- C:\Documents and Settings\Administrateur\Application Data\AVG7 2007-12-02 19:38 . 2007-12-02 20:53 d-------- C:\Documents and Settings\All Users\Application Data\avg7 2007-12-02 08:22 . 2007-12-02 08:22 d-------- C:\Program Files\iPod 2007-12-01 11:27 . 2007-12-01 12:10 d-a------ C:\Documents and Settings\All Users\Application Data\TEMP 2007-12-01 11:27 . 2005-09-23 07:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll 2007-11-30 22:38 . 2007-12-02 20:53 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft 2007-11-30 12:16 . 2007-11-30 12:16 d-------- C:\Program Files\Microsoft SQL Server Compact Edition 2007-11-30 12:07 . 2007-12-01 12:17 d-------- C:\Program Files\Windows Live 2007-11-30 12:07 . 2007-11-30 12:12 d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller 2007-11-30 12:06 . 2007-11-30 12:06 d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller 2007-11-28 17:55 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2007-11-28 17:55 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2007-11-28 17:55 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-11-28 17:55 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2007-11-27 18:47 . 2004-08-20 00:09 110,080 --a------ C:\WINDOWS\system32\browseu.2 2007-11-27 18:47 . 2004-08-20 00:09 99,072 --a------ C:\WINDOWS\system32\browseu.dll 2007-11-27 18:47 . 2004-08-20 00:09 83,456 --a------ C:\WINDOWS\system32\browseu.1 2007-11-27 18:47 . 19,456 C:\WINDOWS\system32\drivers\ffyoffam.dat 2007-11-17 21:43 . 2007-11-17 21:43 d-------- C:\Program Files\CFWebAdvancedU_BOBTV.FR 2007-11-17 21:43 . 2007-11-17 21:43 d-------- C:\Documents and Settings\Administrateur\Application Data\CamfrogWEB 2007-11-14 23:43 . 2007-11-14 23:43 65,536 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx 2007-11-14 23:43 . 2007-11-14 23:43 49,152 --a------ C:\WINDOWS\system32\QuickTime.qts 2007-11-11 20:11 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl 2007-11-10 18:31 . 2007-11-10 18:31 d-------- C:\Documents and Settings\All Users\Application Data\Avira . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-05 14:52 --------- d-----w C:\Program Files\Fichiers communs\Adobe 2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys 2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys 2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys 2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys 2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys 2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe 2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr 2007-12-02 07:37 --------- d-----w C:\Program Files\Apple Software Update 2007-12-02 07:20 --------- d-----w C:\Program Files\QuickTime 2007-12-01 14:30 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-12-01 11:12 --------- d-----w C:\Program Files\Google 2007-11-30 21:33 --------- d-----w C:\Program Files\HighMAT CD Writing Wizard 2007-11-30 21:10 --------- d-----w C:\Program Files\Panda Security 2007-11-11 19:11 --------- d-----w C:\Program Files\Java 2007-10-18 10:31 51,224 ----a-w C:\WINDOWS\system32\sirenacm.dll 2007-10-08 17:50 --------- d-----w C:\Program Files\Macromedia 2007-08-11 06:23 24,200 -c--a-w C:\Documents and Settings\Administrateur\Application Data\GDIPFONTCACHEV1.DAT 2006-06-28 16:21 15,295,272 ----a-w C:\Program Files\Install_Messenger.exe 2006-06-19 18:39 11,290,496 ----a-w C:\Program Files\setupfre.exe 2006-06-18 14:09 2,176,928 ----a-w C:\Program Files\Windows-KB890830-V1.17.exe 2006-03-13 18:01 746,837 ----a-w C:\Program Files\setup.exe 2006-03-11 19:14 3,355,056 ----a-w C:\Program Files\VRINST.EXE 2006-01-08 15:49 178,872 ----a-w C:\Program Files\FxLodear.exe 2005-10-24 17:41 9,343,176 ----a-w C:\Program Files\Install_MSN_Messenger.EXE 2004-10-07 19:34 870,912 -c--a-w C:\Program Files\iview392.exe 2004-09-23 17:56 10,078,344 ----a-w C:\Program Files\WMEncoder.exe 2004-09-03 15:44 284 -c--a-w C:\Documents and Settings\Administrateur\Application Data\ViewerApp.dat 2004-05-18 19:49 24,491,245 ----a-w C:\Program Files\kit.exe 2000-04-19 20:00 6,995 -c--a-w C:\WINDOWS\inf\RAMDISK.SYS . ((((((((((((((((((((((((((((( snapshot@2007-12-01_11.14.59.59 ))))))))))))))))))))))))))))))))))))))))) . - 2007-11-08 15:59:01 136,704 ----a-w C:\WINDOWS\catchme.exe + 2007-11-27 02:58:11 140,288 ----a-w C:\WINDOWS\catchme.exe - 2007-12-01 10:12:26 81,920 ----a-w C:\WINDOWS\Cookies\index.dat + 2007-12-06 20:19:47 32,768 ----a-w C:\WINDOWS\Cookies\index.dat + 2007-12-02 07:23:19 102,400 ----a-r C:\WINDOWS\Installer\{4F5CE18C-D97D-48FF-A510-A0D90C918294}\iTunesIco.exe + 2007-12-02 06:56:12 27,136 ----a-r C:\WINDOWS\Installer\{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}\AppleSoftwareUpdateIco.exe + 2007-10-31 13:09:14 30,464 -c--a-w C:\WINDOWS\system32\DRVSTORE\usbaapl_4351B7DAFF62FD33510D77DFAE3CF8CC82517571\usbaapl.sys - 2007-11-23 21:17:52 132,480 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT + 2007-12-05 16:48:47 128,504 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT - 2007-04-24 10:32:06 1,485,696 ------w C:\WINDOWS\system32\LegitCheckControl.dll + 2007-10-11 13:12:48 1,468,968 ------w C:\WINDOWS\system32\LegitCheckControl.dll + 2007-07-30 18:18:34 207,736 ----a-w C:\WINDOWS\system32\muweb.dll - 2007-10-28 06:14:05 53,656 ----a-w C:\WINDOWS\system32\perfc009.dat + 2007-12-01 10:28:47 53,656 ----a-w C:\WINDOWS\system32\perfc009.dat - 2007-10-28 06:14:05 65,018 ----a-w C:\WINDOWS\system32\perfc00C.dat + 2007-12-01 10:28:47 65,018 ----a-w C:\WINDOWS\system32\perfc00C.dat - 2007-10-28 06:14:05 381,818 ----a-w C:\WINDOWS\system32\perfh009.dat + 2007-12-01 10:28:47 381,818 ----a-w C:\WINDOWS\system32\perfh009.dat - 2007-10-28 06:14:05 447,822 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2007-12-01 10:28:47 447,822 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2007-12-06 20:19:50 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_4f0.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{868413A3-2A4B-4CD3-BDDE-A8772D016337}] 2004-08-20 00:09 99072 --a------ C:\WINDOWS\system32\browseu.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09] "CTSyncU.exe"="C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe" [2006-04-28 16:08] "IncrediMail"="D:\Program Files\IncrediMail\bin\IncMail.exe" [2007-07-19 09:54] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "nwiz"="nwiz.exe" [2003-10-06 14:16 C:\WINDOWS\system32 wiz.exe] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00] "NvCplDaemon"="RUNDLL32.exe" [2004-08-20 00:10 C:\WINDOWS\system32 undll32.exe] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-11-14 23:43] "iTunesHelper"="F:\iPod Nano 4GO\iTunesHelper.exe" [2007-11-15 13:11] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09] "ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^DSLMON.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\DSLMON.lnk backup=C:\WINDOWS\pss\DSLMON.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^FotoStation Easy AutoLaunch.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\FotoStation Easy AutoLaunch.lnk backup=C:\WINDOWS\pss\FotoStation Easy AutoLaunch.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^NkvMon.exe.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\NkvMon.exe.lnk backup=C:\WINDOWS\pss\NkvMon.exe.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AltnetPointsManager] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BlockAds] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] 2004-08-20 00:09 15360 --a------ C:\WINDOWS\System32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] C:\WINDOWS\system32\dumprep 0 -k [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LDM] 2003-08-08 14:59 16384 --a--c--- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Utility] Logi_MwX.Exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck] 2001-07-09 11:50 155648 --a------ C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg wiz] nwiz.exe /install [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] SOUNDMAN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TransparentIcons] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TransTask] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tweak-XP] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\websx] C:\Program Files\websx\int147792.exe -auto [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zBrowser Launcher] 2002-11-23 01:15 631362 --a--c--- C:\Program Files\Logitech\iTouch\iTouch.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "WZCSVC"=2 (0x2) "TermService"=3 (0x3) "helpsvc"=2 (0x2) "ccEvtMgr"=2 (0x2) R0 dpmujwnh;dpmujwnh;C:\WINDOWS\system32\drivers\ffyoffam.dat R1 cdrbsvsd;cdrbsvsd;C:\WINDOWS\system32\drivers\cdrbsvsd.sys R2 nvcap;nVidia WDM Video Capture (universal);C:\WINDOWS\system32\DRIVERS vcap.sys R2 nvTUNEP;nVidia WDM TVTuner;C:\WINDOWS\system32\DRIVERS vtunep.sys R2 nvtvSND;nVidia WDM TVAudio Crossbar;C:\WINDOWS\system32\DRIVERS vtvsnd.sys R2 NVXBAR;nVidia WDM A/V Crossbar;C:\WINDOWS\system32\DRIVERS\NVxbar.sys R3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\system32\DRIVERS\fbxusb.sys S3 adiusbae;USB ADSL LAN Adapter;C:\WINDOWS\system32\DRIVERS\adiusbae.sys S3 AvFlt;Antivirus Filter Driver;C:\WINDOWS\system32\drivers\av5flt.sys [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{35e930f0-0def-11dc-a540-0007cb0000ff}] \Shell\AutoRun\command - I:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3984f970-2af7-11db-a30b-0007cb0000ff}] \Shell\Auto\command - I:\Real.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Real.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4d141164-ddfd-11db-a4b2-0007cb0000ff}] \Shell\Auto\command - I:\boot.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL boot.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a4f286d2-262d-11dc-a57e-0007cb0000ff}] \Shell\Auto\command - Real.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Real.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a4f286d3-262d-11dc-a57e-0007cb0000ff}] \Shell\Auto\command - J:\Real.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Real.exe . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2007-12-02 06:56:11 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe "2007-12-06 20:22:00 C:\WINDOWS\Tasks\Symantec NetDetect.job" - C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE . ************************************************************************** catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-06 21:20:58 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-12-06 21:23:24 - machine was rebooted C:\ComboFix2.txt ... 2007-12-06 19:52 C:\ComboFix3.txt ... 2007-12-01 11:15 . --- E O F --- ********************************************************************************************************************************* Analyse Fichier C:\WINDOWS\system32\drivers\ffyoffam.dat http://virusscan.jotti.org/de/ The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file **************************************************************************************************************************************************** SDFix: Version 1.117 Run by Administrateur on 06/12/2007 at 21:52 Microsoft Windows XP [version 5.1.2600] Running From: C:\DOCUME~1\ADMINI~1\Bureau\SDFix Safe Mode: Checking Services: Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting... Normal Mode: Checking Files: Trojan Files Found: C:\Program Files\Setup.exe - Deleted Removing Temp Files... ADS Check: C:\WINDOWS No streams found. C:\WINDOWS\system32 No streams found. C:\WINDOWS\system32\svchost.exe No streams found. C:\WINDOWS\system32 toskrnl.exe No streams found. Final Check: catchme 0.3.1262.1 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-06 22:01:24 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "D:\Program Files\IncrediMail\bin\IncMail.exe"="D:\Program Files\IncrediMail\bin\IncMail.exe:*:Enabled:IncrediMail" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] Remaining Files: --------------- File Backups: - C:\DOCUME~1\ADMINI~1\Bureau\SDFix\backups\backups.zip Files with Hidden Attributes: Sun 5 Aug 2007 27,136 ...H. --- "C:\word\~WRL0005.tmp" Thu 5 Aug 2004 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak" Thu 5 Aug 2004 4,348 ...H. --- "C:\Documents and Settings\Administrateur\Mes documents\Ma musique\Sauvegarde de la licence\drmv1key.bak" Thu 3 Aug 2006 20 A..H. --- "C:\Documents and Settings\Administrateur\Mes documents\Ma musique\Sauvegarde de la licence\drmv1lic.bak" Mon 18 Jul 2005 488 A.SH. --- "C:\Documents and Settings\Administrateur\Mes documents\Ma musique\Sauvegarde de la licence\drmv2key.bak" Finished! Désolé, j'ai été super long !!! Que penses tu de ces rapports ? a+

g!rly · Answer

re,

je pense que ca va mieux..

maintenant instale un par feu

par feu : kerio

http://www.malekal.com/kerio_firewall.php#mozTocId721480

https://www.vulgarisation-informatique.com/kerio.php

ou zone alarm plus facil a configurer mais moins performant

http://www.kachouri.com/tuto/tuto-143-zonealarm-installation-du-firewall--pare-feu.html

et regarde ceci sur avast car j´aimerais que tu le remplace par antivir pour faire un scan complet de ta machine

Antivir vs Avast :

->http://forum.malekal.com/ftopic3528.php

Telecharge et instal l'antivirus Antivir Personal Edition Classic :

->https://www.malekal.com/avira-free-security-antivirus-gratuit/

http://mickael.barroux.free.fr/securite/antivir.php <- tutoriel configuration du scanner... 

configuration du scanner + d´info :
une fois antivir ouvert click sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur
puis click sur configuration en haut a droite puis dans la nouvelle fenetre a gauche >scanner > scan all files et en dessous >scanner priority = High
toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level 

puis 

tu surf avec internet explorer 6.0 = failles de securitées importantes

alors fais les mises a jour windows : tu veux la version 7.0 

et pourquoi ne pas surfer avec firefox? = plus sur,  tout en gardant ie 7.0 pour les mises a jour windows car impossible a effectuer sous firefox

http://www.firefox.fr/ 

une fois antivir installé et configuré

redemarre en mode sans echec et effectue un scan complet de ta machine et poste le rapport ici 

Comment redémarrer en mode sans echec? 

   Tu redemarre le pc et tapote la touche F8 des le début de l allumage sans t´arrêter.
   Une fenêtre sur fond noir va s’ouvrir, tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
   capture d´ecran : http://www.coupdepoucepc.com/images_cdppc4/fichespratiques/windowsxp/modese/modese2.jpg
   Une fois sur le bureau si il n y a pas toutes les couleurs et autres c´est normal!
   Ps : si F8 ne marche pas utilise la touche F5.

@+

planetesoccer · Answer

salut,

Je vais faire les manip que tu m'as indiqué dans l'après midi. Je te tiendrais au courant sur l'évolution de mon problème.
En tous les cas, je tiens déjà à te remercier pour ton aide rapide et super bien détaillée. Un grand bravo à toi !!!!!

a+

planetesoccer · Answer

Salut g!rly, J'ai installé le Pare Feu Kerio et remplacé Avast par Antivir, comme tu me l'as proposé. J'ai ensuite effectué un scan avec Antivir en mode sans échec. Voici le rapport : AntiVir PersonalEdition Classic Report file date: vendredi 7 décembre 2007 12:25 Scanning for 963151 virus strains and unwanted programs. Licensed to: Avira AntiVir PersonalEdition Classic Serial number: 0000149996-ADJIE-0001 Platform: Windows XP Windows version: (Service Pack 2) [5.1.2600] Username: Administrateur Computer name: TOPH Version information: BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29 AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51 LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47 LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15 ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 14:26:55 ANTIVIR2.VDF : 7.0.1.30 1575424 Bytes 30/11/2007 10:50:08 ANTIVIR3.VDF : 7.0.1.57 107520 Bytes 07/12/2007 10:50:08 AVEWIN32.DLL : 7.6.0.34 3125760 Bytes 07/12/2007 10:50:08 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26 AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17 AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24 AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 08:46:00 AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06 AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18 NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42 RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13 RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37 SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21 Configuration settings for the scan: Jobname..........................: Complete system scan Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: off Scan boot sector.................: on Boot sectors.....................: F:, Scan memory......................: on Process scan.....................: on Scan registry....................: on Search for rootkits..............: off Scan all files...................: All files Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Macro heuristic..................: on File heuristic...................: medium Start of the scan: vendredi 7 décembre 2007 12:25 The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'avcenter.exe' - '1' Module(s) have been scanned Scan process 'ctfmon.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 12 processes with 12 modules were scanned Start scanning boot sectors: Boot sector 'C:\' [NOTE] No virus was found! Boot sector 'D:\' [NOTE] No virus was found! Boot sector 'E:\' [NOTE] No virus was found! Boot sector 'F:\' [NOTE] No virus was found! Starting to scan the registry. The registry was scanned ( '34' files ). Starting the file scan: Begin scan in 'C:\' C:\pagefile.sys [WARNING] The file could not be opened! C:\Documents and Settings\Administrateur\.housecall\Quarantine\e[1].exe.bac_a03428 [DETECTION] Is the Trojan horse TR/Agent.aox [INFO] The file was moved to '478a2e21.qua'! C:\Documents and Settings\Administrateur\.housecall6.6\Quarantine\e[1].exe.bac_a03428 [DETECTION] Is the Trojan horse TR/Agent.aox [INFO] The file was moved to '478a2e2a.qua'! C:\WINDOWS\system32\browseu.1 [DETECTION] Is the Trojan horse TR/Spy.BZub.NGP.3 [INFO] The file was moved to '47c83c95.qua'! C:\WINDOWS\system32\browseu.dll [DETECTION] Is the Trojan horse TR/BHO.abo.19 [WARNING] An error has occurred and the file was not deleted. ErrorID: 16003 [WARNING] The file could not be deleted! Begin scan in 'D:\' Begin scan in 'E:\' Begin scan in 'F:\' End of the scan: vendredi 7 décembre 2007 14:15 Used time: 1:50:25 min The scan has been done completely. 8991 Scanning directories 381264 Files were scanned 4 viruses and/or unwanted programs were found 0 Files were classified as suspicious: 0 files were deleted 0 files were repaired 3 files were moved to quarantine 0 files were renamed 1 Files cannot be scanned 381260 Files not concerned 6131 Archives were scanned 7 Warnings 20 Notes Par contre, je suis toujours redirigé vers search daily lorsque je fais une recherche google. Qu'en penses tu ? a+

g!rly · Answer

salut planet soccer

refais un combofix et post le rapport ici stp

@+

planetesoccer · Answer

re, J'ai l'impression que je ne suis plus redirigé vers search daily lorsque je fais une recherche google !!!!! Voici le rapport combofix. ComboFix 07-12-02.6 - Administrateur 2007-12-07 16:28:55.5 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.115 [GMT 1:00] Running from: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe . ((((((((((((((((((((((((((((( Fichiers créés 2007-11-07 to 2007-12-07 )))))))))))))))))))))))))))))))))))) . 2007-12-07 11:48 . 2007-12-07 11:48 d-------- C:\Program Files\Avira 2007-12-06 21:51 . 2007-12-06 21:52 d-------- C:\WINDOWS\ERUNT 2007-12-06 21:48 . 2007-12-07 14:44 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2007-12-06 21:48 . 2007-12-06 21:48 1,409 --a------ C:\WINDOWS\QTFont.for 2007-12-06 17:49 . 2007-12-06 17:49 396,288 --a------ C:\HijackThis.exe 2007-12-02 20:47 . 2007-12-02 20:49 8,646,776 --a------ C:\Program Files\Windows-KB890830-V1.35.exe 2007-12-02 19:46 . 2007-12-02 19:46 d-------- C:\Documents and Settings\LocalService\Application Data\AVG7 2007-12-02 19:39 . 2007-12-02 20:35 d-------- C:\Documents and Settings\Administrateur\Application Data\AVG7 2007-12-02 19:38 . 2007-12-02 20:53 d-------- C:\Documents and Settings\All Users\Application Data\avg7 2007-12-02 08:22 . 2007-12-02 08:22 d-------- C:\Program Files\iPod 2007-12-01 11:27 . 2007-12-01 12:10 d-a------ C:\Documents and Settings\All Users\Application Data\TEMP 2007-12-01 11:27 . 2005-09-23 07:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll 2007-11-30 22:38 . 2007-12-02 20:53 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft 2007-11-30 12:16 . 2007-11-30 12:16 d-------- C:\Program Files\Microsoft SQL Server Compact Edition 2007-11-30 12:07 . 2007-12-01 12:17 d-------- C:\Program Files\Windows Live 2007-11-30 12:07 . 2007-11-30 12:12 d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller 2007-11-30 12:06 . 2007-11-30 12:06 d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller 2007-11-28 17:55 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2007-11-28 17:55 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2007-11-28 17:55 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-11-28 17:55 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2007-11-27 18:47 . 2004-08-20 00:09 110,080 --a------ C:\WINDOWS\system32\browseu.2 2007-11-27 18:47 . 2004-08-20 00:09 99,072 --a------ C:\WINDOWS\system32\browseu.dll 2007-11-27 18:47 . 19,456 C:\WINDOWS\system32\drivers\ffyoffam.dat 2007-11-17 21:43 . 2007-11-17 21:43 d-------- C:\Program Files\CFWebAdvancedU_BOBTV.FR 2007-11-17 21:43 . 2007-11-17 21:43 d-------- C:\Documents and Settings\Administrateur\Application Data\CamfrogWEB 2007-11-14 23:43 . 2007-11-14 23:43 65,536 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx 2007-11-14 23:43 . 2007-11-14 23:43 49,152 --a------ C:\WINDOWS\system32\QuickTime.qts 2007-11-11 20:11 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl 2007-11-10 18:31 . 2007-11-10 18:31 d-------- C:\Documents and Settings\All Users\Application Data\Avira . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-05 14:52 --------- d-----w C:\Program Files\Fichiers communs\Adobe 2007-12-02 07:37 --------- d-----w C:\Program Files\Apple Software Update 2007-12-02 07:20 --------- d-----w C:\Program Files\QuickTime 2007-12-01 14:30 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-12-01 11:12 --------- d-----w C:\Program Files\Google 2007-11-30 21:33 --------- d-----w C:\Program Files\HighMAT CD Writing Wizard 2007-11-30 21:10 --------- d-----w C:\Program Files\Panda Security 2007-11-11 19:11 --------- d-----w C:\Program Files\Java 2007-10-18 10:31 51,224 ----a-w C:\WINDOWS\system32\sirenacm.dll 2007-10-08 17:50 --------- d-----w C:\Program Files\Macromedia 2007-08-11 06:23 24,200 -c--a-w C:\Documents and Settings\Administrateur\Application Data\GDIPFONTCACHEV1.DAT 2006-06-28 16:21 15,295,272 ----a-w C:\Program Files\Install_Messenger.exe 2006-06-19 18:39 11,290,496 ----a-w C:\Program Files\setupfre.exe 2006-06-18 14:09 2,176,928 ----a-w C:\Program Files\Windows-KB890830-V1.17.exe 2006-03-11 19:14 3,355,056 ----a-w C:\Program Files\VRINST.EXE 2006-01-08 15:49 178,872 ----a-w C:\Program Files\FxLodear.exe 2005-10-24 17:41 9,343,176 ----a-w C:\Program Files\Install_MSN_Messenger.EXE 2004-10-07 19:34 870,912 -c--a-w C:\Program Files\iview392.exe 2004-09-23 17:56 10,078,344 ----a-w C:\Program Files\WMEncoder.exe 2004-09-03 15:44 284 -c--a-w C:\Documents and Settings\Administrateur\Application Data\ViewerApp.dat 2004-05-18 19:49 24,491,245 ----a-w C:\Program Files\kit.exe 2000-04-19 20:00 6,995 -c--a-w C:\WINDOWS\inf\RAMDISK.SYS . ((((((((((((((((((((((((((((( snapshot@2007-12-01_11.14.59.59 ))))))))))))))))))))))))))))))))))))))))) . - 2007-11-08 15:59:01 136,704 ----a-w C:\WINDOWS\catchme.exe + 2007-11-27 02:58:11 140,288 ----a-w C:\WINDOWS\catchme.exe - 2007-12-01 10:12:26 81,920 ----a-w C:\WINDOWS\Cookies\index.dat + 2007-12-07 15:13:14 49,152 ----a-w C:\WINDOWS\Cookies\index.dat + 2007-12-05 19:19:42 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE + 2007-12-06 20:52:20 11,534,336 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\ntuser.dat + 2007-12-06 20:52:20 212,992 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat + 2007-12-05 19:19:42 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE + 2007-12-06 20:52:05 11,534,336 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000001\ntuser.dat + 2007-12-06 20:52:05 212,992 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000002\UsrClass.dat + 2007-12-02 07:23:19 102,400 ----a-r C:\WINDOWS\Installer\{4F5CE18C-D97D-48FF-A510-A0D90C918294}\iTunesIco.exe + 2007-12-02 06:56:12 27,136 ----a-r C:\WINDOWS\Installer\{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}\AppleSoftwareUpdateIco.exe + 2007-08-09 12:04:11 40,768 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys + 2007-07-18 13:22:19 21,312 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys + 2007-12-07 10:50:08 61,632 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys + 2004-04-15 10:02:56 147,456 ----a-w C:\WINDOWS\system32\drivers\fwdrv.sys + 2007-03-01 09:34:36 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys + 2007-10-31 13:09:14 30,464 -c--a-w C:\WINDOWS\system32\DRVSTORE\usbaapl_4351B7DAFF62FD33510D77DFAE3CF8CC82517571\usbaapl.sys - 2007-11-23 21:17:52 132,480 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT + 2007-12-05 16:48:47 128,504 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT - 2007-04-24 10:32:06 1,485,696 ------w C:\WINDOWS\system32\LegitCheckControl.dll + 2007-10-11 13:12:48 1,468,968 ------w C:\WINDOWS\system32\LegitCheckControl.dll + 2007-07-30 18:18:34 207,736 ----a-w C:\WINDOWS\system32\muweb.dll - 2007-10-28 06:14:05 53,656 ----a-w C:\WINDOWS\system32\perfc009.dat + 2007-12-01 10:28:47 53,656 ----a-w C:\WINDOWS\system32\perfc009.dat - 2007-10-28 06:14:05 65,018 ----a-w C:\WINDOWS\system32\perfc00C.dat + 2007-12-01 10:28:47 65,018 ----a-w C:\WINDOWS\system32\perfc00C.dat - 2007-10-28 06:14:05 381,818 ----a-w C:\WINDOWS\system32\perfh009.dat + 2007-12-01 10:28:47 381,818 ----a-w C:\WINDOWS\system32\perfh009.dat - 2007-10-28 06:14:05 447,822 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2007-12-01 10:28:47 447,822 ----a-w C:\WINDOWS\system32\perfh00C.dat . -- Snapshot reset to current date -- . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{868413A3-2A4B-4CD3-BDDE-A8772D016337}] 2004-08-20 00:09 99072 --a------ C:\WINDOWS\system32\browseu.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09] "CTSyncU.exe"="C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe" [2006-04-28 16:08] "IncrediMail"="D:\Program Files\IncrediMail\bin\IncMail.exe" [2007-07-19 09:54] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "nwiz"="nwiz.exe" [2003-10-06 14:16 C:\WINDOWS\system32\nwiz.exe] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11] "NvCplDaemon"="RUNDLL32.exe" [2004-08-20 00:10 C:\WINDOWS\system32\rundll32.exe] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-11-14 23:43] "iTunesHelper"="F:\iPod Nano 4GO\iTunesHelper.exe" [2007-11-15 13:11] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-07 11:50] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09] "ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" [] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ BTTray.lnk - C:\Program Files\Belkin\Logiciel Bluetooth\BTTray.exe [2005-08-24 13:06:54] Lancement rapide d'Adobe Reader.lnk - D:\Reader\reader_sl.exe [2004-12-14 03:44:06] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ BTTray.lnk - C:\Program Files\Belkin\Logiciel Bluetooth\BTTray.exe [2005-08-24 13:06:54] Lancement rapide d'Adobe Reader.lnk - D:\Reader\reader_sl.exe [2004-12-14 03:44:06] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^DSLMON.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\DSLMON.lnk backup=C:\WINDOWS\pss\DSLMON.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^FotoStation Easy AutoLaunch.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\FotoStation Easy AutoLaunch.lnk backup=C:\WINDOWS\pss\FotoStation Easy AutoLaunch.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^NkvMon.exe.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\NkvMon.exe.lnk backup=C:\WINDOWS\pss\NkvMon.exe.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AltnetPointsManager] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BlockAds] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] 2004-08-20 00:09 15360 --a------ C:\WINDOWS\System32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] C:\WINDOWS\system32\dumprep 0 -k [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LDM] 2003-08-08 14:59 16384 --a--c--- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Utility] Logi_MwX.Exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck] 2001-07-09 11:50 155648 --a------ C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] nwiz.exe /install [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] SOUNDMAN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TransparentIcons] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TransTask] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tweak-XP] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\websx] C:\Program Files\websx\int147792.exe -auto [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zBrowser Launcher] 2002-11-23 01:15 631362 --a--c--- C:\Program Files\Logitech\iTouch\iTouch.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "WZCSVC"=2 (0x2) "TermService"=3 (0x3) "helpsvc"=2 (0x2) "ccEvtMgr"=2 (0x2) R0 dpmujwnh;dpmujwnh;C:\WINDOWS\system32\drivers\ffyoffam.dat R1 cdrbsvsd;cdrbsvsd;C:\WINDOWS\system32\drivers\cdrbsvsd.sys R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys R2 nvcap;nVidia WDM Video Capture (universal);C:\WINDOWS\system32\DRIVERS\nvcap.sys R2 nvTUNEP;nVidia WDM TVTuner;C:\WINDOWS\system32\DRIVERS\nvtunep.sys R2 nvtvSND;nVidia WDM TVAudio Crossbar;C:\WINDOWS\system32\DRIVERS\nvtvsnd.sys R2 NVXBAR;nVidia WDM A/V Crossbar;C:\WINDOWS\system32\DRIVERS\NVxbar.sys R3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\system32\DRIVERS\fbxusb.sys S3 adiusbae;USB ADSL LAN Adapter;C:\WINDOWS\system32\DRIVERS\adiusbae.sys S3 AvFlt;Antivirus Filter Driver;C:\WINDOWS\system32\drivers\av5flt.sys [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{35e930f0-0def-11dc-a540-0007cb0000ff}] \Shell\AutoRun\command - I:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3984f970-2af7-11db-a30b-0007cb0000ff}] \Shell\Auto\command - I:\Real.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Real.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4d141164-ddfd-11db-a4b2-0007cb0000ff}] \Shell\Auto\command - I:\boot.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL boot.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a4f286d2-262d-11dc-a57e-0007cb0000ff}] \Shell\Auto\command - Real.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Real.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a4f286d3-262d-11dc-a57e-0007cb0000ff}] \Shell\Auto\command - J:\Real.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Real.exe . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2007-12-02 06:56:11 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe "2007-12-07 15:32:00 C:\WINDOWS\Tasks\Symantec NetDetect.job" . ************************************************************************** catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-07 16:32:34 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-12-07 16:34:10 C:\ComboFix2.txt ... 2007-12-06 22:27 C:\ComboFix3.txt ... 2007-12-06 21:23 . --- E O F --- Je pense que mon PC va mieux maintenant, grace à toi !! Merci mille fois !!!!!!!!!! Par contre, et sans vouloir abuser, peux tu m'indiquer la manip pour remédier au pb suivant : lorsque je tente de me connecter à internet, antivir me demande à chaque fois si j'autorise la connexion. J'ai regardé au niveau de la config antivir, mais je vois pas trop ce qu'il faut faire. a+

g!rly · Answer

re,

il y a encore des infections mais j´aurais besoin de plus d´infos sur quelques fichiers

fais analyser ceci :

C:\WINDOWS\system32\drivers\ffyoffam.dat
C:\WINDOWS\system32\WS2Fix.exe

ici et post le resultat stp

http://virusscan.jotti.org/de/

planetesoccer · Answer

re,

je sais pas si j'ai bien opéré, voici le rapport :

Datei:  WS2Fix.exe  
Auslastung:  0%        100%  
 
Status:  EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)  
Entdeckte Packprogramme:  PE_PATCH.UPX, UPX 
Bit9 rapportiert:  Not analyzed yet (more info)  
   
A-Squared  Keine Viren gefunden 
AntiVir  Keine Viren gefunden 
ArcaVir  Keine Viren gefunden 
Avast  Keine Viren gefunden 
AVG Antivirus  Keine Viren gefunden 
BitDefender  Keine Viren gefunden 
ClamAV  Keine Viren gefunden 
CPsecure  Keine Viren gefunden 
Dr.Web  Keine Viren gefunden 
F-Prot Antivirus  Keine Viren gefunden 
F-Secure Anti-Virus  Keine Viren gefunden 
Fortinet  Keine Viren gefunden 
Ikarus  Keine Viren gefunden 
Kaspersky Anti-Virus  Keine Viren gefunden 
NOD32  Keine Viren gefunden 
Norman Virus Control  Keine Viren gefunden 
Panda Antivirus  Keine Viren gefunden 
Rising Antivirus  Keine Viren gefunden 
Sophos Antivirus  Keine Viren gefunden 
VirusBuster  Keine Viren gefunden 
VBA32  Keine Viren gefunden 


C:\WINDOWS\system32\drivers\ffyoffam.dat
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file


Par contre, je vais devoir m'absenter jusqu'à 22 h. Dis moi ce que tu penses de ce rapport et si j'ai des nouvelles manip à faire, je les ferai en rentrant ce soir. Merci d'avance !!!
a+

g!rly · Answer

re,

merci pour les analyses ;-)

Copie le texte ci-dessous :

File::
C:\WINDOWS\QTFont.qfn
C:\WINDOWS\QTFont.for
C:\WINDOWS\system32\browseu.2
C:\WINDOWS\system32\browseu.dll
C:\WINDOWS\system32\drivers\ffyoffam.dat
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Program Files\websx\int147792.exe
I:\boot.exe
I:\Real.exe
J:\Real.exe

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{868413A3-2A4B-4CD3-BDDE-A8772D016337}]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AltnetPointsManager]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\P2P Networking]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\websx]

Driver::
dpmujwnh



Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix, 


Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

-1 Avec J et I branché 

ouvre le bloc note et copie colle les commandes ci dessous :

@echo on
taskkill /im explorer.exe /f
taskkill /im wscript.exe
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f
start reg import kill.reg
del c:\autorun.* /f /q /as
del %SYSTEMROOT%\system32\autorun.* /f /q /as
del d:\autorun.* /f /q /as
del e:\autorun.* /f /q /as
del f:\autorun.* /f /q /as
del g:\autorun.* /f /q /as
del h:\autorun.* /f /q /as
del i:\autorun.* /f /q /as
del j:\autorun.* /f /q /as
del k:\autorun.* /f /q /as
del l:\autorun.* /f /q /as
start explorer.exe

ferme le bloc et enregistre le sur le bureau sous le nom de kill_autorun_vbs.bat

va sur le bureau et double clik sur kill_autorun_vbs.bat et laisse le faire son boulot

2- Débranche ensuite le disque externe F , et télécharge ensuite l'outil Flash_Disinfector de sUBs:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Utilisation :
Téléchargez et enregistrez Flash_Disinfector.exe sur votre bureau.
Double cliquez sur Flash_Disinfector.exe pour le lancer.
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra :
Connectez votre clé USB et périphériques USB externes susceptibles d'avoir été infectés. I J
Puis cliquez sur Ok
Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: "Done!!"
Appuyez sur "Ok", pour faire réapparaitre le bureau.

Redémarre le PC
S'il y a des observations rapporte-les.

et post le rapport de combofix4.txt

@+

planetesoccer · Answer

re, ComboFix 07-12-02.6 - Administrateur 2007-12-07 21:30:53.6 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.94 [GMT 1:00] Running from: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt * Created a new restore point FILE C:\Program Files\websx\int147792.exe C:\WINDOWS\QTFont.for C:\WINDOWS\QTFont.qfn C:\WINDOWS\system32\browseu.2 C:\WINDOWS\system32\browseu.dll C:\WINDOWS\system32\drivers\ffyoffam.dat C:\WINDOWS\System32\P2P Networking\P2P Networking.exe I:\boot.exe I:\Real.exe J:\Real.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\QTFont.for C:\WINDOWS\QTFont.qfn C:\WINDOWS\system32\browseu.2 C:\WINDOWS\system32\browseu.dll C:\WINDOWS\system32\drivers\ffyoffam.dat . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_DPMUJWNH -------\dpmujwnh ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-07 to 2007-12-07 )))))))))))))))))))))))))))))))))))) . 2007-12-07 11:48 . 2007-12-07 11:48 d-------- C:\Program Files\Avira 2007-12-06 21:51 . 2007-12-06 21:52 d-------- C:\WINDOWS\ERUNT 2007-12-06 17:49 . 2007-12-06 17:49 396,288 --a------ C:\HijackThis.exe 2007-12-02 20:47 . 2007-12-02 20:49 8,646,776 --a------ C:\Program Files\Windows-KB890830-V1.35.exe 2007-12-02 19:46 . 2007-12-02 19:46 d-------- C:\Documents and Settings\LocalService\Application Data\AVG7 2007-12-02 19:39 . 2007-12-02 20:35 d-------- C:\Documents and Settings\Administrateur\Application Data\AVG7 2007-12-02 19:38 . 2007-12-02 20:53 d-------- C:\Documents and Settings\All Users\Application Data\avg7 2007-12-02 08:22 . 2007-12-02 08:22 d-------- C:\Program Files\iPod 2007-12-01 11:27 . 2007-12-01 12:10 d-a------ C:\Documents and Settings\All Users\Application Data\TEMP 2007-12-01 11:27 . 2005-09-23 07:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll 2007-11-30 22:38 . 2007-12-02 20:53 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft 2007-11-30 12:16 . 2007-11-30 12:16 d-------- C:\Program Files\Microsoft SQL Server Compact Edition 2007-11-30 12:07 . 2007-12-01 12:17 d-------- C:\Program Files\Windows Live 2007-11-30 12:07 . 2007-11-30 12:12 d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller 2007-11-30 12:06 . 2007-11-30 12:06 d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller 2007-11-28 17:55 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2007-11-28 17:55 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2007-11-28 17:55 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-11-28 17:55 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2007-11-17 21:43 . 2007-11-17 21:43 d-------- C:\Program Files\CFWebAdvancedU_BOBTV.FR 2007-11-17 21:43 . 2007-11-17 21:43 d-------- C:\Documents and Settings\Administrateur\Application Data\CamfrogWEB 2007-11-14 23:43 . 2007-11-14 23:43 65,536 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx 2007-11-14 23:43 . 2007-11-14 23:43 49,152 --a------ C:\WINDOWS\system32\QuickTime.qts 2007-11-11 20:11 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl 2007-11-10 18:31 . 2007-11-10 18:31 d-------- C:\Documents and Settings\All Users\Application Data\Avira . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-05 14:52 --------- d-----w C:\Program Files\Fichiers communs\Adobe 2007-12-02 07:37 --------- d-----w C:\Program Files\Apple Software Update 2007-12-02 07:20 --------- d-----w C:\Program Files\QuickTime 2007-12-01 14:30 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-12-01 11:12 --------- d-----w C:\Program Files\Google 2007-11-30 21:33 --------- d-----w C:\Program Files\HighMAT CD Writing Wizard 2007-11-30 21:10 --------- d-----w C:\Program Files\Panda Security 2007-11-11 19:11 --------- d-----w C:\Program Files\Java 2007-10-18 10:31 51,224 ----a-w C:\WINDOWS\system32\sirenacm.dll 2007-10-08 17:50 --------- d-----w C:\Program Files\Macromedia 2007-08-11 06:23 24,200 -c--a-w C:\Documents and Settings\Administrateur\Application Data\GDIPFONTCACHEV1.DAT 2006-06-28 16:21 15,295,272 ----a-w C:\Program Files\Install_Messenger.exe 2006-06-19 18:39 11,290,496 ----a-w C:\Program Files\setupfre.exe 2006-06-18 14:09 2,176,928 ----a-w C:\Program Files\Windows-KB890830-V1.17.exe 2006-03-11 19:14 3,355,056 ----a-w C:\Program Files\VRINST.EXE 2006-01-08 15:49 178,872 ----a-w C:\Program Files\FxLodear.exe 2005-10-24 17:41 9,343,176 ----a-w C:\Program Files\Install_MSN_Messenger.EXE 2004-10-07 19:34 870,912 -c--a-w C:\Program Files\iview392.exe 2004-09-23 17:56 10,078,344 ----a-w C:\Program Files\WMEncoder.exe 2004-09-03 15:44 284 -c--a-w C:\Documents and Settings\Administrateur\Application Data\ViewerApp.dat 2004-05-18 19:49 24,491,245 ----a-w C:\Program Files\kit.exe 2000-04-19 20:00 6,995 -c--a-w C:\WINDOWS\inf\RAMDISK.SYS . ((((((((((((((((((((((((((((( snapshot_2007-12-07_16.32.51,96 ))))))))))))))))))))))))))))))))))))))))) . - 2007-12-07 15:13:14 49,152 ----a-w C:\WINDOWS\Cookies\index.dat + 2007-12-07 20:44:18 49,152 ----a-w C:\WINDOWS\Cookies\index.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09] "CTSyncU.exe"="C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe" [2006-04-28 16:08] "IncrediMail"="D:\Program Files\IncrediMail\bin\IncMail.exe" [2007-07-19 09:54] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "nwiz"="nwiz.exe" [2003-10-06 14:16 C:\WINDOWS\system32 wiz.exe] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11] "NvCplDaemon"="RUNDLL32.exe" [2004-08-20 00:10 C:\WINDOWS\system32 undll32.exe] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-11-14 23:43] "iTunesHelper"="F:\iPod Nano 4GO\iTunesHelper.exe" [2007-11-15 13:11] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-07 11:50] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09] "ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" [] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^DSLMON.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\DSLMON.lnk backup=C:\WINDOWS\pss\DSLMON.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^FotoStation Easy AutoLaunch.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\FotoStation Easy AutoLaunch.lnk backup=C:\WINDOWS\pss\FotoStation Easy AutoLaunch.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^NkvMon.exe.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\NkvMon.exe.lnk backup=C:\WINDOWS\pss\NkvMon.exe.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BlockAds] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] 2004-08-20 00:09 15360 --a------ C:\WINDOWS\System32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] C:\WINDOWS\system32\dumprep 0 -k [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LDM] 2003-08-08 14:59 16384 --a--c--- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Utility] Logi_MwX.Exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck] 2001-07-09 11:50 155648 --a------ C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg wiz] nwiz.exe /install [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] SOUNDMAN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TransparentIcons] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TransTask] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tweak-XP] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zBrowser Launcher] 2002-11-23 01:15 631362 --a--c--- C:\Program Files\Logitech\iTouch\iTouch.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "WZCSVC"=2 (0x2) "TermService"=3 (0x3) "helpsvc"=2 (0x2) "ccEvtMgr"=2 (0x2) R1 cdrbsvsd;cdrbsvsd;C:\WINDOWS\system32\drivers\cdrbsvsd.sys R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys R2 nvcap;nVidia WDM Video Capture (universal);C:\WINDOWS\system32\DRIVERS vcap.sys R2 nvTUNEP;nVidia WDM TVTuner;C:\WINDOWS\system32\DRIVERS vtunep.sys R2 nvtvSND;nVidia WDM TVAudio Crossbar;C:\WINDOWS\system32\DRIVERS vtvsnd.sys R2 NVXBAR;nVidia WDM A/V Crossbar;C:\WINDOWS\system32\DRIVERS\NVxbar.sys R3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\system32\DRIVERS\fbxusb.sys S3 adiusbae;USB ADSL LAN Adapter;C:\WINDOWS\system32\DRIVERS\adiusbae.sys S3 AvFlt;Antivirus Filter Driver;C:\WINDOWS\system32\drivers\av5flt.sys [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{35e930f0-0def-11dc-a540-0007cb0000ff}] \Shell\AutoRun\command - I:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3984f970-2af7-11db-a30b-0007cb0000ff}] \Shell\Auto\command - I:\Real.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Real.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4d141164-ddfd-11db-a4b2-0007cb0000ff}] \Shell\Auto\command - I:\boot.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL boot.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a4f286d2-262d-11dc-a57e-0007cb0000ff}] \Shell\Auto\command - Real.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Real.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a4f286d3-262d-11dc-a57e-0007cb0000ff}] \Shell\Auto\command - J:\Real.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Real.exe . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2007-12-02 06:56:11 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe "2007-12-07 20:42:15 C:\WINDOWS\Tasks\At1.job" "2007-12-07 20:44:22 C:\WINDOWS\Tasks\Symantec NetDetect.job" - C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE . ************************************************************************** catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-07 21:45:05 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-12-07 21:46:57 - machine was rebooted C:\ComboFix2.txt ... 2007-12-07 16:34 C:\ComboFix3.txt ... 2007-12-06 22:27 . --- E O F --- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:00:34, on 07/12/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe D:\Personal Firewall 4\kpf4ss.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32 vsvc32.exe C:\WINDOWS\System32\svchost.exe D:\Personal Firewall 4\kpf4gui.exe D:\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\system32 undll32.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe F:\iPod Nano 4GO\iTunesHelper.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe C:\Program Files\Belkin\Logiciel Bluetooth\BTTray.exe D:\Reader eader_sl.exe D:\Reader eader_sl.exe D:\PROGRA~1\INCRED~1\bin\ImApp.exe C:\WINDOWS\system32 otepad.exe C:\Program Files\iPod\bin\iPodService.exe D:\PROGRA~1\INCRED~1\bin\IncMail.exe C:\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "F:\iPod Nano 4GO\iTunesHelper.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe" O4 - HKCU\..\Run: [IncrediMail] D:\Program Files\IncrediMail\bin\IncMail.exe /c O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: BTTray.lnk = ? O4 - Startup: Lancement rapide d'Adobe Reader.lnk = D:\Reader eader_sl.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\Reader eader_sl.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie_ctx.htm O14 - IERESET.INF: START_PAGE_URL=https://fr.creative.com/ O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/... O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/... O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} (CamfrogWEB Advanced Unicode Control) - https://www.bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - D:\Personal Firewall 4\kpf4ss.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32 vsvc32.exe

g!rly · Answer

fais ceci :

Démarrer > Exécuter puis tape cmd et valide.

Dans la fenêtre de l'invite copie et colle ces lignes de commandes une après l'autre en validant à chaque fois avec [entrée] avant de copier/coller la suivante :

RD \.\C:\autorun.inf /Q /S

RD \.\I:\autorun.inf /Q /S

RD \.\J:\autorun.inf /Q /S

puis

Ouvre le bloc notes (Démarrer >> exécuter et tape notepad), et copie tout ce qui est en bleu ci-dessous: 

@ echo off

if exist \PLANETSOCCER.TXT del \PLANETSOCCER.TXT
FOR %%A in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO IF EXIST %%A: (
IF EXIST %%A:\autorun.inf ECHO %%A:\autorun.inf Présent>>\PLANETSOCCER.TXT
IF NOT EXIST %%A:\autorun.inf ECHO %%A:\autorun.inf Non trouvé>>\PLANETSOCCER.TXT
IF EXIST %%A:\MS32DLL.dll.vbs ECHO %%A:\MS32DLL.dll.vbs Présent>>\PLANETSOCCER.TXT
IF NOT EXIST %%A:\MS32DLL.dll.vbs ECHO %%A:\MS32DLL.dll.vbs Non trouvé>>\PLANETSOCCER.TXT
)
IF EXIST %WINDIR%\MS32DLL.dll.vbs (
ECHO %WINDIR%\MS32DLL.dll.vbs Présent>>\PLANETSOCCER.TXT) else (
ECHO %WINDIR%\MS32DLL.dll.vbs non trouvé >>\PLANETSOCCER.TXT)
REG QUERY "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" >>\PLANETSOCCER.TXT
REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" >>\PLANETSOCCER.TXT
notepad \PLANETSOCCER.TXT
exit

Dans le menu du bloc notes, clic sur "Fichier" >> Enregistrer sous.
Choisis le bureau comme lieu d'enregistrement, puis dans:

Type -> choisis "tous les fichiers"
Nom du fichier -> tape PLANETSOCCER.bat
clic sur enregistrer.

Sur ton bureau tu auras maintenant un fichier nommé PLANETSOCCER.bat.

Connecte les périphériques externes susceptibles d'avoir été infectés au pc: I J
Clé USB, DD externe... etc

Puis une fois fait, double clic sur le fichier PLANETSOCCER.bat.
Une fenêtre noire va s'ouvrir et se refermer rapidement, c'est normal.
Le bloc note va s'ouvrir ensuite avec le listing des fichiers que le script aura détecté.
Copie et colle ici le contenu de ce rapport. 

@+

planetesoccer · Answer

voici le rapport
C:\autorun.inf Non trouvé
C:\MS32DLL.dll.vbs Non trouvé
D:\autorun.inf Présent
D:\MS32DLL.dll.vbs Non trouvé
E:\autorun.inf Présent
E:\MS32DLL.dll.vbs Non trouvé
F:\autorun.inf Présent
F:\MS32DLL.dll.vbs Non trouvé
I:\autorun.inf Non trouvé
I:\MS32DLL.dll.vbs Non trouvé
C:\WINDOWS\MS32DLL.dll.vbs non trouvé 

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    nwiz	REG_SZ	nwiz.exe /install
    SunJavaUpdateSched	REG_SZ	"C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    NvCplDaemon	REG_SZ	RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    QuickTime Task	REG_SZ	"C:\Program Files\QuickTime\qttask.exe" -atboottime
    iTunesHelper	REG_SZ	"F:\iPod Nano 4GO\iTunesHelper.exe"
    avgnt	REG_SZ	"C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    ctfmon.exe	REG_SZ	C:\WINDOWS\system32\ctfmon.exe
    CTSyncU.exe	REG_SZ	"C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
    IncrediMail	REG_SZ	D:\Program Files\IncrediMail\bin\IncMail.exe /c

g!rly · Answer

ok  c´est bon

je reviendrais demain pour la suite

bonne nuit

@+

g!rly · Answer

salut planet soccer 

recomence ceci :

fais ceci :

Démarrer > Exécuter puis tape cmd et valide.

Dans la fenêtre de l'invite copie et colle ces lignes de commandes une après l'autre en validant à chaque fois avec [entrée] avant de copier/coller la suivante :

RD \.\D:\autorun.inf /Q /S

RD \.\E:\autorun.inf /Q /S

RD \.\F:\autorun.inf /Q /S

puis

Ouvre le bloc notes (Démarrer >> exécuter et tape notepad), et copie tout ce qui est en bleu ci-dessous:

@ echo off

if exist \PLANETSOCCER.TXT del \PLANETSOCCER.TXT
FOR %%A in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO IF EXIST %%A: (
IF EXIST %%A:\autorun.inf ECHO %%A:\autorun.inf Présent>>\PLANETSOCCER.TXT
IF NOT EXIST %%A:\autorun.inf ECHO %%A:\autorun.inf Non trouvé>>\PLANETSOCCER.TXT
IF EXIST %%A:\MS32DLL.dll.vbs ECHO %%A:\MS32DLL.dll.vbs Présent>>\PLANETSOCCER.TXT
IF NOT EXIST %%A:\MS32DLL.dll.vbs ECHO %%A:\MS32DLL.dll.vbs Non trouvé>>\PLANETSOCCER.TXT
)
IF EXIST %WINDIR%\MS32DLL.dll.vbs (
ECHO %WINDIR%\MS32DLL.dll.vbs Présent>>\PLANETSOCCER.TXT) else (
ECHO %WINDIR%\MS32DLL.dll.vbs non trouvé >>\PLANETSOCCER.TXT)
REG QUERY "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" >>\PLANETSOCCER.TXT
REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" >>\PLANETSOCCER.TXT
notepad \PLANETSOCCER.TXT
exit

Dans le menu du bloc notes, clic sur "Fichier" >> Enregistrer sous.
Choisis le bureau comme lieu d'enregistrement, puis dans:

Type -> choisis "tous les fichiers"
Nom du fichier -> tape PLANETSOCCER.bat
clic sur enregistrer.

Sur ton bureau tu auras maintenant un fichier nommé PLANETSOCCER.bat.

Connecte les périphériques externes susceptibles d'avoir été infectés au pc: I J
Clé USB, DD externe... etc

Puis une fois fait, double clic sur le fichier PLANETSOCCER.bat.
Une fenêtre noire va s'ouvrir et se refermer rapidement, c'est normal.
Le bloc note va s'ouvrir ensuite avec le listing des fichiers que le script aura détecté.
Copie et colle ici le contenu de ce rapport.

@+

planetesoccer · Answer

Salut g!rly,

Voici le rapport :
C:\autorun.inf Non trouvé
C:\MS32DLL.dll.vbs Non trouvé
D:\autorun.inf Non trouvé
D:\MS32DLL.dll.vbs Non trouvé
E:\autorun.inf Non trouvé
E:\MS32DLL.dll.vbs Non trouvé
F:\autorun.inf Non trouvé
F:\MS32DLL.dll.vbs Non trouvé
I:\autorun.inf Présent
I:\MS32DLL.dll.vbs Non trouvé
J:\autorun.inf Non trouvé
J:\MS32DLL.dll.vbs Non trouvé
C:\WINDOWS\MS32DLL.dll.vbs non trouvé 

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    nwiz	REG_SZ	nwiz.exe /install
    SunJavaUpdateSched	REG_SZ	"C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    NvCplDaemon	REG_SZ	RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    QuickTime Task	REG_SZ	"C:\Program Files\QuickTime\qttask.exe" -atboottime
    iTunesHelper	REG_SZ	"F:\iPod Nano 4GO\iTunesHelper.exe"
    avgnt	REG_SZ	"C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    ctfmon.exe	REG_SZ	C:\WINDOWS\system32\ctfmon.exe
    CTSyncU.exe	REG_SZ	"C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
    IncrediMail	REG_SZ	D:\Program Files\IncrediMail\bin\IncMail.exe /c

Qu'en penses tu ?
@+

g!rly · Answer

salut planet soccer,

je pensse qu´on l´a eu ;-)

repost un hijack this stp

@+

planetesoccer · Answer

Salut g!irly,

Voici le rapport HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:35:37, on 10/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32undll32.exe
F:\iPod Nano 4GO\iTunesHelper.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Program Files\Belkin\Logiciel Bluetooth\BTTray.exe
D:\PROGRA~1\INCRED~1\bin\ImApp.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
D:\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
D:\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
D:\Personal Firewall 4\kpf4gui.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
D:\PROGRA~1\INCRED~1\bin\IncMail.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "F:\iPod Nano 4GO\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [IncrediMail] D:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: BTTray.lnk = ?
O4 - Startup: Lancement rapide d'Adobe Reader.lnk = D:\Readereader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\Readereader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie_ctx.htm
O14 - IERESET.INF: START_PAGE_URL=https://fr.creative.com/
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} (CamfrogWEB Advanced Unicode Control) - https://www.bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - D:\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

g!rly · Answer

salut,

oui c´est mieux ;-)

a l´aide de hijack this coche et fix ceci :

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

tu surf avec internet explorer 6.0 = failles de securitées importantes

alors fais les mises a jour windows : tu veux la version 7.0 

meme si tu utilise firefox...

tu as quelle version d´acrobat reader?

@+

planetesoccer · Answer

re,

hijack this coche et fix ceci :

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
= FAIT

tu surf avec internet explorer 6.0 = failles de securitées importantes

alors fais les mises a jour windows : tu veux la version 7.0 = OUI

meme si tu utilise firefox...

tu as quelle version d´acrobat reader?  ADOBE READER 7.0

A+

g!rly · Answer

re,

ok our ie 7.0

donc tu veux changer adobe reader pour la version 8.1 car la tienne est obselette

https://get2.adobe.com/reader/otherversions/

ou si tu veux quelque chose de beaucoups plus léger : foxit

https://www.clubic.com/telecharger-fiche13808-foxit-reader.html

moi perso je l´utilise, j´aime pas trop adobe reader pour sa lourdeur...

donc pour faire ceci tu desinstal adobe reader par le panneau de configuration > ajoue et suppression de programme et tu telecharge soit adobe reader 8.1 ou foxit

voila a plus

zouaier · Answer

pouvez vous m'aider à me debarrasser de "search-daily"?

g!rly · Answer

Bonjour,

Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procèdes comme ceci :
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm

A bientôt ''

Search daily

29 réponses

Discussions similaires

Newsletters