Analyse rapport Hijackthis Résolu/Fermé

Question

out d'abord bonjour à tous, voilà suite à une infection de mon pc (trojan) après le téléchargement d'un fichier infecté j'ai le problème suivant: pour chaque programme installé ,au démarrage il me dit qu'il manque le dll. du dit programme! aussi, depuis l'icône avast n'aparrait plus dans la barre des tâches, je dois le relancer avec ashdisp pour que l'icône revienne...
J'ai entre temps fait plusieurs manipulations:analyse avec avast,en ligne,ad-awere,vundofix et j'ai aussi réinstallé windows xp avec le cd original...voila,que faire? Merci pour votre aide!!!
voici mon hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:04:56, on 07/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\jeyolqkh.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
C:\DOCUME~1\MARETTE\LOCALS~1\Temp\PDVDServ.exe
E:\emulation\RocketDock\RocketDock.exe
C:\WINDOWS\System32\svchost.exe
C:\DOCUME~1\MARETTE\LOCALS~1\Temp\ctfmon.exe
C:\WINDOWS\system32
pkcmsvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\DOCUME~1\MARETTE\LOCALS~1\Temp\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\games\games.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: load=C:\WINDOWS\system32\mlljk.exe
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\DOCUME~1\MARETTE\LOCALS~1\Temp\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [547e73d8] rundll32.exe "C:\WINDOWS\system32\sycknrbe.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [RocketDock] "E:\emulation\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [UberIcon] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O4 - Global Startup: games.lnk = C:\Program Files\games\games-frm.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O15 - Trusted Zone: http://www.secuser.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{0FF97CD9-9425-4409-B005-23D0BE1A1447}: NameServer = 203.223.153.21,203.223.145.179
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: DomainService - - C:\WINDOWS\system32\jeyolqkh.exe
O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: npkcmsvc - INCA Internet Co., Ltd. - C:\WINDOWS\system32
pkcmsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe

-- 
End of file - 8436 bytes

Configuration: Windows Xp

DeNisCoOl · Answer

salut julien,

Bienvenue sur la communauté CCM. 

Évites de poster 2 fois le même rapport tu gaspilles ton temps et celui de ceux qui t'aident.
Il y a beaucoup de fichiers inconnu.

C:\WINDOWS\system32\jeyolqkh.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\mlljk.exe
O4 - HKLM\..\Run: [547e73d8] rundll32.exe "C:\WINDOWS\system32\sycknrbe.dll",b
O23 - Service: DomainService - - C:\WINDOWS\system32\jeyolqkh.exe
O23 - Service: npkcmsvc - INCA Internet Co., Ltd. - C:\WINDOWS\system32
pkcmsvc.exe

Télécharger et exécuter Spybot, CCleaner et AdAware

-Spybot pour enlever les spywares https://www.safer-networking.org/download/
Voici son tutoriel:
http://www.safer-networking.org/fr/tutorial/index.html

-CCleaner (en français) pour nettoyer les fichiers temporaires, cookies... ainsi que les clefs de la base de registre inutile.
https://filehippo.com/download_ccleaner/?2927
Pendant l'installation décocher l'option de la barre yahoo.
Son tutoriel en anglais: https://www.ccleaner.com/ccleaner/help
Une fois installé, aller dans Options/Propriétés/ Effacement sécurisé du fichier (lent) Type NSA (7 Passages).
C'est la meilleure config.
Bouton nettoyer, appuyer sur Analyse ensuite Lancer le nettoyage.
Ensuite sur le bouton Erreurs (base de registre) répéter 2 fois les étapes suivantes:
Chercher les erreurs- Réparer les erreurs sélectionnées
Ne pas oublier de sauvegarder au cas ou il supprimerait une mauvaise clef (peu probable)

-Ad-aware2007 : http://www.commentcamarche.net/telecharger/telecharger 83 ad aware
nouvelle version en anglais uniquement, mais très simple (appuyer sur cancel quand il demande les numéros de série pour avoir la version gratuite).
La première fois, appuyer sur le bouton update il va demander si vous voulez exécuter update cliquer yes.
Ensuite appuyer sur scan et la première fois, cocher full scan et appuyer sur scan (la fois suivante cocher smart scan, ce sera un scan des zones principales).

Essayez un de ces scan en ligne (sous IE uniquement, accepter le module activeX) :
Bitdefender http://www.bitdefender.fr/scan_fr/scan8/ie.html
Nod32 Eset https://www.eset.com/int/home/online-scanner/?i_agree=14
F-secure http://support.f-secure.com/enu/home/ols.shtml
 (Utile à rajouter dans les favoris)

Copier coller le rapport dans le prochain message.

Recoller un scan HiJackthis

Denis

julien561 · Answer

RE salut, alors voilà j'ai fait le scan bitdefender et il me dit que le pc est clean (j'ai pas pu le copier-coller car j'ai appuyé sur le mauvais bouton ce matin...pffff).J'ai donc fait toutes les manipulations et je dois dire qu'il y avait pas mal de saleté sur l'ordi! Je te met un scan HiJackthis malgré tout et ferait suivre un coller d'un scan en ligne demain (je le refait demain car ce soir,pas le temps..);Pour les symptômes, ils sont toujours présent: manque certains dll. (prog. installé récemment, petit plantages graphique de la barre des taches par exemple, ou freeze de IE...) merci pour l'aide....

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:26:55, on 09/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32
pkcmsvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\DOCUME~1\MARETTE\LOCALS~1\Temp\PDVDServ.exe
E:\emulation\RocketDock\RocketDock.exe
C:\DOCUME~1\MARETTE\LOCALS~1\Temp\GoogleToolbarNotifier.exe
C:\Program Files\WinTV\Ir.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\Program Files\games\games.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: load=C:\WINDOWS\system32\mlljk.exe
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [547e73d8] rundll32.exe "C:\WINDOWS\system32\sycknrbe.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [RocketDock] "E:\emulation\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [UberIcon] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [LClock] C:\Program Files\LClock\LClock.exe
O4 - HKCU\..\Run: [Vista Sidebar] C:\Program Files\Vista Sidebar\sidebar.exe
O4 - HKCU\..\Run: [ViStart] C:\Program Files\ViStart\ViStart.exe
O4 - HKCU\..\Run: [ViOrb] C:\Program Files\ViOrb\ViOrb.exe
O4 - HKCU\..\RunOnce: [PackNoVs] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\pack-it.exe" --unsetvs
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-842925246-2077806209-839522115-501\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Invité')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O4 - Global Startup: games.lnk = C:\Program Files\games\games-frm.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O17 - HKLM\System\CS1\Services\Tcpip\..\{0FF97CD9-9425-4409-B005-23D0BE1A1447}: NameServer = 203.223.153.21,203.223.145.179
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: npkcmsvc - INCA Internet Co., Ltd. - C:\WINDOWS\system32
pkcmsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe

DeNisCoOl · Answer

salut,

Fermes toutes tes applications et ton navigateur. 
Relance HiJackthis et coches les lignes suivante et Fix Checked. 

F3 - REG:win.ini: load=C:\WINDOWS\system32\mlljk.exe
O4 - HKLM\..\Run: [547e73d8] rundll32.exe "C:\WINDOWS\system32\sycknrbe.dll",b
O4 - HKCU\..\Run: [ViOrb] C:\Program Files\ViOrb\ViOrb.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O17 - HKLM\System\CS1\Services\Tcpip\..\{0FF97CD9-9425-4409-B005-23D0BE1A1447}: NameServer = 203.223.153.21,203.223.145.179
O23 - Service: npkcmsvc - INCA Internet Co., Ltd. - C:\WINDOWS\system32
pkcmsvc.exe

refait un scan HiJackthis et post le log avec le scan bitdefender.

merci

Denis

zerpud · Answer

Bonjour,

Je me permets de reprendre ce post car j'ai aussi un problème de logiciel malveillant sur l'ordi de ma soeur et comme je suis actuellement en examen et que je dois m'occuper de son ordi j'essaye d'être le plus efficace possible.
A chaque fois que j'ouvre ou j'actualise une page internet explorer j'ai une fenetre qui s'affiche:

"Your browser was infected by trojan win32.obfuscated.gx
...
clickto download antispyware.."

ma soeur a en fait installé ie defender qui semble etre un virus, elle a ausi instamé un trucde smiley sweetIM!

Voilà le rapport:

Merci d'avance

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:11:51, on 09/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Java\jre1.6.0_02\bin\jucheck.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\mspaint.exe
C:\DOCUME~1\CHARLO~1\LOCALS~1\Temp\Répertoire temporaire 4 pour HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.liberation.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.acer.com/worldwide/selection.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aceradvantage.com/stdreg
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE	oolbar.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,rundll32.exe C:\WINDOWS\system32\winsys16_061230.dll start
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Video - {D0995F82-90C7-4C78-9B4C-C1700FB8B120} - C:\WINDOWS\windivx.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7
tiMUI.exe
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] ~"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Acer Empowering Technology.lnk = C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Indexing Helps (Indexingbox) - Unknown owner - C:\WINDOWS\system\svchest.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: OESH (Office Source Engine Help) - Unknown owner - C:\Program.exe (file missing)

julien561 · Answer

Re salut!
Voilà le scan bitdefender à révélé une infection....je te met le scan comme prévu:

Rapport d'analyse généré à: Sun, Dec 09, 2007 - 13:29:54

 
	

 
	

 

Voie d'analyse: A:\;C:\;D:\;E:\;
	
Statistiques

Temps
	

01:21:18

Fichiers
	

465165

Directoires
	

7273

Secteurs de boot
	

3

Archives
	

1587

Paquets programmes
	

11784
	
 

Résultats

Virus identifiés
	

2

Fichiers infectés
	

2

Fichiers suspects
	

0

Avertissements
	

0

Désinfectés
	

0

Fichiers effacés
	

1
	
 

Info sur les moteurs

Définition virus
	

880913

Version des moteurs
	

AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Analyse des plugins
	

14

Archive des plugins
	

38

Unpack des plugins
	

7

E-mail plugins
	

6

Système plugins
	

1
	


Paramètres d'analyse

Première action
	

Désinfecté

Seconde Action
	

Supprimé

Heuristique
	

Oui

Acceptez les avertissements
	

Oui

Extensions analysées
	

*;

Excludez les extensions
	

 

Analyse d'emails
	

Oui

Analyse des Archives
	

Oui

Analyser paquets programmes
	

Oui

Analyse des fichiers
	

Oui

Analyse de boot
	

Oui
	

 
	

 
 

Fichier analysé
	

 Statut

C:\System Volume Information\_restore{FE563C94-E240-4958-9513-0CB4FE2D5B11}\RP29\A0023326.dll
	

Infecté par: Trojan.Vundo.DRT

C:\System Volume Information\_restore{FE563C94-E240-4958-9513-0CB4FE2D5B11}\RP29\A0023326.dll
	

Echec de la désinfection

C:\System Volume Information\_restore{FE563C94-E240-4958-9513-0CB4FE2D5B11}\RP29\A0023326.dll
	

Supprimé

C:\WINDOWS\system32\winouw32.dll
	

Infecté par: MemScan:Trojan.Mezzia.XC

C:\WINDOWS\system32\winouw32.dll
	

Echec de la désinfection

C:\WINDOWS\system32\winouw32.dll
	

Echec de la suppression

J'ai donc un echec de désinfection et supression! Je te met le nouveau rapport HiJackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:38:54, on 09/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
C:\WINDOWS\system32undll32.exe
E:\emulation\RocketDock\RocketDock.exe
C:\DOCUME~1\MARETTE\LOCALS~1\Temp\PDVDServ.exe
C:\DOCUME~1\MARETTE\LOCALS~1\Temp\ctfmon.exe
C:\DOCUME~1\MARETTE\LOCALS~1\Temp\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\WinTV\Ir.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\games\games.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [RocketDock] "E:\emulation\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [UberIcon] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [LClock] C:\Program Files\LClock\LClock.exe
O4 - HKCU\..\Run: [Vista Sidebar] C:\Program Files\Vista Sidebar\sidebar.exe
O4 - HKCU\..\Run: [ViStart] C:\Program Files\ViStart\ViStart.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O4 - Global Startup: games.lnk = C:\Program Files\games\games-frm.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe

DeNisCoOl · Answer

salut,

waou ton log est super clean mais bon visiblement Vundo semble là.

Tu es peut être infecté voici la procédure (merci jlpjlp): 
http://www.commentcamarche.net/forum/affich 3048992 ordinateur lent pour cause de virus#5 

Je l'ai repris ici

Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4 

Double cliquez VundoFix.exe pour l'exécuter. 
Quand VundoFix s'ouvre, cliquez sur le bouton Scan for Vundo. 
Une fois le scan fini, cliquez sur le bouton Remove Vundo. 
Vous recevrez un avertissement vous demandant si vous voulez effacer ces 
fichiers répondez en cliquant sur YES 
Une fois que vous avez cliqué yes, votre bureau deviendra vide au moment où il 
enlève Vundo. 

Quand c'est fini, il vous sera demandé de redémarrer votre ordinateur, cliquez OK. 

ensuite

virtumondebegone 
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe 

puis Symantec Vundo Remove Tool 
https://www.broadcom.com/support/security-center 

ça devrait être bon! pour vundo 
puis fait scan en ligne et colle le rapport

merci

Denis

julien561 · Answer

Bonsoir Denis,
voilà j'ai donc effectué les manipulations que tu m'as conseillé: effectivement pour le trojan vundo c'est ok,je pense qu'il est enlevé!!!Je suis cependant surpris qu'il apparaisse encore dans la désinfection du scan-->j'ai l'impression qu'il reviens toujours!!
Cela dit après le scan de bitdefender il apparaît encore qu'un autre trojan résiste à la manoeuvre.....peux-tu m'aider à désinfecter le tout?

J'ai vue sur un forum que pour enlever vundo plus efficacement il était préférable de le faire en mode sans echec:quand pense tu?
Je te met le scan bitdefender et un nouveau scan HiJackThis (au cas ou tu en aurait besoin!!

MERCI POUR TON AIDE PRECIEUSE DENIS!!!

BitDefender Online Scanner


Rapport d'analyse généré à: Mon, Dec 10, 2007 - 20:25:21


Voie d'analyse: A:\;C:\;D:\;E:\;

Statistiques

Temps
	

01:32:46

Fichiers
	

473425

Directoires
	

7633

Secteurs de boot
	

3

Archives
	

1646

Paquets programmes
	

12011
	


Résultats

Virus identifiés
	

2

Fichiers infectés
	

2

Fichiers suspects
	

0

Avertissements
	

0

Désinfectés
	

0

Fichiers effacés
	

1
	



Info sur les moteurs

Définition virus
	

881097

Version des moteurs
	

AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Analyse des plugins
	

14

Archive des plugins
	

38

Unpack des plugins
	

7

E-mail plugins
	

6

Système plugins
	

1
	

Paramètres d'analyse

Première action
	

Désinfecté

Seconde Action
	

Supprimé

Heuristique
	

Oui

Acceptez les avertissements
	

Oui

Extensions analysées
	

*;

Excludez les extensions
	

 

Analyse d'emails
	

Oui

Analyse des Archives
	

Oui

Analyser paquets programmes
	

Oui

Analyse des fichiers
	

Oui

Analyse de boot
	

Oui
	
 
 

Fichier analysé
	

 Statut

C:\System Volume Information\_restore{FE563C94-E240-4958-9513-0CB4FE2D5B11}\RP29\A0023327.dll
	

Infecté par: Trojan.Vundo.DSF

C:\System Volume Information\_restore{FE563C94-E240-4958-9513-0CB4FE2D5B11}\RP29\A0023327.dll
	

Echec de la désinfection

C:\System Volume Information\_restore{FE563C94-E240-4958-9513-0CB4FE2D5B11}\RP29\A0023327.dll
	

Supprimé

C:\WINDOWS\system32\winouw32.dll
	

Infecté par: MemScan:Trojan.Mezzia.XC

C:\WINDOWS\system32\winouw32.dll
	

Echec de la désinfection

C:\WINDOWS\system32\winouw32.dll
	

Echec de la suppression

ET LE HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:51:10, on 10/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\DOCUME~1\MARETTE\LOCALS~1\Temp\PDVDServ.exe
C:\WINDOWS\system32undll32.exe
E:\emulation\RocketDock\RocketDock.exe
C:\WINDOWS\System32\svchost.exe
C:\DOCUME~1\MARETTE\LOCALS~1\Temp\jusched.exe
C:\DOCUME~1\MARETTE\LOCALS~1\Temp\ctfmon.exe
C:\DOCUME~1\MARETTE\LOCALS~1\Temp\GoogleToolbarNotifier.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\WinTV\Ir.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\games\games.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\Program Files\Thoosje Vista Sidebar v1.7.8	hoosje's sidebar.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: load=C:\WINDOWS\system32\mlljk.exe
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [vovohsts] rundll32.exe "C:\Program Files\vovohsts	izczmpc.dll",Init
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [RocketDock] "E:\emulation\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [UberIcon] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [LClock] C:\Program Files\LClock\LClock.exe
O4 - HKCU\..\Run: [Vista Sidebar] C:\Program Files\Vista Sidebar\sidebar.exe
O4 - HKCU\..\Run: [ViStart] C:\Program Files\ViStart\ViStart.exe
O4 - HKCU\..\Run: [VisualTaskTips] C:\Program Files\VisualTaskTips\VisualTaskTips.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Startup: Raccourci vers Visual Task Tips
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O4 - Startup: thoosje's sidebar.lnk = C:\Program Files\Thoosje Vista Sidebar v1.7.8	hoosje's sidebar.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O4 - Global Startup: games.lnk = C:\Program Files\games\games-frm.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe

DeNisCoOl · Answer

salut,

oui cela peut être une solution, juste au cas ou, je te rappelles la procédure.
redémarrer en mode sans échec :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 ou F5(une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

relance les procédures Vundofix, virtumonde...

Voici une autre procédure si celle ci ne fonctionne pas pour l'autre trojan.

Sur ton bureau, télécharge GenProc (de narco4 & jean-chretien1) …
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip

Dézippe le dossier ; double-clique sur GenProc.bat [:jean-chretien1:3] … et poste
le contenu du rapport qui s'ouvre (que tu découvres une procédure ou pas !).

Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html 

bye bye

Denis

^^Marie^^ · Answer

Bonjour

Pour suivre

julien561 · Answer

Bonsoir, Voilà j'ai donc effectué les opérations suivantes: J'ai fait une analyse avec Vundofix en mode sans echec et apparament cela à mieux marcher que les première fois puisq''il ma trouvé 3 éléments(.dll/.ini et .ini2) portant le même nom -->voir le rapport Combofix. Ensuite j'ai donc éffectué un scan Combofix et là aussi le résultat à l'air pas trop mal--->voir le rapport: ComboFix 07-12-09.1 - 2007-12-11 18:32:23.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.598 [GMT 1:00] Running from: C:\Documents and Settings\Bureau\ComboFix.exe * Created a new restore point . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\dcsxukqb.dll C:\WINDOWS\system32\kjllm.ini C:\WINDOWS\system32\kjllm.ini2 C:\WINDOWS\system32\mlljk.dll . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_DOMAINSERVICE -------\DomainService ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-11 to 2007-12-11 )))))))))))))))))))))))))))))))))))) . 2007-12-11 18:35 . 2007-12-11 18:35 329,824 --------- C:\WINDOWS\system32\mlljk.dll 2007-12-11 18:26 . 2007-12-11 18:26 333,312 --a------ C:\WINDOWS\system32\RCX2F.tmp 2007-12-11 00:30 . 2007-12-11 18:27 600 --a------ C:\Documents 2007-12-10 22:01 . 2007-12-10 22:01 333,312 --a------ C:\WINDOWS\system32\RCX35.tmp 2007-12-10 21:48 . 2007-12-10 21:48 333,312 --a------ C:\WINDOWS\system32\RCX32.tmp 2007-12-10 21:45 . 2007-12-10 21:45 333,312 --a------ C:\WINDOWS\system32\RCX2A.tmp 2007-12-10 21:34 . 2007-12-10 21:34 333,312 --a------ C:\WINDOWS\system32\RCX25.tmp 2007-12-10 21:01 . 2007-12-10 21:01 333,312 --a------ C:\WINDOWS\system32\RCX27.tmp 2007-12-10 20:58 . 2007-12-10 22:05 d-------- C:\Program Files\SPYWAREfighter 2007-12-10 18:37 . 2007-12-10 18:37 333,312 --a------ C:\WINDOWS\system32\RCX26.tmp 2007-12-09 22:36 . 2007-12-09 22:36 333,312 --a------ C:\WINDOWS\system32\RCX1F.tmp 2007-12-09 19:53 . 2007-12-09 19:53 d-------- C:\Deckard 2007-12-09 19:48 . 2007-12-09 19:48 6,968,345 --a------ C:\upload_moi_PC.tar.gz 2007-12-09 17:31 . 2007-12-10 22:05 d-------- C:\Program Files\Logon Loader 2007-12-09 15:19 . 2007-12-10 22:05 d-------- C:\Program Files\VisualTaskTips 2007-12-09 14:14 . 2007-12-10 22:05 d-------- C:\Program Files\Thoosje Vista Sidebar v1.7.8 2007-12-09 11:54 . 2007-12-09 11:54 333,312 --a------ C:\WINDOWS\system32\RCX3A.tmp 2007-12-09 03:03 . 2007-12-09 03:03 333,312 --a------ C:\WINDOWS\system32\RCX5A.tmp 2007-12-09 03:00 . 2007-12-09 03:00 333,312 --a------ C:\WINDOWS\system32\RCX2C.tmp 2007-12-09 02:41 . 2007-12-10 22:07 d-------- C:\Program Files\WinFlip 2007-12-09 02:41 . 2007-12-10 22:07 d-------- C:\Program Files\TrueTransparency 2007-12-09 02:41 . 2007-12-10 22:07 d-------- C:\Program Files\Styler 2007-12-09 02:37 . 2007-12-10 22:11 d-------- C:\WINDOWS\system32\VITrans 2007-12-09 02:37 . 2007-12-10 22:07 d-------- C:\VTPFiles 2007-12-09 00:05 . 2007-12-09 01:12 d-------- C:\Program Files\EsetOnlineScanner 2007-12-08 23:29 . 2004-01-01 02:28 d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau 2007-12-08 23:29 . 2004-01-01 02:28 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression 2007-12-08 23:29 . 2007-11-30 02:17 d--h----- C:\Documents and Settings\Administrateur\ModŠles 2007-12-08 23:29 . 2004-01-01 02:28 d-------- C:\Documents and Settings\Administrateur\Mes documents 2007-12-08 23:29 . 2004-01-01 02:28 dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer 2007-12-08 23:29 . 2004-01-01 02:28 d-------- C:\Documents and Settings\Administrateur\Favoris 2007-12-08 23:29 . 2006-09-17 17:01 d-------- C:\Documents and Settings\Administrateur\Bureau 2007-12-08 02:22 . 2005-10-21 02:47 30,592 --a--c--- C:\WINDOWS\system32\dllcache\SETA31.tmp 2007-12-08 02:22 . 2005-10-21 02:47 30,592 --a--c--- C:\WINDOWS\system32\dllcache\SETA30.tmp 2007-12-08 02:22 . 2005-10-21 02:47 12,800 --a--c--- C:\WINDOWS\system32\dllcache\SETA2F.tmp 2007-12-08 02:22 . 2005-10-21 02:47 12,800 --a--c--- C:\WINDOWS\system32\dllcache\SETA2E.tmp 2007-12-08 02:17 . 2007-12-10 22:18 d-------- C:\WINDOWS\BDOSCAN8 2007-12-08 02:07 . 2007-12-08 02:07 d-------- C:\Program Files\CCleaner 2007-12-08 01:36 . 2007-12-08 02:05 d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2007-12-08 01:35 . 2007-12-08 01:35 333,312 --a------ C:\WINDOWS\system32\RCX1C.tmp 2007-12-08 01:03 . 2007-12-08 01:03 333,312 --a------ C:\WINDOWS\system32\RCX1A.tmp 2007-12-08 01:02 . 2007-12-08 01:02 333,312 --a------ C:\WINDOWS\system32\RCX33.tmp 2007-12-07 21:03 . 2007-12-07 21:03 d-------- C:\Program Files\Trend Micro 2007-12-07 20:18 . 2007-12-07 20:18 333,312 --a------ C:\WINDOWS\system32\RCX19.tmp 2007-12-07 19:50 . 2007-12-10 21:41 d-------- C:\VundoFix Backups 2007-12-07 19:43 . 2002-07-17 09:20 45,056 --a------ C:\WINDOWS\system32\WNASPI32.DLL 2007-12-07 19:43 . 2002-07-17 08:53 16,877 --a------ C:\WINDOWS\system32\drivers\ASPI32.SYS 2007-12-07 19:43 . 2002-07-17 16:22 5,600 --a------ C:\WINDOWS\system\WINASPI.DLL 2007-12-07 19:43 . 2002-07-17 16:22 4,672 --a------ C:\WINDOWS\system\WOWPOST.EXE 2007-12-07 19:22 . 2004-08-04 00:54 116,736 --a--c--- C:\WINDOWS\system32\dllcache\xrxwiadr.dll 2007-12-07 19:22 . 2001-08-23 17:47 99,865 --a--c--- C:\WINDOWS\system32\dllcache\xlog.exe 2007-12-07 19:22 . 2001-08-23 17:47 27,648 --a--c--- C:\WINDOWS\system32\dllcache\xrxftplt.exe 2007-12-07 19:22 . 2001-08-23 17:47 23,040 --a--c--- C:\WINDOWS\system32\dllcache\xrxwbtmp.dll 2007-12-07 19:22 . 2004-08-03 22:29 19,455 --a--c--- C:\WINDOWS\system32\dllcache\wvchntxx.sys 2007-12-07 19:22 . 2001-08-23 17:47 17,408 --a--c--- C:\WINDOWS\system32\dllcache\xrxscnui.dll 2007-12-07 19:22 . 2001-08-17 20:11 16,970 --a--c--- C:\WINDOWS\system32\dllcache\xem336n5.sys 2007-12-07 19:22 . 2004-08-03 22:29 12,063 --a--c--- C:\WINDOWS\system32\dllcache\wsiintxx.sys 2007-12-07 19:22 . 2004-08-04 00:54 8,192 --a--c--- C:\WINDOWS\system32\dllcache\wshirda.dll 2007-12-07 19:22 . 2001-08-23 17:47 4,608 --a--c--- C:\WINDOWS\system32\dllcache\xrxflnch.exe 2007-12-07 19:20 . 2001-08-17 21:28 794,654 --a--c--- C:\WINDOWS\system32\dllcache\usr1801.sys 2007-12-07 19:19 . 2001-08-23 17:47 525,568 --a--c--- C:\WINDOWS\system32\dllcache ridxp.dll 2007-12-07 19:18 . 2001-08-23 17:46 440,576 --a--c--- C:\WINDOWS\system32\dllcache ridkb.dll 2007-12-07 19:17 . 2001-08-23 17:46 172,768 --a--c--- C:\WINDOWS\system32\dllcache 2r4disp.dll 2007-12-07 19:16 . 2001-08-23 16:57 286,848 --a--c--- C:\WINDOWS\system32\dllcache\stlnata.sys 2007-12-07 19:15 . 2004-08-03 22:41 404,990 --a--c--- C:\WINDOWS\system32\dllcache\slntamr.sys 2007-12-07 19:14 . 2001-08-23 17:46 386,560 --a--c--- C:\WINDOWS\system32\dllcache\sgiul50.dll 2007-12-07 19:13 . 2001-08-23 17:47 495,616 --a--c--- C:\WINDOWS\system32\dllcache\sblfx.dll 2007-12-07 19:12 . 2001-08-23 17:18 899,914 --a--c--- C:\WINDOWS\system32\dllcache 2mdkxga.sys 2007-12-07 19:11 . 2001-08-17 21:52 40,448 --a--c--- C:\WINDOWS\system32\dllcache\ql1240.sys 2007-12-07 08:54 . 2004-08-04 00:54 159,232 --a--c--- C:\WINDOWS\system32\dllcache\ptpusd.dll 2007-12-07 08:54 . 2001-08-17 21:28 130,942 --a--c--- C:\WINDOWS\system32\dllcache\ptserlv.sys 2007-12-07 08:54 . 2001-08-17 21:28 128,286 --a--c--- C:\WINDOWS\system32\dllcache\ptserli.sys 2007-12-07 08:54 . 2001-08-17 21:28 112,574 --a--c--- C:\WINDOWS\system32\dllcache\ptserlp.sys 2007-12-07 08:54 . 2001-08-17 21:52 45,312 --a--c--- C:\WINDOWS\system32\dllcache\ql12160.sys 2007-12-07 08:54 . 2001-08-17 21:52 40,320 --a--c--- C:\WINDOWS\system32\dllcache\ql1080.sys 2007-12-07 08:54 . 2001-08-23 17:47 35,328 --a--c--- C:\WINDOWS\system32\dllcache\psisload.dll 2007-12-07 08:54 . 2001-08-17 21:52 33,152 --a--c--- C:\WINDOWS\system32\dllcache\ql10wnt.sys 2007-12-07 08:54 . 2004-08-03 23:00 6,016 --a--c--- C:\WINDOWS\system32\dllcache\qic157.sys 2007-12-07 08:54 . 2001-08-23 17:47 5,632 --a--c--- C:\WINDOWS\system32\dllcache\ptpusb.dll 2007-12-07 08:52 . 2004-08-04 00:49 2,017,280 --a--c--- C:\WINDOWS\system32\dllcache tkrpamp.exe 2007-12-07 08:51 . 2004-08-04 00:47 132,695 --a--c--- C:\WINDOWS\system32\dllcache etwlan5.sys 2007-12-07 08:50 . 2004-08-04 00:54 1,737,856 --a--c--- C:\WINDOWS\system32\dllcache\mtxparhd.dll 2007-12-07 08:49 . 2001-08-17 21:28 802,683 --a--c--- C:\WINDOWS\system32\dllcache\ltsm.sys 2007-12-07 08:48 . 2001-08-23 17:47 242,688 --a--c--- C:\WINDOWS\system32\dllcache\kdsusd.dll 2007-12-07 08:47 . 2001-08-23 17:47 372,824 --a--c--- C:\WINDOWS\system32\dllcache\iconf32.dll 2007-12-07 08:46 . 2004-08-03 22:41 1,041,536 --a--c--- C:\WINDOWS\system32\dllcache\hsfdpsp2.sys 2007-12-07 08:45 . 2001-08-23 17:47 324,608 --a--c--- C:\WINDOWS\system32\dllcache\hpojwia.dll 2007-12-07 08:44 . 2001-08-23 17:46 1,733,120 --a--c--- C:\WINDOWS\system32\dllcache\g400d.dll 2007-12-07 08:43 . 2001-08-23 17:16 630,016 --a--c--- C:\WINDOWS\system32\dllcache\eqn.sys 2007-12-07 08:42 . 2001-08-17 20:14 952,007 --a--c--- C:\WINDOWS\system32\dllcache\diwan.sys 2007-12-07 08:41 . 2001-08-23 17:47 422,429 --a--c--- C:\WINDOWS\system32\dllcache\dgconfig.dll 2007-12-07 08:40 . 2001-08-23 17:04 980,034 --a--c--- C:\WINDOWS\system32\dllcache\cicap.sys 2007-12-07 08:39 . 2004-08-04 00:54 1,888,992 --a--c--- C:\WINDOWS\system32\dllcache\ati3duag.dll 2007-12-07 08:38 . 2004-08-04 00:48 2,150,400 --a--c--- C:\WINDOWS\system32\dllcache tkrnlmp.exe 2007-12-07 08:35 . 2007-12-08 23:53 833,355 ---hs---- C:\WINDOWS\system32\ebrnkcys.ini 2007-12-05 22:45 . 2007-12-08 10:57 d-------- C:\Program Files\MSI 2007-12-04 19:55 . 2007-12-04 19:55 333,312 --a------ C:\WINDOWS\system32\RCX9BA.tmp 2007-12-03 21:59 . 2007-12-03 21:59 d-------- C:\Documents and Settings\MARETTE\Application Data\Atari 2007-12-03 16:09 . 2007-12-03 16:09 333,312 --a------ C:\WINDOWS\system32\RCX12.tmp 2007-12-02 11:33 . 2007-12-02 11:33 333,312 --a------ C:\WINDOWS\system32\RCX1B.tmp . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-11 17:36 --------- d-----w C:\Program Files\WinTV 2007-12-11 17:36 --------- d-----w C:\Program Files\iTunes 2007-12-10 23:29 --------- d-----w C:\Program Files\UltimateZip 2007-12-10 21:05 --------- d-----w C:\Program Files\Fichiers communs\Stardock 2007-12-09 13:52 --------- d-----w C:\Program Files\Stardock 2007-12-08 22:15 --------- d-----w C:\Program Files\Microsoft ActiveSync 2007-12-07 19:31 133,051 ----a-w C:\WINDOWS\BricoPackUninst.cmd 2007-12-05 21:43 --------- d-----w C:\Program Files\Setup Files 2007-12-03 20:43 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-12-03 13:51 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2007-11-30 23:40 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys 2007-11-30 21:11 --------- d-----w C:\Documents and Settings\MARETTE\Application Data\Lavasoft 2007-11-30 20:53 --------- d-----w C:\Program Files\lineage2 2007-11-30 20:27 --------- d-----w C:\Program Files\eChanblard 2007-11-29 22:08 --------- d-----w C:\Program Files\QuickTime 2007-11-29 21:39 --------- d-----w C:\Program Files\Webteh 2007-11-26 21:34 --------- d-----w C:\Documents and Settings\MARETTE\Application Data\OpenOffice.org2 2007-11-25 14:57 --------- d-----w C:\Program Files\Microsoft Works 2007-11-19 22:18 --------- d-----w C:\Program Files\Electronic Arts 2007-11-09 18:18 22,328 ----a-w C:\Documents and Settings\MARETTE\Application Data\PnkBstrK.sys 2007-11-09 18:09 --------- d-----w C:\Program Files\Activision 2007-11-09 13:40 --------- d-----w C:\Program Files\Java 2007-11-07 18:00 --------- d-----w C:\Documents and Settings\MARETTE\Application Data\IGN_DLM 2007-10-23 17:23 --------- d-----w C:\Documents and Settings\MARETTE\Application Data\Template 2007-10-23 17:06 --------- d-----w C:\Program Files\Cobian Backup 8 2007-10-16 13:38 --------- d-----w C:\Program Files\K!TV 2007-01-14 16:30 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe 2006-04-11 23:07 4,096 ----a-w C:\Documents and Settings\MARETTE\log.dat 2006-09-17 15:42 56 --sha-r C:\WINDOWS\system32\54F6A1598F.sys 2006-09-17 15:42 1,890 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{44E36537-16E6-428C-A1A5-5FE8AC57AC86}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{489E76B7-222A-4E08-9459-FFE86DE1245E}] 2007-12-11 18:35 329824 --------- C:\WINDOWS\system32\mlljk.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-12-11 17:59] "RocketDock"="E:\emulation\RocketDock\RocketDock.exe" [2007-09-01 19:19] "UberIcon"="C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe" [2007-12-11 17:59] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="RUNDLL32.exe" [2004-08-05 13:00 C:\WINDOWS\system32 undll32.exe] "nwiz"="nwiz.exe" [2005-12-10 03:06 C:\WINDOWS\system32 wiz.exe] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-12-11 17:59] "RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2007-12-11 17:59] "LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2007-12-11 17:59] "games-frm.exe"="" [] "NvMediaCenter"="RUNDLL32.exe" [2004-08-05 13:00 C:\WINDOWS\system32 undll32.exe] "SoundMan"="SOUNDMAN.EXE" [2006-08-03 05:12 C:\WINDOWS\soundman.exe] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-11 18:36] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\winouw32] winouw32.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\yayxxvv] yayxxvv.dll [HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\windows] "load"=C:\WINDOWS\system32\mlljk.exe [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\mlljk.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^InterVideo WinCinema Manager.lnk] backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^SATARAID5.lnk] backup=C:\WINDOWS\pss\SATARAID5.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^MARETTE^Menu Démarrer^Programmes^Démarrage^UberIcon.lnk] backup=C:\WINDOWS\pss\UberIcon.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!] 2007-12-11 18:36 439296 --a------ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2005-06-03 03:52 36975 --a------ C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vovohsts] rundll32.exe C:\Program Files\vovohsts izczmpc.dll,Init [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{72f7da40-2532-11db-ab68-0013d3c8b0fd}] \Shell\AutoRun\command - F:\ReadMe.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d4f57ca3-3bf6-11d8-9d18-806d6172696f}] \Shell\AutoRun\command - D:\Setup.exe . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2007-12-06 18:25:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.2180] -> C:\WINDOWS\system32\mlljk.dll -> E:\emulation\RocketDock\RocketDock.dll -> C:\DOCUME~1\MARETTE\LOCALS~1\Temp\fkrvehqs.dll -> C:\Program Files\Stardock\ObjectDock\DockShellHook.dll . ************************************************************************** catchme 0.3.1331 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-11 18:36:53 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-12-11 18:38:27 - machine was rebooted . --- E O F --- Voilà,je comprend pas tout mais je pense que ce n'est pas trop mal ; ) Ensuite j'ai effectué un autre scan Bitdefender dont voici le rapport: Statistiques Temps 01:08:55 Fichiers 458778 Directoires 7431 Secteurs de boot 3 Archives 1560 Paquets programmes 11516 Résultats Virus identifiés 3 Fichiers infectés 10 Fichiers suspects 0 Avertissements 0 Désinfectés 0 Fichiers effacés 10 Info sur les moteurs Définition virus 881283 Version des moteurs AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36) Analyse des plugins 14 Archive des plugins 38 Unpack des plugins 7 E-mail plugins 6 Système plugins 1 Paramètres d'analyse Première action Désinfecté Seconde Action Supprimé Heuristique Oui Acceptez les avertissements Oui Extensions analysées *; Excludez les extensions Analyse d'emails Oui Analyse des Archives Oui Analyser paquets programmes Oui Analyse des fichiers Oui Analyse de boot Oui Fichier analysé Statut C:\!KillBox\winouw32.dll Infecté par: MemScan:Trojan.Mezzia.XC C:\!KillBox\winouw32.dll Supprimé C:\!KillBox\winouw32.dll( 1) Infecté par: MemScan:Trojan.Mezzia.XC C:\!KillBox\winouw32.dll( 1) Supprimé C:\!KillBox\winouw32.dll( 2) Infecté par: MemScan:Trojan.Mezzia.XC C:\!KillBox\winouw32.dll( 2) Supprimé C:\Deckard\System Scanner\backup\DOCUME~1\MARETTE\LOCALS~1\Temp emp.fr453D Infecté par: Trojan.Vundo.DSN C:\Deckard\System Scanner\backup\DOCUME~1\MARETTE\LOCALS~1\Temp emp.fr453D Echec de la désinfection C:\Deckard\System Scanner\backup\DOCUME~1\MARETTE\LOCALS~1\Temp emp.fr453D Supprimé C:\qoobox\Quarantine\C\WINDOWS\system32\dcsxukqb.dll.vir Infecté par: Trojan.Vundo.DSJ C:\qoobox\Quarantine\C\WINDOWS\system32\dcsxukqb.dll.vir Echec de la désinfection C:\qoobox\Quarantine\C\WINDOWS\system32\dcsxukqb.dll.vir Supprimé C:\System Volume Information\_restore{FE563C94-E240-4958-9513-0CB4FE2D5B11}\RP26\A0015793.dll Infecté par: Trojan.Vundo.DSN C:\System Volume Information\_restore{FE563C94-E240-4958-9513-0CB4FE2D5B11}\RP26\A0015793.dll Echec de la désinfection C:\System Volume Information\_restore{FE563C94-E240-4958-9513-0CB4FE2D5B11}\RP26\A0015793.dll Supprimé C:\System Volume Information\_restore{FE563C94-E240-4958-9513-0CB4FE2D5B11}\RP38\A0038880.dll Infecté par: MemScan:Trojan.Mezzia.XC C:\System Volume Information\_restore{FE563C94-E240-4958-9513-0CB4FE2D5B11}\RP38\A0038880.dll Supprimé C:\System Volume Information\_restore{FE563C94-E240-4958-9513-0CB4FE2D5B11}\RP40\A0039065.dll Infecté par: Trojan.Vundo.DSJ C:\System Volume Information\_restore{FE563C94-E240-4958-9513-0CB4FE2D5B11}\RP40\A0039065.dll Echec de la désinfection C:\System Volume Information\_restore{FE563C94-E240-4958-9513-0CB4FE2D5B11}\RP40\A0039065.dll Supprimé C:\System Volume Information\_restore{FE563C94-E240-4958-9513-0CB4FE2D5B11}\RP41\A0039135.dll Infecté par: MemScan:Trojan.Mezzia.XC C:\System Volume Information\_restore{FE563C94-E240-4958-9513-0CB4FE2D5B11}\RP41\A0039135.dll Supprimé C:\upload_moi_PC.tar.gz=>upload_moi.tar=>WINDOWS/System32/dcsxukqb.dll Infecté par: Trojan.Vundo.DSJ C:\upload_moi_PC.tar.gz=>upload_moi.tar=>WINDOWS/System32/dcsxukqb.dll Echec de la désinfection C:\upload_moi_PC.tar.gz=>upload_moi.tar=>WINDOWS/System32/dcsxukqb.dll Supprimé C:\upload_moi_PC.tar.gz=>upload_moi.tar Mis à jour C:\upload_moi_PC.tar.gz Mis à jour Ici aussi ,ce n'est pas trop mal puisque plus aucunes infections ne reste "non-traitées"! Je pense être débarrassé de toutes infections! Cependant j'ai toujours un soucis avec mon anti-virus avast,je m'explique: je pense qu'il fonctionne correctement ,a un détail près--->au démarrage windows l'icone n'apparait plus dans la barre des tâches! je suis obligé de lancer l'application manuellement avec le raccourcci (ashDisp) qui ce trouve dans le dossier du prog. Avast.Cela perdure depuis l'attaque du Trojan, c'est grave docteur? J'ai fait quelques recherches sur la question,mais je n'ai rien trouvé de concluant,peux-tu m'aider? Ensuite et je pense que je pourrais considérer cette discussion comme résolu!!! MERCI DENIS POUR TON AIDE PRECIEUSE (une fois de plus : ) )

DeNisCoOl · Answer

julien,

C'est fort probablement la suite de la désinfection malheureusement.
Mais mon dernier conseil à propos de Avast je te conseilles de changer pour Antivir.
Il a peu voir pas évolué comparé aux autres AV.
https://www.avira.com/

Le tutoriel pour Antivir ici :
http://forum.malekal.com/ftopic4192.php

Et ici un comparatif intéressant Avast-Antivir:
http://forum.malekal.com/ftopic3528.php
Et 2 autres comparatifs complet:
http://www.pcinpact.com/actu/news/31149-Antivirus-resultats-dun-test-de-performances.htm
https://www.av-comparatives.org/

Utilitaire de désinstallation d'avast!
https://www.avast.com/fr-fr/uninstall-utility

bye bye

Denis

julien561 · Answer

Ok, je pense que je vais faire ça,car je n'arrive pas à récupérer Avast correctement! Merci encore pour ton aide Denis, cela ma permis d'éviter le pire.....tu as toute ma reconnaissance...a plus tard ; )

^^Marie^^ · Answer

Bonsoir

Faudrait faire analyser le rapport ComboFix par un expert, il présente des infections

A++

DeNisCoOl · Answer

julien561,

As tu lancé Bitdefender après Combofix?
Attends quand même qu'un spécialiste te confirme tout ça.

Denis

julien561 · Answer

Salut, effectivement, apres installation d'antivir , ce dernier à révélé 798 traces d'infections de vundo sur mon ordi (lol), je ne pensais pas que cela puisse être possible! toute les infections ont éte corriger. Depuis, tout les symptômes ont disparus, je n'ai plus de reboots anarchiques ou encore de problèmes d'installation de prog. et autre instabilités du système.Cependant, je ne peux que suivre vos conseils et attendre l'avis d'un expert...voici mon nouveau rapport combofix (il a encore supprimé des fichiers Dll. MERCI A VOUS : ) ComboFix 07-12-12.3 - MARETTE 2007-12-13 18:15:36.2 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.513 [GMT 1:00] Running from: C:\Documents and Settings\MARETTE\Bureau\ComboFix.exe * Created a new restore point . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\ehxoiduf.dll C:\WINDOWS\system32\kjllm.ini C:\WINDOWS\system32\kjllm.ini2 C:\WINDOWS\system32 cflupus.exe . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_DOMAINSERVICE -------\DomainService ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-13 to 2007-12-13 )))))))))))))))))))))))))))))))))))) . 2007-12-13 18:03 . 2007-12-13 18:03 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2007-12-13 18:03 . 2007-12-13 18:03 1,409 --a------ C:\WINDOWS\QTFont.for 2007-12-13 17:56 . C:\WINDOWS\LastGood.Tmp 2007-12-12 22:34 . 2007-12-12 22:35 d-------- C:\Documents and Settings\MARETTE\Application Data\PrevxCSI 2007-12-12 22:34 . 2007-12-12 22:34 d-------- C:\Documents and Settings\All Users\Application Data\Prevx 2007-12-12 22:27 . 2007-12-12 22:27 d-------- C:\Program Files\Avira 2007-12-12 22:20 . 2007-12-12 22:20 d-------- C:\Program Files\Alwil Software 2007-12-12 20:24 . 2007-12-12 20:24 d-------- C:\Documents and Settings\All Users\Application Data\Avira 2007-12-12 18:44 . 2007-12-12 20:41 917,013 ---hs---- C:\WINDOWS\system32 mtblywp.ini 2007-12-12 17:32 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll 2007-12-12 17:32 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui 2007-12-11 23:59 . 2007-12-11 23:59 d-------- C:\Program Files\Sidebar 2007-12-11 23:59 . 2007-12-11 23:59 d-------- C:\Program Files\Gadgets 2007-12-11 23:59 . 2007-12-11 23:59 d-------- C:\Program Files\Fonts 2007-12-11 23:51 . 2007-12-11 23:51 d-------- C:\WINDOWS\system32\data 2007-12-11 23:51 . 2007-12-11 23:51 193,090 --a------ C:\WINDOWS\system32\uninstall_Vista ScreenSaver.exe 2007-12-11 20:53 . 2007-12-11 20:55 94 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd 2007-12-11 00:30 . 2007-12-11 18:27 600 --a------ C:\Documents 2007-12-10 20:58 . 2007-12-10 22:05 d-------- C:\Program Files\SPYWAREfighter 2007-12-09 19:53 . 2007-12-09 19:53 d-------- C:\Deckard 2007-12-09 17:31 . 2007-12-10 22:05 d-------- C:\Program Files\Logon Loader 2007-12-09 15:19 . 2007-12-12 22:55 d-------- C:\Program Files\VisualTaskTips 2007-12-09 14:14 . 2007-12-12 20:14 d-------- C:\Program Files\Thoosje Vista Sidebar v1.7.8 2007-12-09 02:41 . 2007-12-10 22:07 d-------- C:\Program Files\WinFlip 2007-12-09 02:41 . 2007-12-10 22:07 d-------- C:\Program Files\TrueTransparency 2007-12-09 02:41 . 2007-12-10 22:07 d-------- C:\Program Files\Styler 2007-12-09 02:37 . 2007-12-10 22:11 d-------- C:\WINDOWS\system32\VITrans 2007-12-09 02:37 . 2007-12-10 22:07 d-------- C:\VTPFiles 2007-12-09 00:05 . 2007-12-09 01:12 d-------- C:\Program Files\EsetOnlineScanner 2007-12-08 23:29 . 2004-01-01 02:28 d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau 2007-12-08 23:29 . 2004-01-01 02:28 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression 2007-12-08 23:29 . 2007-11-30 02:17 d--h----- C:\Documents and Settings\Administrateur\ModŠles 2007-12-08 23:29 . 2004-01-01 02:28 d-------- C:\Documents and Settings\Administrateur\Mes documents 2007-12-08 23:29 . 2004-01-01 02:28 dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer 2007-12-08 23:29 . 2004-01-01 02:28 d-------- C:\Documents and Settings\Administrateur\Favoris 2007-12-08 23:29 . 2006-09-17 17:01 d-------- C:\Documents and Settings\Administrateur\Bureau 2007-12-08 02:22 . 2005-10-21 02:47 30,592 --a--c--- C:\WINDOWS\system32\dllcache\SETA31.tmp 2007-12-08 02:22 . 2005-10-21 02:47 30,592 --a--c--- C:\WINDOWS\system32\dllcache\SETA30.tmp 2007-12-08 02:22 . 2005-10-21 02:47 12,800 --a--c--- C:\WINDOWS\system32\dllcache\SETA2F.tmp 2007-12-08 02:22 . 2005-10-21 02:47 12,800 --a--c--- C:\WINDOWS\system32\dllcache\SETA2E.tmp 2007-12-08 02:17 . 2007-12-11 18:42 d-------- C:\WINDOWS\BDOSCAN8 2007-12-08 02:07 . 2007-12-08 02:07 d-------- C:\Program Files\CCleaner 2007-12-08 01:36 . 2007-12-08 02:05 d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2007-12-07 21:03 . 2007-12-07 21:03 d-------- C:\Program Files\Trend Micro 2007-12-07 19:50 . 2007-12-12 22:30 d-------- C:\VundoFix Backups 2007-12-07 19:43 . 2002-07-17 09:20 45,056 --a------ C:\WINDOWS\system32\WNASPI32.DLL 2007-12-07 19:43 . 2002-07-17 08:53 16,877 --a------ C:\WINDOWS\system32\drivers\ASPI32.SYS 2007-12-07 19:43 . 2002-07-17 16:22 5,600 --a------ C:\WINDOWS\system\WINASPI.DLL 2007-12-07 19:43 . 2002-07-17 16:22 4,672 --a------ C:\WINDOWS\system\WOWPOST.EXE 2007-12-07 19:22 . 2004-08-04 00:54 116,736 --a--c--- C:\WINDOWS\system32\dllcache\xrxwiadr.dll 2007-12-07 19:22 . 2001-08-23 17:47 99,865 --a--c--- C:\WINDOWS\system32\dllcache\xlog.exe 2007-12-07 19:22 . 2001-08-23 17:47 27,648 --a--c--- C:\WINDOWS\system32\dllcache\xrxftplt.exe 2007-12-07 19:22 . 2001-08-23 17:47 23,040 --a--c--- C:\WINDOWS\system32\dllcache\xrxwbtmp.dll 2007-12-07 19:22 . 2004-08-03 22:29 19,455 --a--c--- C:\WINDOWS\system32\dllcache\wvchntxx.sys 2007-12-07 19:22 . 2001-08-23 17:47 17,408 --a--c--- C:\WINDOWS\system32\dllcache\xrxscnui.dll 2007-12-07 19:22 . 2001-08-17 20:11 16,970 --a--c--- C:\WINDOWS\system32\dllcache\xem336n5.sys 2007-12-07 19:22 . 2004-08-03 22:29 12,063 --a--c--- C:\WINDOWS\system32\dllcache\wsiintxx.sys 2007-12-07 19:22 . 2004-08-04 00:54 8,192 --a--c--- C:\WINDOWS\system32\dllcache\wshirda.dll 2007-12-07 19:22 . 2001-08-23 17:47 4,608 --a--c--- C:\WINDOWS\system32\dllcache\xrxflnch.exe 2007-12-07 19:20 . 2001-08-17 21:28 794,654 --a--c--- C:\WINDOWS\system32\dllcache\usr1801.sys 2007-12-07 19:19 . 2001-08-23 17:47 525,568 --a--c--- C:\WINDOWS\system32\dllcache ridxp.dll 2007-12-07 19:18 . 2001-08-23 17:46 440,576 --a--c--- C:\WINDOWS\system32\dllcache ridkb.dll 2007-12-07 19:17 . 2001-08-23 17:46 172,768 --a--c--- C:\WINDOWS\system32\dllcache 2r4disp.dll 2007-12-07 19:16 . 2001-08-23 16:57 286,848 --a--c--- C:\WINDOWS\system32\dllcache\stlnata.sys 2007-12-07 19:15 . 2004-08-03 22:41 404,990 --a--c--- C:\WINDOWS\system32\dllcache\slntamr.sys 2007-12-07 19:14 . 2001-08-23 17:46 386,560 --a--c--- C:\WINDOWS\system32\dllcache\sgiul50.dll 2007-12-07 19:13 . 2001-08-23 17:47 495,616 --a--c--- C:\WINDOWS\system32\dllcache\sblfx.dll 2007-12-07 19:12 . 2001-08-23 17:18 899,914 --a--c--- C:\WINDOWS\system32\dllcache 2mdkxga.sys 2007-12-07 19:11 . 2001-08-17 21:52 40,448 --a--c--- C:\WINDOWS\system32\dllcache\ql1240.sys 2007-12-07 08:54 . 2004-08-04 00:54 159,232 --a--c--- C:\WINDOWS\system32\dllcache\ptpusd.dll 2007-12-07 08:54 . 2001-08-17 21:28 130,942 --a--c--- C:\WINDOWS\system32\dllcache\ptserlv.sys 2007-12-07 08:54 . 2001-08-17 21:28 128,286 --a--c--- C:\WINDOWS\system32\dllcache\ptserli.sys 2007-12-07 08:54 . 2001-08-17 21:28 112,574 --a--c--- C:\WINDOWS\system32\dllcache\ptserlp.sys 2007-12-07 08:54 . 2001-08-17 21:52 45,312 --a--c--- C:\WINDOWS\system32\dllcache\ql12160.sys 2007-12-07 08:54 . 2001-08-17 21:52 40,320 --a--c--- C:\WINDOWS\system32\dllcache\ql1080.sys 2007-12-07 08:54 . 2001-08-23 17:47 35,328 --a--c--- C:\WINDOWS\system32\dllcache\psisload.dll 2007-12-07 08:54 . 2001-08-17 21:52 33,152 --a--c--- C:\WINDOWS\system32\dllcache\ql10wnt.sys 2007-12-07 08:54 . 2004-08-03 23:00 6,016 --a--c--- C:\WINDOWS\system32\dllcache\qic157.sys 2007-12-07 08:54 . 2001-08-23 17:47 5,632 --a--c--- C:\WINDOWS\system32\dllcache\ptpusb.dll 2007-12-07 08:52 . 2004-08-04 00:49 2,017,280 --a--c--- C:\WINDOWS\system32\dllcache tkrpamp.exe 2007-12-07 08:51 . 2004-08-04 00:47 132,695 --a--c--- C:\WINDOWS\system32\dllcache etwlan5.sys 2007-12-07 08:50 . 2004-08-04 00:54 1,737,856 --a--c--- C:\WINDOWS\system32\dllcache\mtxparhd.dll 2007-12-07 08:49 . 2001-08-17 21:28 802,683 --a--c--- C:\WINDOWS\system32\dllcache\ltsm.sys 2007-12-07 08:48 . 2001-08-23 17:47 242,688 --a--c--- C:\WINDOWS\system32\dllcache\kdsusd.dll 2007-12-07 08:47 . 2001-08-23 17:47 372,824 --a--c--- C:\WINDOWS\system32\dllcache\iconf32.dll 2007-12-07 08:46 . 2004-08-03 22:41 1,041,536 --a--c--- C:\WINDOWS\system32\dllcache\hsfdpsp2.sys 2007-12-07 08:45 . 2001-08-23 17:47 324,608 --a--c--- C:\WINDOWS\system32\dllcache\hpojwia.dll 2007-12-07 08:44 . 2001-08-23 17:46 1,733,120 --a--c--- C:\WINDOWS\system32\dllcache\g400d.dll 2007-12-07 08:43 . 2001-08-23 17:16 630,016 --a--c--- C:\WINDOWS\system32\dllcache\eqn.sys 2007-12-07 08:42 . 2001-08-17 20:14 952,007 --a--c--- C:\WINDOWS\system32\dllcache\diwan.sys 2007-12-07 08:41 . 2001-08-23 17:47 422,429 --a--c--- C:\WINDOWS\system32\dllcache\dgconfig.dll 2007-12-07 08:40 . 2001-08-23 17:04 980,034 --a--c--- C:\WINDOWS\system32\dllcache\cicap.sys 2007-12-07 08:39 . 2004-08-04 00:54 1,888,992 --a--c--- C:\WINDOWS\system32\dllcache\ati3duag.dll 2007-12-07 08:38 . 2004-08-04 00:48 2,150,400 --a--c--- C:\WINDOWS\system32\dllcache tkrnlmp.exe 2007-12-07 08:35 . 2007-12-08 23:53 833,355 ---hs---- C:\WINDOWS\system32\ebrnkcys.ini 2007-12-05 22:45 . 2007-12-08 10:57 d-------- C:\Program Files\MSI 2007-12-03 21:59 . 2007-12-03 21:59 d-------- C:\Documents and Settings\MARETTE\Application Data\Atari 2007-12-02 02:51 . 2007-12-02 02:51 143 --a------ C:\WINDOWS\system32\mcrh.tmp 2007-12-02 02:27 . 2007-12-02 02:27 0 --a------ C:\WINDOWS sreg.dat 2007-12-01 18:31 . 2007-12-01 18:31 d-------- C:\WINDOWS\system32\Kaspersky Lab . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-13 17:19 --------- d-----w C:\Program Files\WinTV 2007-12-12 20:21 --------- d-----w C:\Program Files\QuickTime 2007-12-12 19:44 --------- d-----w C:\Program Files\iTunes 2007-12-11 23:01 --------- d-----w C:\Program Files\UltimateZip 2007-12-11 19:55 132,815 ----a-w C:\WINDOWS\BricoPackUninst.cmd 2007-12-10 21:05 --------- d-----w C:\Program Files\Fichiers communs\Stardock 2007-12-09 13:52 --------- d-----w C:\Program Files\Stardock 2007-12-08 22:15 --------- d-----w C:\Program Files\Microsoft ActiveSync 2007-12-05 21:43 --------- d-----w C:\Program Files\Setup Files 2007-12-03 20:43 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-12-03 13:51 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2007-11-30 23:40 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys 2007-11-30 21:11 --------- d-----w C:\Documents and Settings\MARETTE\Application Data\Lavasoft 2007-11-30 20:53 --------- d-----w C:\Program Files\lineage2 2007-11-30 20:27 --------- d-----w C:\Program Files\eChanblard 2007-11-29 21:39 --------- d-----w C:\Program Files\Webteh 2007-11-26 21:34 --------- d-----w C:\Documents and Settings\MARETTE\Application Data\OpenOffice.org2 2007-11-25 14:57 --------- d-----w C:\Program Files\Microsoft Works 2007-11-19 22:18 --------- d-----w C:\Program Files\Electronic Arts 2007-11-11 02:14 --------- d-----w C:\Program Files\Fichiers communs\Intel 2007-11-11 02:14 --------- d-----w C:\Program Files\CounterPath 2007-11-09 18:18 22,328 ----a-w C:\Documents and Settings\MARETTE\Application Data\PnkBstrK.sys 2007-11-09 18:09 --------- d-----w C:\Program Files\Activision 2007-11-09 13:40 --------- d-----w C:\Program Files\Java 2007-11-07 18:00 --------- d-----w C:\Documents and Settings\MARETTE\Application Data\IGN_DLM 2007-10-23 17:23 --------- d-----w C:\Documents and Settings\MARETTE\Application Data\Template 2007-10-23 17:06 --------- d-----w C:\Program Files\Cobian Backup 8 2007-10-16 13:38 --------- d-----w C:\Program Files\K!TV 2007-01-14 16:30 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe 2006-04-11 23:07 4,096 ----a-w C:\Documents and Settings\MARETTE\log.dat 2006-09-17 15:42 56 --sha-r C:\WINDOWS\system32\54F6A1598F.sys 2006-09-17 15:42 1,890 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((( snapshot@2007-12-11_18.37.31.75 ))))))))))))))))))))))))))))))))))))))))) . + 2004-08-05 12:00:00 457,728 ----a-w C:\WINDOWS\BricoPacks\SysFiles\10_cmdial32.dll + 2004-08-05 12:00:00 70,144 ----a-w C:\WINDOWS\BricoPacks\SysFiles\11_console.dll + 2005-08-20 09:30:00 2,085,888 ----a-w C:\WINDOWS\BricoPacks\SysFiles\118_shellstyle.dll + 2005-08-20 11:48:00 1,201,664 ----a-w C:\WINDOWS\BricoPacks\SysFiles\119_shellstyle.dll + 2004-08-05 12:00:00 190,976 ----a-w C:\WINDOWS\BricoPacks\SysFiles\12_credui.dll + 2005-08-20 09:30:00 2,085,888 ----a-w C:\WINDOWS\BricoPacks\SysFiles\120_shellstyle.dll + 2005-08-20 11:48:00 1,201,664 ----a-w C:\WINDOWS\BricoPacks\SysFiles\121_shellstyle.dll + 2007-04-20 17:16:00 1,117,184 ----a-w C:\WINDOWS\BricoPacks\SysFiles\123_Shellstyle.dll + 2007-04-20 17:16:00 1,117,184 ----a-w C:\WINDOWS\BricoPacks\SysFiles\124_Shellstyle.dll + 2007-04-21 09:07:00 894,464 ----a-w C:\WINDOWS\BricoPacks\SysFiles\125_Shellstyle.dll + 2007-04-20 17:16:00 1,117,184 ----a-w C:\WINDOWS\BricoPacks\SysFiles\126_Shellstyle.dll + 2004-08-05 12:00:00 978,432 ----a-w C:\WINDOWS\BricoPacks\SysFiles\14_explorer.exe + 2004-08-05 12:00:00 396,288 ----a-w C:\WINDOWS\BricoPacks\SysFiles\15_fontext.dll + 2006-05-21 07:43:14 53,248 ----a-w C:\WINDOWS\BricoPacks\SysFiles\165_YzShadow.dll + 2006-05-21 07:43:14 155,648 ----a-w C:\WINDOWS\BricoPacks\SysFiles\166_YzShadow.exe + 2004-08-05 12:00:00 764,928 ----a-w C:\WINDOWS\BricoPacks\SysFiles\17_helpctr.exe + 2007-01-01 15:23:54 1,645,320 ----a-w C:\WINDOWS\BricoPacks\SysFiles\173_gdiplus.dll + 2007-03-18 22:04:22 69,632 ----a-w C:\WINDOWS\BricoPacks\SysFiles\177_RocketDock.dll + 2007-03-18 22:05:02 630,784 ----a-w C:\WINDOWS\BricoPacks\SysFiles\178_RocketDock.exe + 2004-08-05 12:00:00 161,792 ----a-w C:\WINDOWS\BricoPacks\SysFiles\18_hotplug.dll + 2007-03-04 07:48:16 106,496 ----a-w C:\WINDOWS\BricoPacks\SysFiles\196_RocketClock.dll + 2004-08-05 12:00:00 101,376 ----a-w C:\WINDOWS\BricoPacks\SysFiles\2_ahui.exe + 2004-08-05 12:00:00 292,352 ----a-w C:\WINDOWS\BricoPacks\SysFiles\20_inetcplc.dll + 2004-08-05 12:00:00 409,600 ----a-w C:\WINDOWS\BricoPacks\SysFiles\23_keymgr.dll + 2004-08-05 12:00:00 3,128,320 ----a-w C:\WINDOWS\BricoPacks\SysFiles\24_logon.scr + 2004-08-05 12:00:00 544,768 ----a-w C:\WINDOWS\BricoPacks\SysFiles\26_migwiz.exe + 2004-08-05 12:00:00 380,416 ----a-w C:\WINDOWS\BricoPacks\SysFiles\28_moricons.dll + 2004-08-05 12:00:00 1,111,552 ----a-w C:\WINDOWS\BricoPacks\SysFiles\29_msgina.dll + 2007-08-13 17:54:12 3,578,368 ----a-w C:\WINDOWS\BricoPacks\SysFiles\30_mshtml.dll + 2004-08-05 12:00:00 444,928 ----a-w C:\WINDOWS\BricoPacks\SysFiles\31_mspaint.exe + 2004-08-05 12:00:00 328,192 ----a-w C:\WINDOWS\BricoPacks\SysFiles\32_mstask.dll + 2004-08-05 12:00:00 657,408 ----a-w C:\WINDOWS\BricoPacks\SysFiles\33_mstscax.dll + 2004-08-05 12:00:00 86,528 ----a-w C:\WINDOWS\BricoPacks\SysFiles\34_mydocs.dll + 2004-08-05 12:00:00 55,296 ----a-w C:\WINDOWS\BricoPacks\SysFiles\35_narrator.exe + 2004-08-05 12:00:00 153,088 ----a-w C:\WINDOWS\BricoPacks\SysFiles\37_netid.dll + 2004-08-05 12:00:00 2,139,648 ----a-w C:\WINDOWS\BricoPacks\SysFiles\38_netshell.dll + 2004-08-05 12:00:00 416,256 ----a-w C:\WINDOWS\BricoPacks\SysFiles\39_newdev.dll + 2004-08-05 12:00:00 28,672 ----a-w C:\WINDOWS\BricoPacks\SysFiles\4_batmeter.dll + 2004-08-05 12:00:00 156,672 ----a-w C:\WINDOWS\BricoPacks\SysFiles\40_notepad.exe + 2004-08-05 12:00:00 156,672 ----a-w C:\WINDOWS\BricoPacks\SysFiles\41_notepad.exe + 2004-08-05 12:00:00 233,984 ----a-w C:\WINDOWS\BricoPacks\SysFiles\42_ntshrui.dll + 2007-08-13 17:44:06 101,376 ----a-w C:\WINDOWS\BricoPacks\SysFiles\44_occache.dll + 2004-08-05 12:00:00 758,784 ----a-w C:\WINDOWS\BricoPacks\SysFiles\46_printui.dll + 2004-08-05 12:00:00 1,256,960 ----a-w C:\WINDOWS\BricoPacks\SysFiles\47_rasdlg.dll + 2004-08-05 12:00:00 230,912 ----a-w C:\WINDOWS\BricoPacks\SysFiles\48_regedit.exe + 2004-08-05 12:00:00 689,664 ----a-w C:\WINDOWS\BricoPacks\SysFiles\49_shdoclc.dll + 2006-09-23 12:12:56 1,021,440 ----a-w C:\WINDOWS\BricoPacks\SysFiles\5_browseui.dll + 2006-09-23 12:12:56 1,776,640 ----a-w C:\WINDOWS\BricoPacks\SysFiles\50_shdocvw.dll + 2004-08-05 12:00:00 12,854,272 ----a-w C:\WINDOWS\BricoPacks\SysFiles\51_shell32.dll + 2004-08-05 12:00:00 1,790,464 ----a-w C:\WINDOWS\BricoPacks\SysFiles\52_shimgvw.dll + 2006-09-23 12:12:56 499,200 ----a-w C:\WINDOWS\BricoPacks\SysFiles\53_shlwapi.dll + 2004-08-05 12:00:00 182,272 ----a-w C:\WINDOWS\BricoPacks\SysFiles\54_sndrec32.exe + 2004-08-05 12:00:00 152,576 ----a-w C:\WINDOWS\BricoPacks\SysFiles\55_sndvol32.exe + 2007-03-18 22:04:18 69,632 ----a-w C:\WINDOWS\BricoPacks\SysFiles\550_Debug.exe + 2007-01-01 15:24:48 6,144 ----a-w C:\WINDOWS\BricoPacks\SysFiles\551_LanguageID Finder.exe + 2006-05-21 07:43:06 1,645,320 ----a-w C:\WINDOWS\BricoPacks\SysFiles\553_gdiplus.dll + 2006-05-21 07:43:08 65,536 ----a-w C:\WINDOWS\BricoPacks\SysFiles\557_UberIcon.dll + 2006-05-21 07:43:08 35,328 ----a-w C:\WINDOWS\BricoPacks\SysFiles\559_Uninst.exe + 2004-08-05 12:00:00 147,968 ----a-w C:\WINDOWS\BricoPacks\SysFiles\56_stobject.dll + 2004-08-05 12:00:00 183,296 ----a-w C:\WINDOWS\BricoPacks\SysFiles\58_sysocmgr.exe + 2004-08-05 12:00:00 1,261,568 ----a-w C:\WINDOWS\BricoPacks\SysFiles\59_syssetup.dll + 2006-05-21 07:43:06 6,144 ----a-w C:\WINDOWS\BricoPacks\SysFiles\593_LanguageID Finder.exe + 2004-08-05 12:00:00 83,456 ----a-w C:\WINDOWS\BricoPacks\SysFiles\6_cabview.dll + 2004-08-05 12:00:00 189,440 ----a-w C:\WINDOWS\BricoPacks\SysFiles\60_taskmgr.exe + 2006-05-21 07:43:06 53,248 ----a-w C:\WINDOWS\BricoPacks\SysFiles\601_fx.dll + 2006-05-21 07:43:06 57,344 ----a-w C:\WINDOWS\BricoPacks\SysFiles\609_fx.dll + 2005-06-01 19:41:18 65,536 ----a-w C:\WINDOWS\BricoPacks\SysFiles\619_TransBar.exe + 2004-08-05 12:00:00 393,728 ----a-w C:\WINDOWS\BricoPacks\SysFiles\62_themeui.dll + 2007-08-13 17:44:30 62,464 ----a-w C:\WINDOWS\BricoPacks\SysFiles\64_url.dll + 2007-08-13 17:54:10 1,235,968 ----a-w C:\WINDOWS\BricoPacks\SysFiles\65_urlmon.dll + 2007-08-13 17:54:10 231,424 ----a-w C:\WINDOWS\BricoPacks\SysFiles\66_webcheck.dll + 2004-08-05 12:00:00 890,880 ----a-w C:\WINDOWS\BricoPacks\SysFiles\67_wiaacmgr.exe + 2004-08-05 12:00:00 774,656 ----a-w C:\WINDOWS\BricoPacks\SysFiles\68_wiashext.dll + 2007-08-13 17:54:10 809,472 ----a-w C:\WINDOWS\BricoPacks\SysFiles\69_wininet.dll + 2004-08-05 12:00:00 118,272 ----a-w C:\WINDOWS\BricoPacks\SysFiles\7_calc.exe + 2004-08-05 12:00:00 773,120 ----a-w C:\WINDOWS\BricoPacks\SysFiles\70_WINNTBBU.DLL + 2004-08-05 12:00:00 292,352 ----a-w C:\WINDOWS\BricoPacks\SysFiles\71_winsrv.dll + 2007-07-30 18:19:16 53,080 ----a-w C:\WINDOWS\BricoPacks\SysFiles\73_wuauclt.exe + 2004-08-05 12:00:00 168,960 ----a-w C:\WINDOWS\BricoPacks\SysFiles\74_wuauclt1.exe + 2004-08-05 12:00:00 3,378,176 ----a-w C:\WINDOWS\BricoPacks\SysFiles\76_xpsp2res.dll + 2004-08-05 12:00:00 907,776 ----a-w C:\WINDOWS\BricoPacks\SysFiles\77_zipfldr.dll + 2004-08-05 12:00:00 5,650,944 ----a-w C:\WINDOWS\BricoPacks\SysFiles\78_logonui.exe + 2004-08-05 12:00:00 110,080 ----a-w C:\WINDOWS\BricoPacks\SysFiles\8_cleanmgr.exe + 2004-08-05 12:00:00 223,744 ----a-w C:\WINDOWS\BricoPacks\SysFiles\80_msimn.exe + 2004-08-05 12:00:00 2,534,400 ----a-w C:\WINDOWS\BricoPacks\SysFiles\81_msoeres.dll + 2004-08-05 12:00:00 3,676,160 ----a-w C:\WINDOWS\BricoPacks\SysFiles\82_moviemk.exe + 2007-04-22 10:31:50 147,456 ----a-w C:\WINDOWS\BricoPacks\SysFiles\83_Panel.exe + 2004-08-05 12:00:00 428,032 ----a-w C:\WINDOWS\BricoPacks\SysFiles\9_cmd.exe + 2007-12-07 19:31:02 219,648 ----a-w C:\WINDOWS\BricoPacks\SysFiles\Ux_uxtheme.dll + 2001-10-18 21:51:00 46,592 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\iColorFolder\CMExt.dll + 2005-06-09 22:08:00 283,294 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\iColorFolder\iColorFolder.dll + 2006-03-09 14:33:18 405,504 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\iColorFolder\iColorFolder.exe + 2005-06-09 22:08:00 283,294 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\iColorFolder\skins\Vista Inspirat\iColorFolder.dll + 2007-12-11 19:52:45 33,617 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\iColorFolder\uninstall.exe + 2007-04-22 08:18:34 98,304 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\pack-it.exe + 2004-08-05 12:00:00 457,728 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\10_cmdial32.dll + 2004-08-05 12:00:00 70,144 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\11_console.dll + 2004-08-05 12:00:00 190,976 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\12_credui.dll + 2004-08-05 12:00:00 978,432 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\14_explorer.exe + 2004-08-05 12:00:00 396,288 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\15_fontext.dll + 2004-08-05 12:00:00 764,928 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\17_helpctr.exe + 2004-08-05 12:00:00 161,792 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\18_hotplug.dll + 2004-08-05 12:00:00 101,376 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\2_ahui.exe + 2004-08-05 12:00:00 292,352 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\20_inetcplc.dll + 2004-08-05 12:00:00 409,600 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\23_keymgr.dll + 2004-08-05 12:00:00 3,128,320 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\24_logon.scr + 2004-08-05 12:00:00 544,768 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\26_migwiz.exe + 2004-08-05 12:00:00 380,416 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\28_moricons.dll + 2004-08-05 12:00:00 1,111,552 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\29_msgina.dll + 2007-08-13 17:54:12 3,851,264 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\30_mshtml.dll + 2004-08-05 12:00:00 444,928 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\31_mspaint.exe + 2004-08-05 12:00:00 328,192 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\32_mstask.dll + 2004-08-05 12:00:00 657,408 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\33_mstscax.dll + 2004-08-05 12:00:00 86,528 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\34_mydocs.dll + 2004-08-05 12:00:00 56,832 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\35_narrator.exe + 2004-08-05 12:00:00 153,088 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\37_netid.dll + 2004-08-05 12:00:00 2,139,648 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\38_netshell.dll + 2004-08-05 12:00:00 416,256 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\39_newdev.dll + 2004-08-05 12:00:00 28,672 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\4_batmeter.dll + 2004-08-05 12:00:00 156,672 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\40_notepad.exe + 2004-08-05 12:00:00 156,672 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\41_notepad.exe + 2004-08-05 12:00:00 233,984 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\42_ntshrui.dll + 2007-08-13 17:44:06 162,816 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\44_occache.dll + 2004-08-05 12:00:00 758,784 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\46_printui.dll + 2004-08-05 12:00:00 1,256,960 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\47_rasdlg.dll + 2004-08-05 12:00:00 230,912 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\48_regedit.exe + 2004-08-05 12:00:00 689,664 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\49_shdoclc.dll + 2006-09-23 12:12:56 1,021,440 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\5_browseui.dll + 2006-09-23 12:12:56 1,776,640 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\50_shdocvw.dll + 2004-08-05 12:00:00 12,854,272 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\51_shell32.dll + 2004-08-05 12:00:00 1,790,464 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\52_shimgvw.dll + 2006-09-23 12:12:56 499,200 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\53_shlwapi.dll + 2004-08-05 12:00:00 182,272 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\54_sndrec32.exe + 2004-08-05 12:00:00 152,576 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\55_sndvol32.exe + 2004-08-05 12:00:00 147,968 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\56_stobject.dll + 2004-08-05 12:00:00 183,296 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\58_sysocmgr.exe + 2004-08-05 12:00:00 1,261,568 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\59_syssetup.dll + 2004-08-05 12:00:00 83,456 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\6_cabview.dll + 2004-08-05 12:00:00 189,440 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\60_taskmgr.exe + 2004-08-05 12:00:00 393,728 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\62_themeui.dll + 2007-08-13 17:44:30 62,464 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\64_url.dll + 2007-08-13 17:54:10 1,235,968 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\65_urlmon.dll + 2007-08-13 17:54:10 392,192 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\66_webcheck.dll + 2004-08-05 12:00:00 890,880 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\67_wiaacmgr.exe + 2004-08-05 12:00:00 774,656 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\68_wiashext.dll + 2007-08-13 17:54:10 809,472 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\69_wininet.dll + 2004-08-05 12:00:00 118,272 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\7_calc.exe + 2004-08-05 12:00:00 773,120 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\70_WINNTBBU.DLL + 2004-08-05 12:00:00 292,352 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\71_winsrv.dll + 2007-07-30 18:19:16 68,440 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\73_wuauclt.exe + 2004-08-05 12:00:00 288,768 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\74_wuauclt1.exe + 2004-08-05 12:00:00 3,378,176 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\76_xpsp2res.dll + 2004-08-05 12:00:00 907,776 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\77_zipfldr.dll + 2004-08-05 12:00:00 5,650,944 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\78_logonui.exe + 2004-08-05 12:00:00 110,080 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\8_cleanmgr.exe + 2004-08-05 12:00:00 223,744 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\80_msimn.exe + 2004-08-05 12:00:00 2,534,400 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\81_msoeres.dll + 2004-08-05 12:00:00 3,676,160 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\82_moviemk.exe + 2004-08-05 12:00:00 428,032 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\9_cmd.exe + 2007-12-07 19:31:02 219,648 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\PackFiles\Ux_uxtheme.dll + 2007-12-11 19:55:34 153,834 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\Remove.exe + 2007-05-28 15:06:40 15,191 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\ResFiles\77_logonui.exe\UIFILE_1000.bin + 2006-05-21 07:49:32 881,664 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\ResHacker\ResHacker.exe + 2006-05-21 07:49:38 11,776 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\Tools\dialog.exe + 2006-05-21 07:49:38 32,610 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\Tools efresh.exe + 2007-05-28 15:06:48 155,417 ----a-w C:\WINDOWS\BricoPacks\Vista Inspirat 2\Update.exe - 2007-12-08 02:32:45 141,824 ----a-w C:\WINDOWS\catchme.exe + 2007-12-09 18:04:27 142,336 ----a-w C:\WINDOWS\catchme.exe + 2006-03-01 05:21:26 1,675,776 ----a-w C:\WINDOWS\system32\aurora.scr + 2006-03-01 04:53:40 1,185,280 ----a-w C:\WINDOWS\system32\bubbles.scr - 2007-07-30 18:19:16 53,080 -c--a-w C:\WINDOWS\system32\dllcache\wuauclt.exe + 2007-07-30 18:19:16 68,440 -c--a-w C:\WINDOWS\system32\dllcache\wuauclt.exe + 2007-08-09 12:04:11 40,768 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys + 2007-07-18 13:22:19 21,312 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys + 2007-12-12 21:29:05 61,632 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys + 2007-03-01 09:34:36 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys - 2007-08-13 17:54:12 3,578,368 ----a-w C:\WINDOWS\system32\mshtml.dll + 2007-08-13 17:54:12 3,851,264 ----a-w C:\WINDOWS\system32\mshtml.dll + 2007-07-30 18:18:34 207,736 ----a-w C:\WINDOWS\system32\muweb.dll + 2006-03-03 14:42:34 529,408 ----a-w C:\WINDOWS\system32\Mystify.scr - 2004-08-05 12:00:00 55,296 ----a-w C:\WINDOWS\system32 arrator.exe + 2004-08-05 12:00:00 56,832 ----a-w C:\WINDOWS\system32 arrator.exe - 2007-08-13 17:44:06 101,376 ----a-w C:\WINDOWS\system32\occache.dll + 2007-08-13 17:44:06 162,816 ----a-w C:\WINDOWS\system32\occache.dll + 2006-03-01 05:21:32 529,408 ----a-w C:\WINDOWS\system32 ibbons.scr - 2007-08-13 17:54:10 231,424 ----a-w C:\WINDOWS\system32\webcheck.dll + 2007-08-13 17:54:10 392,192 ----a-w C:\WINDOWS\system32\webcheck.dll - 2007-07-30 18:19:16 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe + 2007-07-30 18:19:16 68,440 ----a-w C:\WINDOWS\system32\wuauclt.exe - 2004-08-05 12:00:00 168,960 ----a-w C:\WINDOWS\system32\wuauclt1.exe + 2004-08-05 12:00:00 288,768 ----a-w C:\WINDOWS\system32\wuauclt1.exe . -- Snapshot reset to current date -- . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A2B314DD-9FCA-43BF-97FB-F2617290130C}] C:\WINDOWS\system32\mlljk.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00] "RocketDock"="E:\emulation\RocketDock\RocketDock.exe" [2007-09-01 19:19] "VisualTaskTips"="C:\Program Files\VisualTaskTips\VisualTaskTips.exe" [2007-09-05 18:20] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="RUNDLL32.exe" [2004-08-05 13:00 C:\WINDOWS\system32 undll32.exe] "nwiz"="nwiz.exe" [2005-12-10 03:06 C:\WINDOWS\system32 wiz.exe] "games-frm.exe"="" [] "NvMediaCenter"="RUNDLL32.exe" [2004-08-05 13:00 C:\WINDOWS\system32 undll32.exe] "SoundMan"="SOUNDMAN.EXE" [2006-08-03 05:12 C:\WINDOWS\soundman.exe] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-12 22:29] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\winouw32] winouw32.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\yayxxvv] yayxxvv.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^InterVideo WinCinema Manager.lnk] backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^SATARAID5.lnk] backup=C:\WINDOWS\pss\SATARAID5.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^MARETTE^Menu Démarrer^Programmes^Démarrage^UberIcon.lnk] backup=C:\WINDOWS\pss\UberIcon.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UberIcon] C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vovohsts] rundll32.exe C:\Program Files\vovohsts izczmpc.dll,Init [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{72f7da40-2532-11db-ab68-0013d3c8b0fd}] \Shell\AutoRun\command - F:\ReadMe.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d4f57ca3-3bf6-11d8-9d18-806d6172696f}] \Shell\AutoRun\command - D:\Setup.exe . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2007-12-06 18:25:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe "2007-12-13 16:55:16 C:\WINDOWS\Tasks\User_Feed_Synchronization-{24AB4569-E232-4FE4-B5B8-1F5928FB82B7}.job" - C:\WINDOWS\system32\msfeedssync.exe . ************************************************************************** catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-13 18:19:33 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.2180] -> C:\Program Files\VisualTaskTips\VttHooks.dll -> E:\emulation\RocketDock\RocketDock.dll -> C:\Program Files\Stardock\ObjectDock\DockShellHook.dll -> C:\PROGRA~1\ULTIMA~1\uzshldr.dll . Completion time: 2007-12-13 18:21:19 - machine was rebooted C:\ComboFix2.txt ... 2007-12-11 18:38 . 2007-12-11 20:32:59 --- E O F ---

julien561 · Answer

Cette discution n'est donc pas résolu, merci d'y répondre ;)

Le sioux · Answer

Bonsoir Julien

J'avais sur demande de Marie commencé a te préparer un script , vu que tu as relancé ComboFix, je l'ai remodifié un peu en fonction des nouveaux résultats.

1) Sauvegarde de la base de registre en cas de problème 

Cliquer sur Démarrer / exécuter / tape regedit puis valide par ok: 
Sélectionnez la ligne "poste de travail" d'un clic: 
Dans le menu Fichier cliquez sur exporter : 
Choisis de sauvegarder sur le bureau pour retrouver la sauvegarde facilement, nommez-la (ex sauvegarde bdr) puis enregistrer: 
Ta sauvegarde de la base de registre windows est sur le bureau: 
En cas de problème, pour la relancer, il suffira de double-cliquer dessus et d accepter la fusion dans le registre en validant par ok a la demande formulée. 

2) ComboFix avec CFScript 

* Sélectionne le texte suivant (en gras) dans son intégralité : 

Registry:: 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A2B314DD-9FCA-43BF-97FB-F2617290130C}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{44E36537-16E6-428C-A1A5-5FE8AC57AC86}] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{489E76B7-222A-4E08-9459-FFE86DE1245E}] 
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\winouw32] 
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\yayxxvv] 
[HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\windows] 
"load"=- 
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vovohsts] 
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00


File:: 
C:\WINDOWS\system32\mlljk.dll 
C:\WINDOWS\system32\RCX2F.tmp 
C:\WINDOWS\system32\RCX35.tmp 
C:\WINDOWS\system32\RCX32.tmp 
C:\WINDOWS\system32\RCX2A.tmp 
C:\WINDOWS\system32\RCX25.tmp 
C:\WINDOWS\system32\RCX27.tmp 
C:\WINDOWS\system32\RCX26.tmp 
C:\WINDOWS\system32\RCX1F.tmp 
C:\WINDOWS\system32\RCX3A.tmp 
C:\WINDOWS\system32\RCX5A.tmp 
C:\WINDOWS\system32\RCX2C.tmp 
C:\WINDOWS\system32\RCX1C.tmp 
C:\WINDOWS\system32\RCX1A.tmp 
C:\WINDOWS\system32\RCX33.tmp 
C:\WINDOWS\system32\RCX19.tmp 
C:\WINDOWS\system32\ebrnkcys.ini 
C:\WINDOWS\system32\RCX9BA.tmp 
C:\WINDOWS\system32\RCX12.tmp 
C:\WINDOWS\system32\RCX1B.tmp 
C:\WINDOWS\system32\54F6A1598F.sys 
C:\Documents and settings1\MARETTE\Local Setting\Temp\fkrvehqs.dll 
C:\WINDOWS\system32\dllcache\SETA31.tmp 
C:\WINDOWS\system32\dllcache\SETA30.tmp 
C:\WINDOWS\system32\dllcache\SETA2F.tmp 
C:\WINDOWS\system32\dllcache\SETA2E.tmp 
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\ebrnkcys.ini
C:\WINDOWS\system32mtblywp.ini
F:\ReadMe.exe 

Folder:: 
C:\Program Files\vovohsts

* Copie le texte sélectionné (CTRL+C). 
* Ouvre le bloc-notes (programme>Accessoires >bloc-notes). 
* Colle le texte copié dans ce bloc-notes (CTRL+V). 
* Sauvegarde ce fichier sous le nom de CFScript.txt 

Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement 

* Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe ( sur ton bureau) 

* Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" , tape 1 puis valide. 

* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal! 

Ne touche à rien tant que le scan n'est pas terminé. 

* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu. 

* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt 

--> Poste ce rapport et un nouveau log HijackThis en réponse. 

@ suivre

^^Marie^^ · Answer

Merci ;;))

julien561 · Answer

Bonsoir, Tout d'abord merci Marie pour avoir fait suivre cette demande, c'est vraiment sympa ;) Ensuite merci à toi Le Sioux de venir à mon aide! J'ai suivi la procédure que tu ma donné et donc: Voici le rapport Combofix: ComboFix 07-12-15.1 - MARETTE 2007-12-14 18:10:24.3 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.519 [GMT 1:00] Running from: C:\Documents and Settings\MARETTE\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\MARETTE\Bureau\CFScript.txt * Created a new restore point . ((((((((((((((((((((((((((((( Fichiers créés 2007-11-15 to 2007-12-15 )))))))))))))))))))))))))))))))))))) . 2007-12-13 18:03 . 2007-12-13 18:03 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2007-12-13 18:03 . 2007-12-13 18:03 1,409 --a------ C:\WINDOWS\QTFont.for 2007-12-12 22:34 . 2007-12-12 22:35 d-------- C:\Documents and Settings\MARETTE\Application Data\PrevxCSI 2007-12-12 22:34 . 2007-12-12 22:34 d-------- C:\Documents and Settings\All Users\Application Data\Prevx 2007-12-12 22:27 . 2007-12-12 22:27 d-------- C:\Program Files\Avira 2007-12-12 22:20 . 2007-12-12 22:20 d-------- C:\Program Files\Alwil Software 2007-12-12 20:24 . 2007-12-12 20:24 d-------- C:\Documents and Settings\All Users\Application Data\Avira 2007-12-12 18:44 . 2007-12-12 20:41 917,013 ---hs---- C:\WINDOWS\system32 mtblywp.ini 2007-12-12 17:32 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll 2007-12-12 17:32 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui 2007-12-11 23:59 . 2007-12-11 23:59 d-------- C:\Program Files\Sidebar 2007-12-11 23:59 . 2007-12-11 23:59 d-------- C:\Program Files\Gadgets 2007-12-11 23:59 . 2007-12-11 23:59 d-------- C:\Program Files\Fonts 2007-12-11 23:51 . 2007-12-11 23:51 d-------- C:\WINDOWS\system32\data 2007-12-11 23:51 . 2007-12-11 23:51 193,090 --a------ C:\WINDOWS\system32\uninstall_Vista ScreenSaver.exe 2007-12-11 20:53 . 2007-12-11 20:55 94 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd 2007-12-11 00:30 . 2007-12-11 18:27 600 --a------ C:\Documents 2007-12-10 20:58 . 2007-12-10 22:05 d-------- C:\Program Files\SPYWAREfighter 2007-12-09 19:53 . 2007-12-09 19:53 d-------- C:\Deckard 2007-12-09 17:31 . 2007-12-10 22:05 d-------- C:\Program Files\Logon Loader 2007-12-09 15:19 . 2007-12-12 22:55 d-------- C:\Program Files\VisualTaskTips 2007-12-09 14:14 . 2007-12-12 20:14 d-------- C:\Program Files\Thoosje Vista Sidebar v1.7.8 2007-12-09 02:41 . 2007-12-10 22:07 d-------- C:\Program Files\WinFlip 2007-12-09 02:41 . 2007-12-10 22:07 d-------- C:\Program Files\TrueTransparency 2007-12-09 02:41 . 2007-12-10 22:07 d-------- C:\Program Files\Styler 2007-12-09 02:37 . 2007-12-10 22:11 d-------- C:\WINDOWS\system32\VITrans 2007-12-09 02:37 . 2007-12-10 22:07 d-------- C:\VTPFiles 2007-12-09 00:05 . 2007-12-09 01:12 d-------- C:\Program Files\EsetOnlineScanner 2007-12-08 23:29 . 2004-01-01 02:28 d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau 2007-12-08 23:29 . 2004-01-01 02:28 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression 2007-12-08 23:29 . 2007-11-30 02:17 d--h----- C:\Documents and Settings\Administrateur\Modèles 2007-12-08 23:29 . 2004-01-01 02:28 d-------- C:\Documents and Settings\Administrateur\Mes documents 2007-12-08 23:29 . 2004-01-01 02:28 dr------- C:\Documents and Settings\Administrateur\Menu Démarrer 2007-12-08 23:29 . 2004-01-01 02:28 d-------- C:\Documents and Settings\Administrateur\Favoris 2007-12-08 23:29 . 2006-09-17 17:01 d-------- C:\Documents and Settings\Administrateur\Bureau 2007-12-08 02:22 . 2005-10-21 02:47 30,592 --a--c--- C:\WINDOWS\system32\dllcache\SETA31.tmp 2007-12-08 02:22 . 2005-10-21 02:47 30,592 --a--c--- C:\WINDOWS\system32\dllcache\SETA30.tmp 2007-12-08 02:22 . 2005-10-21 02:47 12,800 --a--c--- C:\WINDOWS\system32\dllcache\SETA2F.tmp 2007-12-08 02:22 . 2005-10-21 02:47 12,800 --a--c--- C:\WINDOWS\system32\dllcache\SETA2E.tmp 2007-12-08 02:17 . 2007-12-13 20:30 d-------- C:\WINDOWS\BDOSCAN8 2007-12-08 02:07 . 2007-12-08 02:07 d-------- C:\Program Files\CCleaner 2007-12-08 01:36 . 2007-12-08 02:05 d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2007-12-07 21:03 . 2007-12-07 21:03 d-------- C:\Program Files\Trend Micro 2007-12-07 19:50 . 2007-12-12 22:30 d-------- C:\VundoFix Backups 2007-12-07 19:43 . 2002-07-17 09:20 45,056 --a------ C:\WINDOWS\system32\WNASPI32.DLL 2007-12-07 19:43 . 2002-07-17 08:53 16,877 --a------ C:\WINDOWS\system32\drivers\ASPI32.SYS 2007-12-07 19:43 . 2002-07-17 16:22 5,600 --a------ C:\WINDOWS\system\WINASPI.DLL 2007-12-07 19:43 . 2002-07-17 16:22 4,672 --a------ C:\WINDOWS\system\WOWPOST.EXE 2007-12-07 19:22 . 2004-08-04 00:54 116,736 --a--c--- C:\WINDOWS\system32\dllcache\xrxwiadr.dll 2007-12-07 19:22 . 2001-08-23 17:47 99,865 --a--c--- C:\WINDOWS\system32\dllcache\xlog.exe 2007-12-07 19:22 . 2001-08-23 17:47 27,648 --a--c--- C:\WINDOWS\system32\dllcache\xrxftplt.exe 2007-12-07 19:22 . 2001-08-23 17:47 23,040 --a--c--- C:\WINDOWS\system32\dllcache\xrxwbtmp.dll 2007-12-07 19:22 . 2004-08-03 22:29 19,455 --a--c--- C:\WINDOWS\system32\dllcache\wvchntxx.sys 2007-12-07 19:22 . 2001-08-23 17:47 17,408 --a--c--- C:\WINDOWS\system32\dllcache\xrxscnui.dll 2007-12-07 19:22 . 2001-08-17 20:11 16,970 --a--c--- C:\WINDOWS\system32\dllcache\xem336n5.sys 2007-12-07 19:22 . 2004-08-03 22:29 12,063 --a--c--- C:\WINDOWS\system32\dllcache\wsiintxx.sys 2007-12-07 19:22 . 2004-08-04 00:54 8,192 --a--c--- C:\WINDOWS\system32\dllcache\wshirda.dll 2007-12-07 19:22 . 2001-08-23 17:47 4,608 --a--c--- C:\WINDOWS\system32\dllcache\xrxflnch.exe 2007-12-07 19:20 . 2001-08-17 21:28 794,654 --a--c--- C:\WINDOWS\system32\dllcache\usr1801.sys 2007-12-07 19:19 . 2001-08-23 17:47 525,568 --a--c--- C:\WINDOWS\system32\dllcache ridxp.dll 2007-12-07 19:18 . 2001-08-23 17:46 440,576 --a--c--- C:\WINDOWS\system32\dllcache ridkb.dll 2007-12-07 19:17 . 2001-08-23 17:46 172,768 --a--c--- C:\WINDOWS\system32\dllcache 2r4disp.dll 2007-12-07 19:16 . 2001-08-23 16:57 286,848 --a--c--- C:\WINDOWS\system32\dllcache\stlnata.sys 2007-12-07 19:15 . 2004-08-03 22:41 404,990 --a--c--- C:\WINDOWS\system32\dllcache\slntamr.sys 2007-12-07 19:14 . 2001-08-23 17:46 386,560 --a--c--- C:\WINDOWS\system32\dllcache\sgiul50.dll 2007-12-07 19:13 . 2001-08-23 17:47 495,616 --a--c--- C:\WINDOWS\system32\dllcache\sblfx.dll 2007-12-07 19:12 . 2001-08-23 17:18 899,914 --a--c--- C:\WINDOWS\system32\dllcache 2mdkxga.sys 2007-12-07 19:11 . 2001-08-17 21:52 40,448 --a--c--- C:\WINDOWS\system32\dllcache\ql1240.sys 2007-12-07 08:54 . 2004-08-04 00:54 159,232 --a--c--- C:\WINDOWS\system32\dllcache\ptpusd.dll 2007-12-07 08:54 . 2001-08-17 21:28 130,942 --a--c--- C:\WINDOWS\system32\dllcache\ptserlv.sys 2007-12-07 08:54 . 2001-08-17 21:28 128,286 --a--c--- C:\WINDOWS\system32\dllcache\ptserli.sys 2007-12-07 08:54 . 2001-08-17 21:28 112,574 --a--c--- C:\WINDOWS\system32\dllcache\ptserlp.sys 2007-12-07 08:54 . 2001-08-17 21:52 45,312 --a--c--- C:\WINDOWS\system32\dllcache\ql12160.sys 2007-12-07 08:54 . 2001-08-17 21:52 40,320 --a--c--- C:\WINDOWS\system32\dllcache\ql1080.sys 2007-12-07 08:54 . 2001-08-23 17:47 35,328 --a--c--- C:\WINDOWS\system32\dllcache\psisload.dll 2007-12-07 08:54 . 2001-08-17 21:52 33,152 --a--c--- C:\WINDOWS\system32\dllcache\ql10wnt.sys 2007-12-07 08:54 . 2004-08-03 23:00 6,016 --a--c--- C:\WINDOWS\system32\dllcache\qic157.sys 2007-12-07 08:54 . 2001-08-23 17:47 5,632 --a--c--- C:\WINDOWS\system32\dllcache\ptpusb.dll 2007-12-07 08:52 . 2004-08-04 00:49 2,017,280 --a--c--- C:\WINDOWS\system32\dllcache tkrpamp.exe 2007-12-07 08:51 . 2004-08-04 00:47 132,695 --a--c--- C:\WINDOWS\system32\dllcache etwlan5.sys 2007-12-07 08:50 . 2004-08-04 00:54 1,737,856 --a--c--- C:\WINDOWS\system32\dllcache\mtxparhd.dll 2007-12-07 08:49 . 2001-08-17 21:28 802,683 --a--c--- C:\WINDOWS\system32\dllcache\ltsm.sys 2007-12-07 08:48 . 2001-08-23 17:47 242,688 --a--c--- C:\WINDOWS\system32\dllcache\kdsusd.dll 2007-12-07 08:47 . 2001-08-23 17:47 372,824 --a--c--- C:\WINDOWS\system32\dllcache\iconf32.dll 2007-12-07 08:46 . 2004-08-03 22:41 1,041,536 --a--c--- C:\WINDOWS\system32\dllcache\hsfdpsp2.sys 2007-12-07 08:45 . 2001-08-23 17:47 324,608 --a--c--- C:\WINDOWS\system32\dllcache\hpojwia.dll 2007-12-07 08:44 . 2001-08-23 17:46 1,733,120 --a--c--- C:\WINDOWS\system32\dllcache\g400d.dll 2007-12-07 08:43 . 2001-08-23 17:16 630,016 --a--c--- C:\WINDOWS\system32\dllcache\eqn.sys 2007-12-07 08:42 . 2001-08-17 20:14 952,007 --a--c--- C:\WINDOWS\system32\dllcache\diwan.sys 2007-12-07 08:41 . 2001-08-23 17:47 422,429 --a--c--- C:\WINDOWS\system32\dllcache\dgconfig.dll 2007-12-07 08:40 . 2001-08-23 17:04 980,034 --a--c--- C:\WINDOWS\system32\dllcache\cicap.sys 2007-12-07 08:39 . 2004-08-04 00:54 1,888,992 --a--c--- C:\WINDOWS\system32\dllcache\ati3duag.dll 2007-12-07 08:38 . 2004-08-04 00:48 2,150,400 --a--c--- C:\WINDOWS\system32\dllcache tkrnlmp.exe 2007-12-07 08:35 . 2007-12-08 23:53 833,355 ---hs---- C:\WINDOWS\system32\ebrnkcys.ini 2007-12-05 22:45 . 2007-12-08 10:57 d-------- C:\Program Files\MSI 2007-12-03 21:59 . 2007-12-03 21:59 d-------- C:\Documents and Settings\MARETTE\Application Data\Atari 2007-12-02 02:51 . 2007-12-02 02:51 143 --a------ C:\WINDOWS\system32\mcrh.tmp 2007-12-02 02:27 . 2007-12-02 02:27 0 --a------ C:\WINDOWS sreg.dat 2007-12-01 18:31 . 2007-12-01 18:31 d-------- C:\WINDOWS\system32\Kaspersky Lab 2007-12-01 02:08 . 2007-12-01 02:08 d-------- C:\Documents and Settings\All Users\Application Data\Age of Empires 3 . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-14 16:40 --------- d-----w C:\Program Files\WinTV 2007-12-13 21:33 --------- d-----w C:\Program Files\UltimateZip 2007-12-12 20:21 --------- d-----w C:\Program Files\QuickTime 2007-12-12 19:44 --------- d-----w C:\Program Files\iTunes 2007-12-11 19:55 132,815 ----a-w C:\WINDOWS\BricoPackUninst.cmd 2007-12-10 21:05 --------- d-----w C:\Program Files\Fichiers communs\Stardock 2007-12-09 13:52 --------- d-----w C:\Program Files\Stardock 2007-12-08 22:15 --------- d-----w C:\Program Files\Microsoft ActiveSync 2007-12-07 19:31 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll 2007-12-05 21:43 --------- d-----w C:\Program Files\Setup Files 2007-12-03 20:43 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-12-03 13:51 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2007-12-03 13:51 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2007-11-30 23:40 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys 2007-11-30 21:11 --------- d-----w C:\Documents and Settings\MARETTE\Application Data\Lavasoft 2007-11-30 20:53 --------- d-----w C:\Program Files\lineage2 2007-11-30 20:27 --------- d-----w C:\Program Files\eChanblard 2007-11-29 21:39 --------- d-----w C:\Program Files\Webteh 2007-11-26 21:34 --------- d-----w C:\Documents and Settings\MARETTE\Application Data\OpenOffice.org2 2007-11-25 14:57 --------- d-----w C:\Program Files\Microsoft Works 2007-11-19 22:18 --------- d-----w C:\Program Files\Electronic Arts 2007-11-11 02:14 --------- d-----w C:\Program Files\Fichiers communs\Intel 2007-11-11 02:14 --------- d-----w C:\Program Files\CounterPath 2007-11-09 20:12 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe 2007-11-09 18:18 22,328 ----a-w C:\Documents and Settings\MARETTE\Application Data\PnkBstrK.sys 2007-11-09 18:09 --------- d-----w C:\Program Files\Activision 2007-11-09 13:40 --------- d-----w C:\Program Files\Java 2007-11-07 18:00 --------- d-----w C:\Documents and Settings\MARETTE\Application Data\IGN_DLM 2007-10-23 17:23 --------- d-----w C:\Documents and Settings\MARETTE\Application Data\Template 2007-10-23 17:06 --------- d-----w C:\Program Files\Cobian Backup 8 2007-10-16 13:38 --------- d-----w C:\Program Files\K!TV 2007-01-14 16:30 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe 2006-04-11 23:07 4,096 ----a-w C:\Documents and Settings\MARETTE\log.dat 2006-09-17 15:42 56 --sha-r C:\WINDOWS\system32\54F6A1598F.sys 2006-09-17 15:42 1,890 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((( snapshot_2007-12-13_18.20.10.68 ))))))))))))))))))))))))))))))))))))))))) . - 2007-07-22 17:39:27 279,552 ----a-w C:\WINDOWS\system32\swreg.exe + 2007-12-13 20:26:50 156,160 ----a-w C:\WINDOWS\system32\swreg.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00] "RocketDock"="E:\emulation\RocketDock\RocketDock.exe" [2007-09-01 19:19] "VisualTaskTips"="C:\Program Files\VisualTaskTips\VisualTaskTips.exe" [2007-09-05 18:20] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="RUNDLL32.exe" [2004-08-05 13:00 C:\WINDOWS\system32 undll32.exe] "nwiz"="nwiz.exe" [2005-12-10 03:06 C:\WINDOWS\system32 wiz.exe] "games-frm.exe"="" [] "NvMediaCenter"="RUNDLL32.exe" [2004-08-05 13:00 C:\WINDOWS\system32 undll32.exe] "SoundMan"="SOUNDMAN.EXE" [2006-08-03 05:12 C:\WINDOWS\soundman.exe] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-12 22:29] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00] C:\Documents and Settings\MARETTE\Menu D‚marrer\Programmes\D‚marrage\ OneNote 2007 - Capture d'‚cran et lancement.lnk - C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 20:24:54] RocketDock.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-18 23:05:02] Stardock ObjectDock.lnk - C:\Program Files\Stardock\ObjectDock\ObjectDock.exe [2006-02-08 17:42:11] thoosje's sidebar.lnk - C:\Program Files\Thoosje Vista Sidebar v1.7.8 hoosje's sidebar.exe [2007-02-12 12:47:32] TransBar.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-06-01 20:41:18] Y'z Shadow.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-05-21 08:43:14] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe [2005-09-23 22:05:26] AutoStart IR.lnk - C:\Program Files\WinTV\Ir.exe [2007-09-22 20:48:32] Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 08:01:04] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^InterVideo WinCinema Manager.lnk] backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^SATARAID5.lnk] backup=C:\WINDOWS\pss\SATARAID5.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^MARETTE^Menu Démarrer^Programmes^Démarrage^UberIcon.lnk] backup=C:\WINDOWS\pss\UberIcon.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UberIcon] C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{72f7da40-2532-11db-ab68-0013d3c8b0fd}] \Shell\AutoRun\command - F:\ReadMe.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d4f57ca3-3bf6-11d8-9d18-806d6172696f}] \Shell\AutoRun\command - D:\Setup.exe . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2007-12-13 18:25:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe "2007-12-13 16:55:16 C:\WINDOWS\Tasks\User_Feed_Synchronization-{24AB4569-E232-4FE4-B5B8-1F5928FB82B7}.job" - C:\WINDOWS\system32\msfeedssync.exe . ************************************************************************** catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-15 18:12:03 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.2180] -> C:\Program Files\Stardock\ObjectDock\DockShellHook.dll -> E:\emulation\RocketDock\RocketDock.dll -> C:\Program Files\VisualTaskTips\VttHooks.dll -> C:\Documents and Settings\MARETTE\Bureau\Raccourcis Bureau\effetvista\WFHook.dll . Completion time: 2007-12-15 18:12:52 C:\ComboFix2.txt ... 2007-12-13 18:21 C:\ComboFix3.txt ... 2007-12-11 18:38 . 2007-12-13 22:06:54 --- E O F --- Et voici mon nouveau rapport HiJackThis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:13:46, on 15/12/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe E:\emulation\RocketDock\RocketDock.exe C:\Program Files\VisualTaskTips\VisualTaskTips.exe C:\Program Files\WinTV\Ir.exe C:\WINDOWS\system32 undll32.exe C:\Program Files\Stardock\ObjectDock\ObjectDock.exe C:\Program Files\Thoosje Vista Sidebar v1.7.8 hoosje's sidebar.exe C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32 pkcmsvc.exe C:\WINDOWS\system32 vsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Program Files\CyberLink\Shared files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\MARETTE\Bureau\Raccourcis Bureau\effetvista\WinFlip.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32 otepad.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [RocketDock] "E:\emulation\RocketDock\RocketDock.exe" O4 - HKCU\..\Run: [VisualTaskTips] C:\Program Files\VisualTaskTips\VisualTaskTips.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe O4 - Startup: thoosje's sidebar.lnk = C:\Program Files\Thoosje Vista Sidebar v1.7.8 hoosje's sidebar.exe O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) O10 - Unknown file in Winsock LSP: w2pxdrv.dll O10 - Unknown file in Winsock LSP: w2pxdrv.dll O10 - Unknown file in Winsock LSP: w2pxdrv.dll O10 - Unknown file in Winsock LSP: w2pxdrv.dll O10 - Unknown file in Winsock LSP: w2pxdrv.dll O15 - Trusted Zone: http://www.secuser.com O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/ O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/... O17 - HKLM\System\CS1\Services\Tcpip\..\{0FF97CD9-9425-4409-B005-23D0BE1A1447}: NameServer = 203.223.153.21,203.223.145.179 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: npkcmsvc - INCA Internet Co., Ltd. - C:\WINDOWS\system32 pkcmsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32 vsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe

Le sioux · Answer

Bonjour Julien

* Je vais regarder ton rapport ComboFix en attendant

* Dans HijackThis

En O17 redirection vers la Malaisie / Singapour

http://www.dnsstuff.com/tools/whois.ch?ip=203.223.145.179
http://www.dnsstuff.com/tools/whois.ch?ip=203.223.153.21

On  s'occuper de ces redirections :

Je te conseille d'enregistrer la procédure qui suit en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection

1) FixWareout de LonnyRJones

    * Télécharge FixWareout de LonnyRJones d'un de ces deux sites sur le bureau: 

http://download.bleepingcomputer.com/lonny/Fixwareout.exe
http://downloads.subratam.org/Fixwareout.exe

    * Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
    * Le fix va commencer, suis les messages à l'écran.
    * Il te sera demandé de redémarrer ton ordinateur, fais le. 
Ton système mettra un peu plus de temps au démarrage, c'est normal.
    * Sauvegarde sur ton Bureau le contenu du rapport qui va s'afficher à l'écran (report.txt) afin de le retrouver facilement plus tard.


2) Lance HijackThis.

Je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.

Lance Hijackthis en double cliquant sur son raccourci sur le Bureau.
Clique sur Scan Only et coche les lignes suivantes :

O17 - HKLM\System\CS1\Services\Tcpip\..\{0FF97CD9-9425-4409-B005-23D0BE1A1447}: NameServer = 203.223.153.21,203.223.145.179

Ferme toutes les autres fenêtres, tous les autres programmes. Pas de connections Internet.
Clique sur Fix Checked puis clique sur OK
Puis ferme hijackthis.

3) Rapports

Fais redémarrer ton PC et poste en réponse :

* Un nouveau rapport HijackThis
*  Le rapport du FixwareOut que tu as sauvegardé sur ton Bureau

@ suivre

Le sioux · Answer

Re bonsoir Julien

Regarde poste 20, je t'ai déjà donné du boulot, par la suite :

On continu

*  Sélectionne le texte suivant (en gras)  dans son intégralité :

File::
C:\WINDOWS\system32\rmtblywp.ini
C:\WINDOWS\system32\dllcache\SETA31.tmp
C:\WINDOWS\system32\dllcache\SETA30.tmp
C:\WINDOWS\system32\dllcache\SETA2F.tmp
C:\WINDOWS\system32\dllcache\SETA2E.tmp
C:\WINDOWS\system32\ebrnkcys.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\54F6A1598F.sys
C:\WINDOWS\system32\swreg.exe


* Copie le texte sélectionné (CTRL+C).
* Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
* Colle le texte copié dans ce bloc-notes (CTRL+V).
* Sauvegarde ce fichier sous le nom de CFScript.txt
Déconnecte toi du net et désactive ton antivirus  pour que Combofix puisse s'exécuter normalement
* Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe ( sur ton bureau)

* Une fenêtre bleue va apparaître: au message qui apparaît  Type 1 to continue, or 2 to abort , tape 1 puis valide.

* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal!

Ne touche à rien tant que le scan n'est pas terminé. 

* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu ainsi qu'un nouveau rapport HijackThis

* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt 

@ suivre

julien561 · Answer

Salut Le Sioux, merci d'avoir répondu si vite,
Alors je te poste un premier message en réponse au poste 20, voici donc les premier rapports:

Rapport HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:45:17, on 16/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
E:\emulation\RocketDock\RocketDock.exe
C:\Program Files\VisualTaskTips\VisualTaskTips.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\WinTV\Ir.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\Program Files\Thoosje Vista Sidebar v1.7.8	hoosje's sidebar.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32
pkcmsvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "E:\emulation\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [VisualTaskTips] C:\Program Files\VisualTaskTips\VisualTaskTips.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O4 - Startup: thoosje's sidebar.lnk = C:\Program Files\Thoosje Vista Sidebar v1.7.8	hoosje's sidebar.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: npkcmsvc - INCA Internet Co., Ltd. - C:\WINDOWS\system32
pkcmsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe

End of file - 8657 bytes
Ensuite le rapport FixwareOut:
Username "MARETTE" - 16/12/2007 12:17:14 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Cache de résolution DNS vidé.


System was rebooted successfully. 
 
~~~~~ Postrun check 
HKLM\SOFTWARE\~\Winlogon\ "System"="" 
....
....
~~~~~ Misc files. 
....
~~~~~ Checking for older varients.
....


C:\Program Files\UltimateZip < Found 
Additional tools are recommended.  

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionun]
"NvCplDaemon"="RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"games-frm.exe"=""
"NvMediaCenter"="RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit"
"SoundMan"="SOUNDMAN.EXE"
"avgnt"="\"C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe\" /min"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe"
"RocketDock"="\"E:\emulation\RocketDock\RocketDock.exe\""
"VisualTaskTips"="C:\Program Files\VisualTaskTips\VisualTaskTips.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

Voilà ;)

julien561 · Answer

Re salut :) Donc en réponse a ton deuxième post je te met les 2 rapport suivant: Rapport Combofix: ComboFix 07-12-15.1 - MARETTE 2007-12-16 12:57:24.4 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.577 [GMT 1:00] Running from: C:\Documents and Settings\MARETTE\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\MARETTE\Bureau\CFScript.txt * Created a new restore point . ((((((((((((((((((((((((((((( Fichiers créés 2007-11-16 to 2007-12-16 )))))))))))))))))))))))))))))))))))) . 2007-12-13 18:03 . 2007-12-13 18:03 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2007-12-13 18:03 . 2007-12-13 18:03 1,409 --a------ C:\WINDOWS\QTFont.for 2007-12-12 22:34 . 2007-12-12 22:35 d-------- C:\Documents and Settings\MARETTE\Application Data\PrevxCSI 2007-12-12 22:34 . 2007-12-12 22:34 d-------- C:\Documents and Settings\All Users\Application Data\Prevx 2007-12-12 22:27 . 2007-12-12 22:27 d-------- C:\Program Files\Avira 2007-12-12 22:20 . 2007-12-12 22:20 d-------- C:\Program Files\Alwil Software 2007-12-12 20:24 . 2007-12-12 20:24 d-------- C:\Documents and Settings\All Users\Application Data\Avira 2007-12-12 18:44 . 2007-12-12 20:41 917,013 ---hs---- C:\WINDOWS\system32 mtblywp.ini 2007-12-12 17:32 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll 2007-12-12 17:32 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui 2007-12-11 23:59 . 2007-12-11 23:59 d-------- C:\Program Files\Sidebar 2007-12-11 23:59 . 2007-12-11 23:59 d-------- C:\Program Files\Gadgets 2007-12-11 23:59 . 2007-12-11 23:59 d-------- C:\Program Files\Fonts 2007-12-11 23:51 . 2007-12-11 23:51 d-------- C:\WINDOWS\system32\data 2007-12-11 23:51 . 2007-12-11 23:51 193,090 --a------ C:\WINDOWS\system32\uninstall_Vista ScreenSaver.exe 2007-12-11 20:53 . 2007-12-11 20:55 94 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd 2007-12-11 00:30 . 2007-12-11 18:27 600 --a------ C:\Documents 2007-12-10 20:58 . 2007-12-10 22:05 d-------- C:\Program Files\SPYWAREfighter 2007-12-09 19:53 . 2007-12-09 19:53 d-------- C:\Deckard 2007-12-09 17:31 . 2007-12-10 22:05 d-------- C:\Program Files\Logon Loader 2007-12-09 15:19 . 2007-12-12 22:55 d-------- C:\Program Files\VisualTaskTips 2007-12-09 14:14 . 2007-12-12 20:14 d-------- C:\Program Files\Thoosje Vista Sidebar v1.7.8 2007-12-09 02:41 . 2007-12-10 22:07 d-------- C:\Program Files\WinFlip 2007-12-09 02:41 . 2007-12-10 22:07 d-------- C:\Program Files\TrueTransparency 2007-12-09 02:41 . 2007-12-10 22:07 d-------- C:\Program Files\Styler 2007-12-09 02:37 . 2007-12-10 22:11 d-------- C:\WINDOWS\system32\VITrans 2007-12-09 02:37 . 2007-12-10 22:07 d-------- C:\VTPFiles 2007-12-09 00:05 . 2007-12-09 01:12 d-------- C:\Program Files\EsetOnlineScanner 2007-12-08 23:29 . 2004-01-01 02:28 d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau 2007-12-08 23:29 . 2004-01-01 02:28 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression 2007-12-08 23:29 . 2007-11-30 02:17 d--h----- C:\Documents and Settings\Administrateur\Modèles 2007-12-08 23:29 . 2004-01-01 02:28 d-------- C:\Documents and Settings\Administrateur\Mes documents 2007-12-08 23:29 . 2004-01-01 02:28 dr------- C:\Documents and Settings\Administrateur\Menu Démarrer 2007-12-08 23:29 . 2004-01-01 02:28 d-------- C:\Documents and Settings\Administrateur\Favoris 2007-12-08 23:29 . 2006-09-17 17:01 d-------- C:\Documents and Settings\Administrateur\Bureau 2007-12-08 02:22 . 2005-10-21 02:47 30,592 --a--c--- C:\WINDOWS\system32\dllcache\SETA31.tmp 2007-12-08 02:22 . 2005-10-21 02:47 30,592 --a--c--- C:\WINDOWS\system32\dllcache\SETA30.tmp 2007-12-08 02:22 . 2005-10-21 02:47 12,800 --a--c--- C:\WINDOWS\system32\dllcache\SETA2F.tmp 2007-12-08 02:22 . 2005-10-21 02:47 12,800 --a--c--- C:\WINDOWS\system32\dllcache\SETA2E.tmp 2007-12-08 02:17 . 2007-12-13 20:30 d-------- C:\WINDOWS\BDOSCAN8 2007-12-08 02:07 . 2007-12-08 02:07 d-------- C:\Program Files\CCleaner 2007-12-08 01:36 . 2007-12-08 02:05 d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2007-12-07 21:03 . 2007-12-07 21:03 d-------- C:\Program Files\Trend Micro 2007-12-07 19:50 . 2007-12-12 22:30 d-------- C:\VundoFix Backups 2007-12-07 19:43 . 2002-07-17 09:20 45,056 --a------ C:\WINDOWS\system32\WNASPI32.DLL 2007-12-07 19:43 . 2002-07-17 08:53 16,877 --a------ C:\WINDOWS\system32\drivers\ASPI32.SYS 2007-12-07 19:43 . 2002-07-17 16:22 5,600 --a------ C:\WINDOWS\system\WINASPI.DLL 2007-12-07 19:43 . 2002-07-17 16:22 4,672 --a------ C:\WINDOWS\system\WOWPOST.EXE 2007-12-07 19:22 . 2004-08-04 00:54 116,736 --a--c--- C:\WINDOWS\system32\dllcache\xrxwiadr.dll 2007-12-07 19:22 . 2001-08-23 17:47 99,865 --a--c--- C:\WINDOWS\system32\dllcache\xlog.exe 2007-12-07 19:22 . 2001-08-23 17:47 27,648 --a--c--- C:\WINDOWS\system32\dllcache\xrxftplt.exe 2007-12-07 19:22 . 2001-08-23 17:47 23,040 --a--c--- C:\WINDOWS\system32\dllcache\xrxwbtmp.dll 2007-12-07 19:22 . 2004-08-03 22:29 19,455 --a--c--- C:\WINDOWS\system32\dllcache\wvchntxx.sys 2007-12-07 19:22 . 2001-08-23 17:47 17,408 --a--c--- C:\WINDOWS\system32\dllcache\xrxscnui.dll 2007-12-07 19:22 . 2001-08-17 20:11 16,970 --a--c--- C:\WINDOWS\system32\dllcache\xem336n5.sys 2007-12-07 19:22 . 2004-08-03 22:29 12,063 --a--c--- C:\WINDOWS\system32\dllcache\wsiintxx.sys 2007-12-07 19:22 . 2004-08-04 00:54 8,192 --a--c--- C:\WINDOWS\system32\dllcache\wshirda.dll 2007-12-07 19:22 . 2001-08-23 17:47 4,608 --a--c--- C:\WINDOWS\system32\dllcache\xrxflnch.exe 2007-12-07 19:20 . 2001-08-17 21:28 794,654 --a--c--- C:\WINDOWS\system32\dllcache\usr1801.sys 2007-12-07 19:19 . 2001-08-23 17:47 525,568 --a--c--- C:\WINDOWS\system32\dllcache ridxp.dll 2007-12-07 19:18 . 2001-08-23 17:46 440,576 --a--c--- C:\WINDOWS\system32\dllcache ridkb.dll 2007-12-07 19:17 . 2001-08-23 17:46 172,768 --a--c--- C:\WINDOWS\system32\dllcache 2r4disp.dll 2007-12-07 19:16 . 2001-08-23 16:57 286,848 --a--c--- C:\WINDOWS\system32\dllcache\stlnata.sys 2007-12-07 19:15 . 2004-08-03 22:41 404,990 --a--c--- C:\WINDOWS\system32\dllcache\slntamr.sys 2007-12-07 19:14 . 2001-08-23 17:46 386,560 --a--c--- C:\WINDOWS\system32\dllcache\sgiul50.dll 2007-12-07 19:13 . 2001-08-23 17:47 495,616 --a--c--- C:\WINDOWS\system32\dllcache\sblfx.dll 2007-12-07 19:12 . 2001-08-23 17:18 899,914 --a--c--- C:\WINDOWS\system32\dllcache 2mdkxga.sys 2007-12-07 19:11 . 2001-08-17 21:52 40,448 --a--c--- C:\WINDOWS\system32\dllcache\ql1240.sys 2007-12-07 08:54 . 2004-08-04 00:54 159,232 --a--c--- C:\WINDOWS\system32\dllcache\ptpusd.dll 2007-12-07 08:54 . 2001-08-17 21:28 130,942 --a--c--- C:\WINDOWS\system32\dllcache\ptserlv.sys 2007-12-07 08:54 . 2001-08-17 21:28 128,286 --a--c--- C:\WINDOWS\system32\dllcache\ptserli.sys 2007-12-07 08:54 . 2001-08-17 21:28 112,574 --a--c--- C:\WINDOWS\system32\dllcache\ptserlp.sys 2007-12-07 08:54 . 2001-08-17 21:52 45,312 --a--c--- C:\WINDOWS\system32\dllcache\ql12160.sys 2007-12-07 08:54 . 2001-08-17 21:52 40,320 --a--c--- C:\WINDOWS\system32\dllcache\ql1080.sys 2007-12-07 08:54 . 2001-08-23 17:47 35,328 --a--c--- C:\WINDOWS\system32\dllcache\psisload.dll 2007-12-07 08:54 . 2001-08-17 21:52 33,152 --a--c--- C:\WINDOWS\system32\dllcache\ql10wnt.sys 2007-12-07 08:54 . 2004-08-03 23:00 6,016 --a--c--- C:\WINDOWS\system32\dllcache\qic157.sys 2007-12-07 08:54 . 2001-08-23 17:47 5,632 --a--c--- C:\WINDOWS\system32\dllcache\ptpusb.dll 2007-12-07 08:52 . 2004-08-04 00:49 2,017,280 --a--c--- C:\WINDOWS\system32\dllcache tkrpamp.exe 2007-12-07 08:51 . 2004-08-04 00:47 132,695 --a--c--- C:\WINDOWS\system32\dllcache etwlan5.sys 2007-12-07 08:50 . 2004-08-04 00:54 1,737,856 --a--c--- C:\WINDOWS\system32\dllcache\mtxparhd.dll 2007-12-07 08:49 . 2001-08-17 21:28 802,683 --a--c--- C:\WINDOWS\system32\dllcache\ltsm.sys 2007-12-07 08:48 . 2001-08-23 17:47 242,688 --a--c--- C:\WINDOWS\system32\dllcache\kdsusd.dll 2007-12-07 08:47 . 2001-08-23 17:47 372,824 --a--c--- C:\WINDOWS\system32\dllcache\iconf32.dll 2007-12-07 08:46 . 2004-08-03 22:41 1,041,536 --a--c--- C:\WINDOWS\system32\dllcache\hsfdpsp2.sys 2007-12-07 08:45 . 2001-08-23 17:47 324,608 --a--c--- C:\WINDOWS\system32\dllcache\hpojwia.dll 2007-12-07 08:44 . 2001-08-23 17:46 1,733,120 --a--c--- C:\WINDOWS\system32\dllcache\g400d.dll 2007-12-07 08:43 . 2001-08-23 17:16 630,016 --a--c--- C:\WINDOWS\system32\dllcache\eqn.sys 2007-12-07 08:42 . 2001-08-17 20:14 952,007 --a--c--- C:\WINDOWS\system32\dllcache\diwan.sys 2007-12-07 08:41 . 2001-08-23 17:47 422,429 --a--c--- C:\WINDOWS\system32\dllcache\dgconfig.dll 2007-12-07 08:40 . 2001-08-23 17:04 980,034 --a--c--- C:\WINDOWS\system32\dllcache\cicap.sys 2007-12-07 08:39 . 2004-08-04 00:54 1,888,992 --a--c--- C:\WINDOWS\system32\dllcache\ati3duag.dll 2007-12-07 08:38 . 2004-08-04 00:48 2,150,400 --a--c--- C:\WINDOWS\system32\dllcache tkrnlmp.exe 2007-12-07 08:35 . 2007-12-08 23:53 833,355 ---hs---- C:\WINDOWS\system32\ebrnkcys.ini 2007-12-05 22:45 . 2007-12-08 10:57 d-------- C:\Program Files\MSI 2007-12-03 21:59 . 2007-12-03 21:59 d-------- C:\Documents and Settings\MARETTE\Application Data\Atari 2007-12-02 02:51 . 2007-12-02 02:51 143 --a------ C:\WINDOWS\system32\mcrh.tmp 2007-12-02 02:27 . 2007-12-02 02:27 0 --a------ C:\WINDOWS sreg.dat 2007-12-01 18:31 . 2007-12-01 18:31 d-------- C:\WINDOWS\system32\Kaspersky Lab 2007-12-01 02:08 . 2007-12-01 02:08 d-------- C:\Documents and Settings\All Users\Application Data\Age of Empires 3 . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-16 11:42 --------- d-----w C:\Program Files\WinTV 2007-12-15 17:50 --------- d-----w C:\Program Files\lineage2 2007-12-13 21:33 --------- d-----w C:\Program Files\UltimateZip 2007-12-12 20:21 --------- d-----w C:\Program Files\QuickTime 2007-12-12 19:44 --------- d-----w C:\Program Files\iTunes 2007-12-11 19:55 132,815 ----a-w C:\WINDOWS\BricoPackUninst.cmd 2007-12-10 21:05 --------- d-----w C:\Program Files\Fichiers communs\Stardock 2007-12-09 13:52 --------- d-----w C:\Program Files\Stardock 2007-12-08 22:15 --------- d-----w C:\Program Files\Microsoft ActiveSync 2007-12-07 19:31 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll 2007-12-05 21:43 --------- d-----w C:\Program Files\Setup Files 2007-12-03 20:43 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-12-03 13:51 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2007-12-03 13:51 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2007-11-30 23:40 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys 2007-11-30 21:11 --------- d-----w C:\Documents and Settings\MARETTE\Application Data\Lavasoft 2007-11-30 20:27 --------- d-----w C:\Program Files\eChanblard 2007-11-29 21:39 --------- d-----w C:\Program Files\Webteh 2007-11-26 21:34 --------- d-----w C:\Documents and Settings\MARETTE\Application Data\OpenOffice.org2 2007-11-25 14:57 --------- d-----w C:\Program Files\Microsoft Works 2007-11-19 22:18 --------- d-----w C:\Program Files\Electronic Arts 2007-11-11 02:14 --------- d-----w C:\Program Files\Fichiers communs\Intel 2007-11-11 02:14 --------- d-----w C:\Program Files\CounterPath 2007-11-09 20:12 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe 2007-11-09 18:18 22,328 ----a-w C:\Documents and Settings\MARETTE\Application Data\PnkBstrK.sys 2007-11-09 18:09 --------- d-----w C:\Program Files\Activision 2007-11-09 13:40 --------- d-----w C:\Program Files\Java 2007-11-07 18:00 --------- d-----w C:\Documents and Settings\MARETTE\Application Data\IGN_DLM 2007-10-23 17:23 --------- d-----w C:\Documents and Settings\MARETTE\Application Data\Template 2007-10-23 17:06 --------- d-----w C:\Program Files\Cobian Backup 8 2007-10-16 13:38 --------- d-----w C:\Program Files\K!TV 2007-01-14 16:30 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe 2006-04-11 23:07 4,096 ----a-w C:\Documents and Settings\MARETTE\log.dat 2006-09-17 15:42 56 --sha-r C:\WINDOWS\system32\54F6A1598F.sys 2006-09-17 15:42 1,890 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((( snapshot_2007-12-13_18.20.10.68 ))))))))))))))))))))))))))))))))))))))))) . - 2007-07-22 17:39:27 279,552 ----a-w C:\WINDOWS\system32\swreg.exe + 2007-12-13 20:26:50 156,160 ----a-w C:\WINDOWS\system32\swreg.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00] "RocketDock"="E:\emulation\RocketDock\RocketDock.exe" [2007-09-01 19:19] "VisualTaskTips"="C:\Program Files\VisualTaskTips\VisualTaskTips.exe" [2007-09-05 18:20] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="RUNDLL32.exe" [2004-08-05 13:00 C:\WINDOWS\system32 undll32.exe] "nwiz"="nwiz.exe" [2005-12-10 03:06 C:\WINDOWS\system32 wiz.exe] "games-frm.exe"="" [] "NvMediaCenter"="RUNDLL32.exe" [2004-08-05 13:00 C:\WINDOWS\system32 undll32.exe] "SoundMan"="SOUNDMAN.EXE" [2006-08-03 05:12 C:\WINDOWS\soundman.exe] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-12 22:29] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00] C:\Documents and Settings\MARETTE\Menu D‚marrer\Programmes\D‚marrage\ OneNote 2007 - Capture d'‚cran et lancement.lnk - C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 20:24:54] RocketDock.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-18 23:05:02] Stardock ObjectDock.lnk - C:\Program Files\Stardock\ObjectDock\ObjectDock.exe [2006-02-08 17:42:11] thoosje's sidebar.lnk - C:\Program Files\Thoosje Vista Sidebar v1.7.8 hoosje's sidebar.exe [2007-02-12 12:47:32] TransBar.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-06-01 20:41:18] Y'z Shadow.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-05-21 08:43:14] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe [2005-09-23 22:05:26] AutoStart IR.lnk - C:\Program Files\WinTV\Ir.exe [2007-09-22 20:48:32] Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 08:01:04] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^InterVideo WinCinema Manager.lnk] backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^SATARAID5.lnk] backup=C:\WINDOWS\pss\SATARAID5.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^MARETTE^Menu Démarrer^Programmes^Démarrage^UberIcon.lnk] backup=C:\WINDOWS\pss\UberIcon.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UberIcon] C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{72f7da40-2532-11db-ab68-0013d3c8b0fd}] \Shell\AutoRun\command - F:\ReadMe.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d4f57ca3-3bf6-11d8-9d18-806d6172696f}] \Shell\AutoRun\command - D:\Setup.exe . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2007-12-13 18:25:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe "2007-12-15 17:15:27 C:\WINDOWS\Tasks\User_Feed_Synchronization-{24AB4569-E232-4FE4-B5B8-1F5928FB82B7}.job" - C:\WINDOWS\system32\msfeedssync.exe . ************************************************************************** catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-16 12:58:53 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.2180] -> C:\Program Files\Stardock\ObjectDock\DockShellHook.dll -> E:\emulation\RocketDock\RocketDock.dll -> C:\Program Files\VisualTaskTips\VttHooks.dll . Completion time: 2007-12-16 12:59:40 C:\ComboFix2.txt ... 2007-12-15 18:12 C:\ComboFix3.txt ... 2007-12-13 18:21 . 2007-12-13 22:06:54 --- E O F --- Et le nouveau rapport HiJackThis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:03:51, on 16/12/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe E:\emulation\RocketDock\RocketDock.exe C:\Program Files\VisualTaskTips\VisualTaskTips.exe C:\WINDOWS\system32 undll32.exe C:\Program Files\WinTV\Ir.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Stardock\ObjectDock\ObjectDock.exe C:\Program Files\Thoosje Vista Sidebar v1.7.8 hoosje's sidebar.exe C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32 pkcmsvc.exe C:\WINDOWS\system32 vsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Program Files\CyberLink\Shared files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32 otepad.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [RocketDock] "E:\emulation\RocketDock\RocketDock.exe" O4 - HKCU\..\Run: [VisualTaskTips] C:\Program Files\VisualTaskTips\VisualTaskTips.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe O4 - Startup: thoosje's sidebar.lnk = C:\Program Files\Thoosje Vista Sidebar v1.7.8 hoosje's sidebar.exe O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe O4 - Global Startup: AutoStart IR.lnk = C:\Program Files\WinTV\Ir.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) O10 - Unknown file in Winsock LSP: w2pxdrv.dll O10 - Unknown file in Winsock LSP: w2pxdrv.dll O10 - Unknown file in Winsock LSP: w2pxdrv.dll O10 - Unknown file in Winsock LSP: w2pxdrv.dll O10 - Unknown file in Winsock LSP: w2pxdrv.dll O15 - Trusted Zone: http://www.secuser.com O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/ O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/... O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: npkcmsvc - INCA Internet Co., Ltd. - C:\WINDOWS\system32 pkcmsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32 vsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe

Le sioux · Answer

Hello Julien

Je regarde tout cela et te tiens au courant, pour les O17 c est réglé , mais il doit resté du ménage a faire avec ComboFix.

@ toute

Le sioux · Answer

Bonjour Julien

Oups, je t'avais oublié ... excuse moi.

Il persiste encore 2 ou 3 cochonneries dont on arrive pas a se défaire :

*  Sélectionne le texte suivant (en gras)  dans son intégralité :


File::
C:\WINDOWS\system32\rmtblywp.ini
C:\WINDOWS\system32\dllcache\SETA31.tmp
C:\WINDOWS\system32\dllcache\SETA30.tmp
C:\WINDOWS\system32\dllcache\SETA2F.tmp
C:\WINDOWS\system32\dllcache\SETA2E.tmp
C:\WINDOWS\system32\ebrnkcys.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\54F6A1598F.sys


* Copie le texte sélectionné (CTRL+C).
* Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
* Colle le texte copié dans ce bloc-notes (CTRL+V).
* Sauvegarde ce fichier sous le nom de CFScript.txt
Déconnecte toi du net et désactive ton antivirus  pour que Combofix puisse s'exécuter normalement
* Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe ( sur ton bureau)

* Une fenêtre bleue va apparaître: au message qui apparaît  Type 1 to continue, or 2 to abort , tape 1 puis valide.

* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal!

Ne touche à rien tant que le scan n'est pas terminé. 

* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu.

* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

@ suivre

julien561 · Answer

Bonsoir Le sioux :) Excuse moi aussi pour mon temps de réponse, mais j'ai eu un week end bien chargé! Voilà le rapport Combofix: Command switches used :: C:\Documents and Settings\MARETTE\Bureau\CFScript.txt * Created a new restore point . ((((((((((((((((((((((((((((( Fichiers créés 2007-11-17 to 2007-12-17 )))))))))))))))))))))))))))))))))))) . 2007-12-17 11:13 . 2007-12-17 11:13 d--h----- C:\WINDOWS\PIF 2007-12-12 22:34 . 2007-12-12 22:35 d-------- C:\Documents and Settings\MARETTE\Application Data\PrevxCSI 2007-12-12 22:34 . 2007-12-12 22:34 d-------- C:\Documents and Settings\All Users\Application Data\Prevx 2007-12-12 22:27 . 2007-12-12 22:27 d-------- C:\Program Files\Avira 2007-12-12 22:20 . 2007-12-12 22:20 d-------- C:\Program Files\Alwil Software 2007-12-12 20:24 . 2007-12-12 20:24 d-------- C:\Documents and Settings\All Users\Application Data\Avira 2007-12-12 18:44 . 2007-12-12 20:41 917,013 ---hs---- C:\WINDOWS\system32 mtblywp.ini 2007-12-12 17:32 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll 2007-12-12 17:32 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui 2007-12-11 23:59 . 2007-12-11 23:59 d-------- C:\Program Files\Sidebar 2007-12-11 23:59 . 2007-12-11 23:59 d-------- C:\Program Files\Gadgets 2007-12-11 23:59 . 2007-12-11 23:59 d-------- C:\Program Files\Fonts 2007-12-11 23:51 . 2007-12-11 23:51 d-------- C:\WINDOWS\system32\data 2007-12-11 23:51 . 2007-12-11 23:51 193,090 --a------ C:\WINDOWS\system32\uninstall_Vista ScreenSaver.exe 2007-12-11 23:34 . 2007-12-11 23:34 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll 2007-12-11 23:34 . 2007-12-11 23:34 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll 2007-12-11 20:53 . 2007-12-11 20:55 94 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd 2007-12-11 00:30 . 2007-12-11 18:27 600 --a------ C:\Documents 2007-12-10 20:58 . 2007-12-10 22:05 d-------- C:\Program Files\SPYWAREfighter 2007-12-09 19:53 . 2007-12-09 19:53 d-------- C:\Deckard 2007-12-09 17:31 . 2007-12-10 22:05 d-------- C:\Program Files\Logon Loader 2007-12-09 15:19 . 2007-12-12 22:55 d-------- C:\Program Files\VisualTaskTips 2007-12-09 14:14 . 2007-12-12 20:14 d-------- C:\Program Files\Thoosje Vista Sidebar v1.7.8 2007-12-09 02:41 . 2007-12-10 22:07 d-------- C:\Program Files\WinFlip 2007-12-09 02:41 . 2007-12-10 22:07 d-------- C:\Program Files\TrueTransparency 2007-12-09 02:41 . 2007-12-10 22:07 d-------- C:\Program Files\Styler 2007-12-09 02:37 . 2007-12-10 22:11 d-------- C:\WINDOWS\system32\VITrans 2007-12-09 02:37 . 2007-12-10 22:07 d-------- C:\VTPFiles 2007-12-09 00:05 . 2007-12-09 01:12 d-------- C:\Program Files\EsetOnlineScanner 2007-12-08 23:29 . 2004-01-01 02:28 d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau 2007-12-08 23:29 . 2004-01-01 02:28 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression 2007-12-08 23:29 . 2007-11-30 02:17 d--h----- C:\Documents and Settings\Administrateur\Modèles 2007-12-08 23:29 . 2004-01-01 02:28 d-------- C:\Documents and Settings\Administrateur\Mes documents 2007-12-08 23:29 . 2004-01-01 02:28 dr------- C:\Documents and Settings\Administrateur\Menu Démarrer 2007-12-08 23:29 . 2004-01-01 02:28 d-------- C:\Documents and Settings\Administrateur\Favoris 2007-12-08 23:29 . 2006-09-17 17:01 d-------- C:\Documents and Settings\Administrateur\Bureau 2007-12-08 02:22 . 2005-10-21 02:47 30,592 --a--c--- C:\WINDOWS\system32\dllcache\SETA31.tmp 2007-12-08 02:22 . 2005-10-21 02:47 30,592 --a--c--- C:\WINDOWS\system32\dllcache\SETA30.tmp 2007-12-08 02:22 . 2005-10-21 02:47 12,800 --a--c--- C:\WINDOWS\system32\dllcache\SETA2F.tmp 2007-12-08 02:22 . 2005-10-21 02:47 12,800 --a--c--- C:\WINDOWS\system32\dllcache\SETA2E.tmp 2007-12-08 02:17 . 2007-12-13 20:30 d-------- C:\WINDOWS\BDOSCAN8 2007-12-08 02:07 . 2007-12-08 02:07 d-------- C:\Program Files\CCleaner 2007-12-08 01:36 . 2007-12-08 02:05 d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2007-12-07 21:03 . 2007-12-07 21:03 d-------- C:\Program Files\Trend Micro 2007-12-07 19:50 . 2007-12-12 22:30 d-------- C:\VundoFix Backups 2007-12-07 19:43 . 2002-07-17 09:20 45,056 --a------ C:\WINDOWS\system32\WNASPI32.DLL 2007-12-07 19:43 . 2002-07-17 08:53 16,877 --a------ C:\WINDOWS\system32\drivers\ASPI32.SYS 2007-12-07 19:43 . 2002-07-17 16:22 5,600 --a------ C:\WINDOWS\system\WINASPI.DLL 2007-12-07 19:43 . 2002-07-17 16:22 4,672 --a------ C:\WINDOWS\system\WOWPOST.EXE 2007-12-07 19:22 . 2004-08-04 00:54 116,736 --a--c--- C:\WINDOWS\system32\dllcache\xrxwiadr.dll 2007-12-07 19:22 . 2001-08-23 17:47 99,865 --a--c--- C:\WINDOWS\system32\dllcache\xlog.exe 2007-12-07 19:22 . 2001-08-23 17:47 27,648 --a--c--- C:\WINDOWS\system32\dllcache\xrxftplt.exe 2007-12-07 19:22 . 2001-08-23 17:47 23,040 --a--c--- C:\WINDOWS\system32\dllcache\xrxwbtmp.dll 2007-12-07 19:22 . 2004-08-03 22:29 19,455 --a--c--- C:\WINDOWS\system32\dllcache\wvchntxx.sys 2007-12-07 19:22 . 2001-08-23 17:47 17,408 --a--c--- C:\WINDOWS\system32\dllcache\xrxscnui.dll 2007-12-07 19:22 . 2001-08-17 20:11 16,970 --a--c--- C:\WINDOWS\system32\dllcache\xem336n5.sys 2007-12-07 19:22 . 2004-08-03 22:29 12,063 --a--c--- C:\WINDOWS\system32\dllcache\wsiintxx.sys 2007-12-07 19:22 . 2004-08-04 00:54 8,192 --a--c--- C:\WINDOWS\system32\dllcache\wshirda.dll 2007-12-07 19:22 . 2001-08-23 17:47 4,608 --a--c--- C:\WINDOWS\system32\dllcache\xrxflnch.exe 2007-12-07 19:20 . 2001-08-17 21:28 794,654 --a--c--- C:\WINDOWS\system32\dllcache\usr1801.sys 2007-12-07 19:19 . 2001-08-23 17:47 525,568 --a--c--- C:\WINDOWS\system32\dllcache ridxp.dll 2007-12-07 19:18 . 2001-08-23 17:46 440,576 --a--c--- C:\WINDOWS\system32\dllcache ridkb.dll 2007-12-07 19:17 . 2001-08-23 17:46 172,768 --a--c--- C:\WINDOWS\system32\dllcache 2r4disp.dll 2007-12-07 19:16 . 2001-08-23 16:57 286,848 --a--c--- C:\WINDOWS\system32\dllcache\stlnata.sys 2007-12-07 19:15 . 2004-08-03 22:41 404,990 --a--c--- C:\WINDOWS\system32\dllcache\slntamr.sys 2007-12-07 19:14 . 2001-08-23 17:46 386,560 --a--c--- C:\WINDOWS\system32\dllcache\sgiul50.dll 2007-12-07 19:13 . 2001-08-23 17:47 495,616 --a--c--- C:\WINDOWS\system32\dllcache\sblfx.dll 2007-12-07 19:12 . 2001-08-23 17:18 899,914 --a--c--- C:\WINDOWS\system32\dllcache 2mdkxga.sys 2007-12-07 19:11 . 2001-08-17 21:52 40,448 --a--c--- C:\WINDOWS\system32\dllcache\ql1240.sys 2007-12-07 08:54 . 2004-08-04 00:54 159,232 --a--c--- C:\WINDOWS\system32\dllcache\ptpusd.dll 2007-12-07 08:54 . 2001-08-17 21:28 130,942 --a--c--- C:\WINDOWS\system32\dllcache\ptserlv.sys 2007-12-07 08:54 . 2001-08-17 21:28 128,286 --a--c--- C:\WINDOWS\system32\dllcache\ptserli.sys 2007-12-07 08:54 . 2001-08-17 21:28 112,574 --a--c--- C:\WINDOWS\system32\dllcache\ptserlp.sys 2007-12-07 08:54 . 2001-08-17 21:52 45,312 --a--c--- C:\WINDOWS\system32\dllcache\ql12160.sys 2007-12-07 08:54 . 2001-08-17 21:52 40,320 --a--c--- C:\WINDOWS\system32\dllcache\ql1080.sys 2007-12-07 08:54 . 2001-08-23 17:47 35,328 --a--c--- C:\WINDOWS\system32\dllcache\psisload.dll 2007-12-07 08:54 . 2001-08-17 21:52 33,152 --a--c--- C:\WINDOWS\system32\dllcache\ql10wnt.sys 2007-12-07 08:54 . 2004-08-03 23:00 6,016 --a--c--- C:\WINDOWS\system32\dllcache\qic157.sys 2007-12-07 08:54 . 2001-08-23 17:47 5,632 --a--c--- C:\WINDOWS\system32\dllcache\ptpusb.dll 2007-12-07 08:52 . 2004-08-04 00:49 2,017,280 --a--c--- C:\WINDOWS\system32\dllcache tkrpamp.exe 2007-12-07 08:51 . 2004-08-04 00:47 132,695 --a--c--- C:\WINDOWS\system32\dllcache etwlan5.sys 2007-12-07 08:50 . 2004-08-04 00:54 1,737,856 --a--c--- C:\WINDOWS\system32\dllcache\mtxparhd.dll 2007-12-07 08:49 . 2001-08-17 21:28 802,683 --a--c--- C:\WINDOWS\system32\dllcache\ltsm.sys 2007-12-07 08:48 . 2001-08-23 17:47 242,688 --a--c--- C:\WINDOWS\system32\dllcache\kdsusd.dll 2007-12-07 08:47 . 2001-08-23 17:47 372,824 --a--c--- C:\WINDOWS\system32\dllcache\iconf32.dll 2007-12-07 08:46 . 2004-08-03 22:41 1,041,536 --a--c--- C:\WINDOWS\system32\dllcache\hsfdpsp2.sys 2007-12-07 08:45 . 2001-08-23 17:47 324,608 --a--c--- C:\WINDOWS\system32\dllcache\hpojwia.dll 2007-12-07 08:44 . 2001-08-23 17:46 1,733,120 --a--c--- C:\WINDOWS\system32\dllcache\g400d.dll 2007-12-07 08:43 . 2001-08-23 17:16 630,016 --a--c--- C:\WINDOWS\system32\dllcache\eqn.sys 2007-12-07 08:42 . 2001-08-17 20:14 952,007 --a--c--- C:\WINDOWS\system32\dllcache\diwan.sys 2007-12-07 08:41 . 2001-08-23 17:47 422,429 --a--c--- C:\WINDOWS\system32\dllcache\dgconfig.dll 2007-12-07 08:40 . 2001-08-23 17:04 980,034 --a--c--- C:\WINDOWS\system32\dllcache\cicap.sys 2007-12-07 08:39 . 2004-08-04 00:54 1,888,992 --a--c--- C:\WINDOWS\system32\dllcache\ati3duag.dll 2007-12-07 08:38 . 2004-08-04 00:48 2,150,400 --a--c--- C:\WINDOWS\system32\dllcache tkrnlmp.exe 2007-12-07 08:35 . 2007-12-08 23:53 833,355 ---hs---- C:\WINDOWS\system32\ebrnkcys.ini 2007-12-05 22:45 . 2007-12-08 10:57 d-------- C:\Program Files\MSI 2007-12-03 21:59 . 2007-12-03 21:59 d-------- C:\Documents and Settings\MARETTE\Application Data\Atari 2007-12-02 02:51 . 2007-12-02 02:51 143 --a------ C:\WINDOWS\system32\mcrh.tmp 2007-12-02 02:27 . 2007-12-02 02:27 0 --a------ C:\WINDOWS sreg.dat 2007-12-01 18:31 . 2007-12-01 18:31 d-------- C:\WINDOWS\system32\Kaspersky Lab . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-16 23:42 --------- d-----w C:\Program Files\DivX 2007-12-16 23:25 --------- d-----w C:\Program Files\WinTV 2007-12-16 14:11 --------- d-----w C:\Program Files\eChanblard 2007-12-16 13:22 --------- d-----w C:\Program Files\UltimateZip 2007-12-15 17:50 --------- d-----w C:\Program Files\lineage2 2007-12-12 20:21 --------- d-----w C:\Program Files\QuickTime 2007-12-12 19:44 --------- d-----w C:\Program Files\iTunes 2007-12-11 19:55 132,815 ----a-w C:\WINDOWS\BricoPackUninst.cmd 2007-12-10 21:05 --------- d-----w C:\Program Files\Fichiers communs\Stardock 2007-12-09 13:52 --------- d-----w C:\Program Files\Stardock 2007-12-08 22:15 --------- d-----w C:\Program Files\Microsoft ActiveSync 2007-12-07 19:31 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll 2007-12-05 21:43 --------- d-----w C:\Program Files\Setup Files 2007-12-03 20:43 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-12-03 13:51 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2007-12-03 13:51 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2007-11-30 23:40 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys 2007-11-30 21:11 --------- d-----w C:\Documents and Settings\MARETTE\Application Data\Lavasoft 2007-11-29 21:39 --------- d-----w C:\Program Files\Webteh 2007-11-26 21:34 --------- d-----w C:\Documents and Settings\MARETTE\Application Data\OpenOffice.org2 2007-11-25 14:57 --------- d-----w C:\Program Files\Microsoft Works 2007-11-19 22:18 --------- d-----w C:\Program Files\Electronic Arts 2007-11-11 02:14 --------- d-----w C:\Program Files\Fichiers communs\Intel 2007-11-11 02:14 --------- d-----w C:\Program Files\CounterPath 2007-11-09 20:12 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe 2007-11-09 18:18 22,328 ----a-w C:\Documents and Settings\MARETTE\Application Data\PnkBstrK.sys 2007-11-09 18:09 --------- d-----w C:\Program Files\Activision 2007-11-09 13:40 --------- d-----w C:\Program Files\Java 2007-11-07 18:00 --------- d-----w C:\Documents and Settings\MARETTE\Application Data\IGN_DLM 2007-10-23 17:23 --------- d-----w C:\Documents and Settings\MARETTE\Application Data\Template 2007-10-23 17:06 --------- d-----w C:\Program Files\Cobian Backup 8 2007-01-14 16:30 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe 2006-04-11 23:07 4,096 ----a-w C:\Documents and Settings\MARETTE\log.dat 2006-09-17 15:42 56 --sha-r C:\WINDOWS\system32\54F6A1598F.sys 2006-09-17 15:42 1,890 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((( snapshot_2007-12-13_18.20.10.68 ))))))))))))))))))))))))))))))))))))))))) . - 2007-07-22 17:39:27 279,552 ----a-w C:\WINDOWS\system32\swreg.exe + 2007-12-13 20:26:50 156,160 ----a-w C:\WINDOWS\system32\swreg.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00] "RocketDock"="E:\emulation\RocketDock\RocketDock.exe" [2007-09-01 19:19] "VisualTaskTips"="C:\Program Files\VisualTaskTips\VisualTaskTips.exe" [2007-09-05 18:20] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="RUNDLL32.exe" [2004-08-05 13:00 C:\WINDOWS\system32 undll32.exe] "nwiz"="nwiz.exe" [2005-12-10 03:06 C:\WINDOWS\system32 wiz.exe] "games-frm.exe"="" [] "NvMediaCenter"="RUNDLL32.exe" [2004-08-05 13:00 C:\WINDOWS\system32 undll32.exe] "SoundMan"="SOUNDMAN.EXE" [2006-08-03 05:12 C:\WINDOWS\soundman.exe] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-12 22:29] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00] C:\Documents and Settings\MARETTE\Menu D‚marrer\Programmes\D‚marrage\ OneNote 2007 - Capture d'‚cran et lancement.lnk - C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 20:24:54] RocketDock.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-18 23:05:02] Stardock ObjectDock.lnk - C:\Program Files\Stardock\ObjectDock\ObjectDock.exe [2006-02-08 17:42:11] thoosje's sidebar.lnk - C:\Program Files\Thoosje Vista Sidebar v1.7.8 hoosje's sidebar.exe [2007-02-12 12:47:32] TransBar.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-06-01 20:41:18] Y'z Shadow.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-05-21 08:43:14] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe [2005-09-23 22:05:26] AutoStart IR.lnk - C:\Program Files\WinTV\Ir.exe [2007-09-22 20:48:32] Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 08:01:04] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^InterVideo WinCinema Manager.lnk] backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^SATARAID5.lnk] backup=C:\WINDOWS\pss\SATARAID5.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^MARETTE^Menu Démarrer^Programmes^Démarrage^UberIcon.lnk] backup=C:\WINDOWS\pss\UberIcon.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UberIcon] C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{72f7da40-2532-11db-ab68-0013d3c8b0fd}] \Shell\AutoRun\command - F:\ReadMe.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d4f57ca3-3bf6-11d8-9d18-806d6172696f}] \Shell\AutoRun\command - D:\Setup.exe . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2007-12-13 18:25:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe "2007-12-16 23:30:23 C:\WINDOWS\Tasks\User_Feed_Synchronization-{24AB4569-E232-4FE4-B5B8-1F5928FB82B7}.job" - C:\WINDOWS\system32\msfeedssync.exe . ************************************************************************** catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-17 18:30:02 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.2180] -> C:\Program Files\Stardock\ObjectDock\DockShellHook.dll -> E:\emulation\RocketDock\RocketDock.dll -> C:\Program Files\VisualTaskTips\VttHooks.dll . Completion time: 2007-12-17 18:30:48 C:\ComboFix2.txt ... 2007-12-16 12:59 C:\ComboFix3.txt ... 2007-12-15 18:12 . 2007-12-13 22:06:54 --- E O F --- Merci d'avançe pour tes conseils!!!! ;)

Le sioux · Answer

BonsoirJulien

Je regarde ton rapport et je te dis ce que l on fait ;)

@plus

Le sioux · Answer

Re

 OTMoveIt (de Old_Timer)

Télécharge  OTMoveIt (de Old_Timer) sur ton Bureau.  http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

Double clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :
Paste List of Files/Folders to be moved.

C:\WINDOWS\system32\rmtblywp.ini
C:\WINDOWS\system32\dllcache\SETA31.tmp
C:\WINDOWS\system32\dllcache\SETA30.tmp
C:\WINDOWS\system32\dllcache\SETA2F.tmp
C:\WINDOWS\system32\dllcache\SETA2E.tmp
C:\WINDOWS\system32\ebrnkcys.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\54F6A1598F.sys

Clique sur MoveIt! pour lancer la suppression.
Le résultat apparaîtra dans le cadre Results.
Clique sur Exit pour fermer.

@ suivre

Il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.


--> Poste le rapport d'OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure)

Le sioux · Answer

Re

Fais ce que je t ai demandé au poste précédent juste au dessus, mais par la suite il faudra que l on vérifie deux choses (vue dans ComboFix) en rapport avec DD externe ou clefs :

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{72f7da 40-2532-11db-ab68-0013d3c8b0fd}]
\Shell\AutoRun\command - F:\ReadMe.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d4f57c a3-3bf6-11d8-9d18-806d6172696f}]
\Shell\AutoRun\command - D:\Setup.exe 

@ +

julien561 · Answer

Salut a toi Le Sioux ;)
Ok j'ai effectué la manipulation et tout les fichiers on été traités avec succes apparament! Sinon je n'ai ni clef,ni DD externe alors je ne vois pas ce que cela peut être? Deamon tool peut-être ou encore mon pda que je connecte de temps en temps--->il a 1go de memoire,peut être est-il pris en charge comme une clef?

Merci pour ta réponse a plus tard :)

DeNisCoOl · Answer

salut julien,

je repassais par hazard, ton pda ou n'importe qu'elle type de carte mémoire peut être considéré comme un support type disque avec mode lecture/écriture et est susceptible d'être infecté.
et lors de sa connexion il laisse des traces et si il est infecté à chaque fois que tu vas le connecter tu risques peut être de réinfecter ton ordi.

Le sioux devrait repasser ce soir.

a+

Denis

Le sioux · Answer

Bonsoir Julien,Deniscool

Peux tu stp

Poster le rapport d'OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure)

Merci, @plus

julien561 · Answer

Salut Denis, Le Sioux,
Ok pour le Pda, j'ai compris, heuresement je ne l'ai pas reconnecté depuis, étant donné que j'ai acces a internet avec en wifi, je vais essayé de le nettoyer avec un anti virus pour voir (avast mobile par exemple). Sinon je vous poste le rapport de Move:

C:\WINDOWS\system32\rmtblywp.ini moved successfully.
C:\WINDOWS\system32\dllcache\SETA31.tmp moved successfully.
C:\WINDOWS\system32\dllcache\SETA30.tmp moved successfully.
C:\WINDOWS\system32\dllcache\SETA2F.tmp moved successfully.
C:\WINDOWS\system32\dllcache\SETA2E.tmp moved successfully.
C:\WINDOWS\system32\ebrnkcys.ini moved successfully.
C:\WINDOWS\system32\mcrh.tmp moved successfully.
C:\WINDOWS\system32\54F6A1598F.sys moved successfully.
 
Created on 12/18/2007 08:41:54

Voilà, Merci à vous ;)

Le sioux · Answer

Re

Pour ton Pda, attends, je te donnerais des consignes plus tard pour le nettoyer.

@ +

Le sioux · Answer

Re, me revoila ;)

Important : Tant que tu ne seras pas sur d'avoir éradiqué le ver, n'ouvre aucun de tes disques ou périphériques externes en te servant du double clic, sous peine de relancer l'infection. 
Fais plutôt un clic droit sur l'icône du DD que tu veux ouvrir et clic sur "Explorer" 

Téléchargez sur votre bureau RAV d 'Evosla : ici http://ww25.evosla.com/compteur.php?soft=rav_antivirus 

** Si vous utilisez FireFox : faites un clic droit sur le lien et choisisez "Enregistrer la cible du lien sous..." , puis enregistrez sur le Bureau. 

--- Décompresse-le (clic droit >> Extraire ici) et double clique sur le fichier RAV.exe 

--- Branche tes disques amovibles (clef usb,stick memoire,disque externe,............); 

--- Une fois RAV lancé laissez le réagir , il scan automatiquement tout les lecteurs (Disques fix et Amovible). 

--- Si un virus sera trouvé, un log s'établira, sinon rien ne va se passer et le soft affichera : Votre Ordinateur est Sain 

--- Retire tes disques amovible et faits redémarrer votre ordinateur. 

Tiens au courant.Poste le rapport en cas de détection d'infection. 

@+

julien561 · Answer

Re à tous et désolé pour le temps que j'ai mis à répondre mais mon ordi à tous simplement rendu l'âme pendant l'exécution de la dernière manip que tu m'a recomandé (rapport au pda) je pense qu'il n'y a aucun rapport avec le logiciel mais que mon système était devenu instable tout simplement(erreur stop avec impossibilité de rebooter windows). J'ai donc du acheter un Hdd et le brancher en IDE pour réinstallé windows! Je m'explique et cela peut etre intéressant pour les personnes ayant un probleme de reconnaissance du DD par le bios quand celui-ci est brancé en SATA; en fait j'ai une carte mère KN8 NEO PLATINIUM qui possède 8 connecteur SATA, ils sont en 2 zones différentes --> 1alimentation pour 4 connecteurs SATA (pratique si une alimentation est HS, il y a une chance pour que l'autre soit encore viable (a essayer avant tout, on sais jamais); sur cette carte pas besoin de toucher au bios (par defaut la reconnaissance est auto.);même avec les disquettes des driver fourni avec la carte je n'arrivais pas à réinstaller windows et pour cause--->le DD SATA sans driver était inexistant! En branchant un DD en IDE,aucun problème: j'ai pu réinstallé windows, ce qui ma  permis de remettre les drivers SATA et maintenant mon premier DD est à nouveau reconnu :)
J'ai passer une semaine là dessus (j'suis un newbie) mais ça marce! le seule probleme ,c'est que cette solution coute cher! j'avais l'intention d'acheter un DD externe donc en rachetant un boitier j'ai pu retomber sur mes pieds en réutilisant l'autre DD....voilà

julien561 · Answer

Discution résolu, merci à tous :)

DeNisCoOl · Answer

salut julien,

Parfait alors si tu as pu tout nettoyer.

As tu nettoyé ta clé usb comme Le Sioux l'a suggéré?
Pour éviter que cela recommence, une dernière chose parmis les points suivant qu'as tu fait?
J'enverrais les liens pour chaque programme avec leur paramétrage plus tard.

-Antivir pour remplacer Avast?

-Parefeu Sunbelt (ex Kerio)

-Spybot et spyware blaster.

-CCleaner?

-Firefox et Internet explorer 7 réinstallé?

-Mises à jour Windows?

a+

julien561 · Answer

Salut Denis^^

J'ai bien nettoyé l'amovible comme indiqué, il était apparament propre.

Ensuite j'ai effectivement remplacé Avast par Antivir, je ne suis pas mécontent car les mise à jours d'Avast fesaient lagger mes jeux (online), pour l'instant pas de ça avec Antivir (un plus!).

Ensuite pour le parfeu je me suis essayé à Outpost et puis j'ai changer pour Kerio car il est moins gourmand en ressources CPU (pas négligeable non plus!).

J'ai spybot,CCleaner et j'ai également réinstallé IE 7 ( avec full  Mises à jours) et Firefox.

voilà, merci pour ta réponse ;)

Le sioux · Answer

Bonsoir


Au passage

=>  Paramètre Antivir  comme indiqué ici :

http://speedweb1.free.fr/frames2.php?page=tuto5
ou la : https://www.malekal.com/avira-free-security-antivirus-gratuit/

=> Tuto  : SpyBot-Search & Destroy  1.5

-démo d’utilisation 
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm 
 -Tuto :
https://www.malekal.com/spybot-search-destroy-proteger-desinfecter-pc-virus/ 
http://perso.orange.fr/jesses/Docs/Logiciels/Spybot.htm

=========================================================================

=> Il faut mettre a jour la console Java régulièrement : 

Rends toi sur  https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0
Après avoir installé la dernière version, désinstalle les anciennes versions (de java) afin d’éliminer les failles de sécurité  présentes dans ces anciennes versions.
 via Démarrer / paramètres / panneau de config / et dans ajout/suppression de programme navigue jusqu'aux anciennes versions de la console java qui s'y trouvent, puis supprimer, suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme.
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé .
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.

=> Afin d’éviter les autres failles de sécurité des différents programmes présents sur ton PC : 

 Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html 
-Tuto   https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/
-Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page.

=========================================================================

=>  Pour sécuriser ta navigation

-- Tutorial pour sécuriser FireFox  : https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/

--Comportement à adopter http://assiste.com.free.fr/p/abc/a/safe_cex.html

=========================================================================

=> Pour améliorer la sécurité de ton PC prends quelques instants pour lire

Sécuriser son PC +WIFI (versions "hot" & "light") de Philae  https://forum.pcastuces.com/default.asp

https://www.malekal.com/fichiers/projetantimalwares/prevention-protection.pdf  (téléchargeable en Pdf)

=========================================================================

=> Rappel sur les principales causes d'infection :

* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci :

Les dangers des cracks : http://forum.malekal.com/ftopic893.php

Le crack dans toute sa splendeur, journal d'une infection attendue :
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/

* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent ):

Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/

Pourquoi éviter le P2P : http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793
https://lexpansion.lexpress.fr/actualite-economique/

* Prévention sur deux autres types d'infection d'actualité :

MSN prévention : https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/

Infection par supports amovibles (clefs usb, flash, DD externes ..) https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/
https://forum.malekal.com/viewtopic.php?f=45&t=5544

Salut.

julien561 · Answer

Que dire...............................MERCI^^

Le sioux · Answer

Re

Bon surf ;-)

DeNisCoOl · Answer

Bon bon bon

Le Sioux n'a pas pu s'en empêcher, il voulait absolument envoyer son roman sans fin hehe
Si après ça tu as des virus ça sera pas de sa faute :-)

bye julien561

Analyse rapport Hijackthis

43 réponses

Discussions similaires