Fenetres pub intempestive

bertranddelva -  
DeNisCoOl Messages postés 2871 Statut Membre -
Bonjour, j'ai constamment des fenetres de pub (surtout pour des sites marchand qui s'affichent automatiquement des que je suis sur internet, je n'arrive pas à stopper ce probleme, je joint un rapport hijack this........ merci de m'aider




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:59:53, on 03/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\OfficeScan NT\ntrtscan.exe
C:\WINDOWS\System32\svchost.exe
C:\OfficeScan NT\ofcdog.exe
C:\OfficeScan NT\tmlisten.exe
C:\WINDOWS\Explorer.EXE
C:\OfficeScan NT\pccntmon.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\AutoCAD 2008\acad.exe
C:\DOCUME~1\delvbe\LOCALS~1\Temp\AdskCleanup.0001
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {008DB894-99ED-445D-8547-0E7C9808898D} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [joy list] C:\DOCUME~1\delvbe\APPLIC~1\WAITBA~1\cdrom inside hope.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open PDF in Word - res://C:\Program Files\ScanSoft\PDF Converter\IEShellExt.dll /100
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://data.jeuxclassiques.com/npwwg.cab
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/common/cab/DjVuControlLite_EN.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/178c7d33339a4d4e0f05/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.pixdiscount.fr/clients/uploader_v2.1.0.56.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxmultijoueurs.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://3dlifeplayer.dl.3dvia.com/player/install/installer.exe
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://betway.microgaming.com/betway/FlashAX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6C50150-A0F5-41FB-AEF1-9E26FD17209F}: NameServer = 200.1.1.25
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = carlier.intra
O22 - SharedTaskScheduler: z - {A4F94C0C-54A7-4DB1-9AF3-B22E63D00404} - (no file)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Unknown owner - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: SX Service (SXServ) - Unknown owner - C:\WINDOWS\system32\sxserv101.exe (file missing)
O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\OfficeScan NT\tmlisten.exe
O23 - Service: USBMate - Unknown owner - C:\Program Files\Belkin\Belkin Power Management Software\usbmate.exe (file missing)
O24 - Desktop Component 0: (no name) - https://www.audi.fr/fr/web/fr.html
A voir également:

17 réponses

Réponse 1 / 17
DeNisCoOl Messages postés 2871 Statut Membre 224
 
bertranddelva,

Re bienvenue dans la communauté CCM.

Si vous voulez avoir de l'aide efficace il faut suivre les procédures à la lettre.
Votre log n'a quasiment pas changé d'un yota depuis octobre.

Vous étiez avec un très bon spécilaiste jlpjlp, mais vous n'avez pas poursuivi c'est bien dommage.

-Vous avez entre autre un détournement de votre fichier host vers caracas, c'est la samba dans votre ordi ;-)

Et vu votre commentaire sur les fenetres intempestives on va y aller gentillement avec Navilog, pour commencer.

Il y a sans doute une infection NaviPromo là dessous.
On va vérifier cela:
• Télécharge Navilog1 de Il_Mafioso depuis-ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
• Une fois l'installation terminée, fait un Clic-droit sur le raccourci Navilog1 présent sur ton bureau et choisis Exécuter en tant qu'administrateur .
• Au menu principal, Fait le choix 1
• Laisse toi guider et patiente jusqu'au message :
*** Analyse Termine le ..... ***
• Appuie sur une touche le bloc note va s'ouvrir.
Copie-colle l'intégralité du rapport dans ta prochaine réponse.
Referme le bloc note.
Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.

Tenez nous au courant, ne laissez pas tomber en court de route, a+

Denis
0
Réponse 2 / 17
bertranddelva
 
Merci de t'occuper de mon cas, promis, je ne quiterrai pas la procédure en cours de route.... voici mon rapport navifix :


Search Navipromo version 3.3.8 commencé le 03/01/2008 à 9:23:11,16

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\delvbe\APPLIC~1" ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUD?~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\delvbe\LOCALS~1\APPLIC~1" *



*** Recherche fichiers ***




*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :


* Dans "C:\Documents and Settings\delvbe\LOCALS~1\APPLIC~1" :


3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :



*** Analyse terminée le 03/01/2008 à 9:30:22,74 ***
0
Réponse 3 / 17
DeNisCoOl Messages postés 2871 Statut Membre 224
 
Re,

Navilog n'a rien trouvé à priori, on va continuer avec les procédure de jlpjlp

--------------------------
Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4

Double cliquez VundoFix.exe pour l'exécuter.
Quand VundoFix s'ouvre, cliquez sur le bouton Scan for Vundo.
Une fois le scan fini, cliquez sur le bouton Remove Vundo.
Vous recevrez un avertissement vous demandant si vous voulez effacer ces
fichiers répondez en cliquant sur YES
Une fois que vous avez cliqué yes, votre bureau deviendra vide au moment où il
enlève Vundo.

Quand c'est fini, il vous sera demandé de redémarrer votre ordinateur, cliquez OK.

Ensuite

Virtumondebegone
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

puis Symantec Vundo Remove Tool
https://www.broadcom.com/support/security-center

--------------------------
Télécharge Combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Double clique combofix.exe et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra.

Copie/colle ce rapport dans ta prochaine réponse

--------------------------
Renvois un log HJThis également

Moi dodo décalage horaire oblige, a+

Denis
0
Réponse 4 / 17
bertranddelva Messages postés 3 Statut Membre
 
voila mon rapport combofix :

ComboFix 08-01-03.3 - delvbe 2008-01-03 14:16:17.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.2240 [GMT 1:00]
Running from: C:\Documents and Settings\delvbe\Local Settings\Temporary Internet Files\Content.IE5\FK5I7QDC\ComboFix[1].exe
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Administrateur\Application Data\searchtoolbarcorp
C:\Documents and Settings\Administrateur\Application Data\searchtoolbarcorp\Toolbar Vision\PageHistory.txt
C:\Documents and Settings\Administrateur\Application Data\searchtoolbarcorp\Toolbar Vision\WebHistory.txt
C:\WINDOWS\system32\uninstall.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_SXSERV
-------\SXServ


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-03 to 2008-01-03 ))))))))))))))))))))))))))))))))))))
.

2008-01-03 14:15 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-03 09:19 . 2008-01-03 09:30 <REP> d-------- C:\Program Files\Navilog1
2008-01-02 09:45 . 2006-10-04 15:06 1,197,294 --------- C:\WINDOWS\SYSTEM32\DLLCACHE\sysmain.sdb
2008-01-02 09:45 . 2006-10-04 15:06 764,868 --------- C:\WINDOWS\SYSTEM32\DLLCACHE\apph_sp.sdb
2008-01-02 09:45 . 2006-10-04 15:06 217,118 --------- C:\WINDOWS\SYSTEM32\DLLCACHE\apphelp.sdb
2008-01-02 09:44 . 2008-01-02 09:44 <REP> d-------- C:\Program Files\Windows Media Connect 2
2008-01-02 09:43 . 2008-01-02 09:43 <REP> d-------- C:\WINDOWS\SYSTEM32\DRIVERS\UMDF
2008-01-02 09:29 . 2008-01-02 09:29 <REP> d-------- C:\Program Files\waitbaseacid
2008-01-02 09:29 . 2008-01-02 09:29 <REP> d-------- C:\Documents and Settings\delvbe\Application Data\waitbaseacid
2008-01-02 09:29 . 2008-01-02 09:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\dumb pure bind support
2008-01-02 09:28 . 2008-01-02 12:20 <REP> d-------- C:\Program Files\3wPlayer
2007-12-18 07:45 . 2007-12-18 07:49 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Earthsim
2007-12-17 12:56 . 2007-12-17 12:56 <REP> d-------- C:\WINDOWS\[u]0[/u]48298C9A4D3490B9FF9AB023A9238F3.TMP
2007-12-17 12:54 . 2007-11-01 21:05 593,920 --------- C:\WINDOWS\SYSTEM32\ati2sgag.exe
2007-12-17 12:54 . 2007-12-17 12:54 2,045 --a------ C:\WINDOWS\ATICIM.INI
2007-12-17 12:15 . 2007-05-16 16:45 3,497,832 --a------ C:\WINDOWS\SYSTEM32\d3dx9_34.dll
2007-12-17 12:15 . 2007-05-16 16:45 1,124,720 --a------ C:\WINDOWS\SYSTEM32\D3DCompiler_34.dll
2007-12-17 12:15 . 2007-03-12 16:42 1,123,696 --a------ C:\WINDOWS\SYSTEM32\D3DCompiler_33.dll
2007-12-17 12:15 . 2007-05-16 16:45 443,752 --a------ C:\WINDOWS\SYSTEM32\d3dx10_34.dll
2007-12-17 12:15 . 2007-03-15 16:57 443,752 --a------ C:\WINDOWS\SYSTEM32\d3dx10_33.dll
2007-12-17 12:15 . 2007-05-31 19:30 266,088 --a------ C:\WINDOWS\SYSTEM32\xactengine2_8.dll
2007-12-17 12:15 . 2007-04-04 18:55 261,480 --a------ C:\WINDOWS\SYSTEM32\xactengine2_7.dll
2007-12-17 12:15 . 2007-04-04 18:53 81,768 --a------ C:\WINDOWS\SYSTEM32\xinput1_3.dll
2007-12-17 12:15 . 2007-05-31 19:29 18,280 --a------ C:\WINDOWS\SYSTEM32\x3daudio1_2.dll
2007-12-17 12:14 . 2007-03-12 16:42 3,495,784 --a------ C:\WINDOWS\SYSTEM32\d3dx9_33.dll
2007-12-17 12:14 . 2006-11-29 13:06 3,426,072 --a------ C:\WINDOWS\SYSTEM32\d3dx9_32.dll
2007-12-17 12:14 . 2006-09-28 16:05 2,414,360 --a------ C:\WINDOWS\SYSTEM32\d3dx9_31.dll
2007-12-17 12:14 . 2007-01-24 15:27 255,848 --a------ C:\WINDOWS\SYSTEM32\xactengine2_6.dll
2007-12-17 12:14 . 2006-12-08 12:02 251,672 --a------ C:\WINDOWS\SYSTEM32\xactengine2_5.dll
2007-12-17 12:14 . 2006-09-28 16:05 237,848 --a------ C:\WINDOWS\SYSTEM32\xactengine2_4.dll
2007-12-17 12:14 . 2006-07-28 09:30 236,824 --a------ C:\WINDOWS\SYSTEM32\xactengine2_3.dll
2007-12-17 12:14 . 2006-07-28 09:30 62,744 --a------ C:\WINDOWS\SYSTEM32\xinput1_2.dll
2007-12-17 12:14 . 2007-03-05 12:42 15,128 --a------ C:\WINDOWS\SYSTEM32\x3daudio1_1.dll
2007-12-17 12:13 . 2007-12-17 12:13 319 --a------ C:\WINDOWS\game.ini
2007-12-17 11:49 . 2007-12-17 11:49 <REP> d-------- C:\Program Files\Activision
2007-12-17 11:44 . 2008-01-02 09:43 <REP> d-------- C:\WINDOWS\SYSTEM32\LogFiles
2007-12-13 13:05 . 2007-12-13 13:05 531,248 --a------ C:\WINDOWS\SYSTEM32\es.scr

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-17 11:55 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-17 11:55 --------- d-----w C:\Program Files\ATI Technologies
2007-12-11 09:41 --------- d-----w C:\Program Files\DaViDeo2
2007-11-14 07:20 --------- d-----w C:\Documents and Settings\delvbe\Application Data\SmartDraw
2007-04-10 14:34 107,136 ----a-w C:\Documents and Settings\delvbe\Application Data\GDIPFONTCACHEV1.DAT
2004-11-08 08:52 56 -csh--r C:\WINDOWS\SYSTEM32\11095894C3.sys
2003-08-16 18:56 579,584 --sha-r C:\WINDOWS\SYSTEM32\cd.exe
2004-11-08 08:52 1,682 -csha-w C:\WINDOWS\SYSTEM32\KGyGaAvL.sys
2005-11-06 12:49 184,618 --sha-r C:\WINDOWS\SYSTEM32\patcher.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{008DB894-99ED-445D-8547-0E7C9808898D}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]
"joy list"="C:\DOCUME~1\delvbe\APPLIC~1\WAITBA~1\cdrom inside hope.exe" [2008-01-02 09:29 399360]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-05-22 10:08 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"OfficeScanNT Monitor"="C:\OfficeScan NT\pccntmon.exe" [2004-07-20 08:15 458752]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 06:34 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]
"clc"="C:\WINDOWS\system32\clc.exe" [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="LogonUI.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Accélérateur de démarrage AutoCAD.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Accélérateur de démarrage AutoCAD.lnk
backup=C:\WINDOWS\pss\Accélérateur de démarrage AutoCAD.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdaptecDirectCD]
2002-12-17 12:28 684032 --a------ C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIModeChange]
Ati2mdxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
2003-02-20 21:00 315392 --a--c--- C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\bgl]
C:\WINDOWS\bgl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2004-08-20 00:09 15360 --a------ C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DM_Server]
C:\PROGRA~1\COMETS~1\DM\bin\dmserver.exe /onreboot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DVDSentry]
2002-08-14 18:22 28672 -ra--c--- C:\WINDOWS\System32\DSentry.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
2002-03-28 10:19 188416 --a------ C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Instant Access]
rundll32.exe p2esocks_1021.dll,InstantAccess

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelliPoint]
2003-05-16 00:41 163840 --a------ C:\Program Files\Microsoft IntelliPoint\point32.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X84-X85 Button Manager]
2002-09-04 10:39 53248 --a------ C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X84-X85.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X84-X85 Button Monitor]
2002-08-23 15:50 40960 --a------ C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msbb]
c:\windows\msbb.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mslagent]
C:\WINDOWS\mslagent\mslagent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Program Files\Messenger\msmsgs.exe /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NsUpdate]
C:\WINDOWS\NsUpdate.exe UPDATE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OfficeScanNT Monitor]
C:\OfficeScan NT\pccntmon.exe -HideWindow

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PrinTray]
2002-09-19 04:52 36864 --a--c--- C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Program Files\QuickTime\qttask.exe -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SBHC]
C:\Program Files\SuperBar\sbhc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2007-05-22 10:08 68856 --a------ C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Trash it! Scheduler]
C:\Program Files\Trash it!\Trash it Scheduler.exe

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-10 06:34]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-10 06:34]
R2 CBN;CBN;C:\WINDOWS\System32\Drivers\CBN.SYS [2007-01-25 09:34]
R2 SBKUPNT;SBKUPNT;C:\WINDOWS\System32\Drivers\SBKUPNT.SYS [2001-07-13 13:56]

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-01-03 13:00:04 C:\WINDOWS\Tasks\AF671B2491888CCC.job"
- c:\docume~1\delvbe\applic~1\waitba~1\Faceonlinemail.exe
"2007-11-09 09:36:00 C:\WINDOWS\Tasks\At1.job"
- C:\WINDOWS\System32\username.exe
"2007-12-07 09:36:00 C:\WINDOWS\Tasks\At2.job"
- C:\WINDOWS\System32\expIorer.exe
"2007-11-09 09:39:00 C:\WINDOWS\Tasks\At4.job"
- C:\WINDOWS\System32\username.exe
"2007-11-15 09:39:00 C:\WINDOWS\Tasks\At6.job"
- C:\WINDOWS\System32\sp2protect.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-03 14:20:41
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-03 14:24:51 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-03 13:24:48



puis le nouveau rapport HJThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:26, on 2008-01-03
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\OfficeScan NT\ntrtscan.exe
C:\WINDOWS\System32\svchost.exe
C:\OfficeScan NT\tmlisten.exe
C:\OfficeScan NT\ofcdog.exe
C:\WINDOWS\Explorer.EXE
C:\OfficeScan NT\pccntmon.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {008DB894-99ED-445D-8547-0E7C9808898D} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [joy list] C:\DOCUME~1\delvbe\APPLIC~1\WAITBA~1\cdrom inside hope.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open PDF in Word - res://C:\Program Files\ScanSoft\PDF Converter\IEShellExt.dll /100
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://data.jeuxclassiques.com/npwwg.cab
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/common/cab/DjVuControlLite_EN.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/178c7d33339a4d4e0f05/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.pixdiscount.fr/clients/uploader_v2.1.0.56.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxmultijoueurs.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://3dlifeplayer.dl.3dvia.com/player/install/installer.exe
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://betway.microgaming.com/betway/FlashAX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6C50150-A0F5-41FB-AEF1-9E26FD17209F}: NameServer = 200.1.1.25
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = carlier.intra
O22 - SharedTaskScheduler: z - {A4F94C0C-54A7-4DB1-9AF3-B22E63D00404} - (no file)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Unknown owner - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\OfficeScan NT\tmlisten.exe
O23 - Service: USBMate - Unknown owner - C:\Program Files\Belkin\Belkin Power Management Software\usbmate.exe (file missing)
O24 - Desktop Component 0: (no name) - https://www.audi.fr/fr/web/fr.html
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 17
DeNisCoOl Messages postés 2871 Statut Membre 224
 
bertranddelva,

Avez vous exécuté également les 3 procédures Vundo...?

Je regardes pour avoir de l'aide pour le rapport Combofix
(J'ai déjà remarqué plusieurs infections, je demande confirmation)

1-expIorer.exe (WORM_MYTOB.MA), voici un fix pour l'enlever: https://www.broadcom.com/support/security-center
Bien vérifier si le fix l'a détecté et enlevé, tenez moi courant.

2-Cliquer sur le poste de travail ensuite sur disque C:\ puis supprimer les fichiers en gras
C:\WINDOWS\System32\username.exe
C:\WINDOWS\System32\sp2protect.exe
C:\WINDOWS\SYSTEM32\patcher.exe
C:\WINDOWS\SYSTEM32\KGyGaAvL.sys

Rechercher et supprimer Faceonlinemail.exe

(il faudra peut être afficher les fichiers et dossiers cachés, pour ceci cliquer sur outils, options des dossiers, affichage, puis cocher afficher les fichiers et dossiers cachés)

En cas de problème de suppression, redémarrer en mode sans échec (Redémarrer, après le bip tapoter sur F8, un menu va apparaitre, choisir le mode sans échec puis choisir votre compte)
Le bureau va apparaitre en affichage réduit et recommencer.

3-Poster un autre log HJthis également

Tenez moi au courant si les symptômes on disparu.

a+
0
Réponse 6 / 17
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Bonjour

Sur demande de DenisCool, j'interviens en "passant" .

Visible dans rapport HijackThis et via celui de ComboFix --> infection LOP

Vu que ComboFix a été utilisé ... on peut continuer grâce a celui ci :

ComboFix avec CFScript :

* Sélectionne le texte suivant (en gras) dans son intégralité :


Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"joy list"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Instant Access]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"clc"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msbb]

File::
C:\WINDOWS\Tasks\AF671B2491888CCC.job
C:\windows\msbb.exe
C:\WINDOWS\system32\clc.exe

Folder::
C:\Program Files\waitbaseacid
C:\Documents and Settings\delvbe\Application Data\waitbaseacid
"C:\Documents and Settings\All Users\Application Data\dumb pure bind support"
C:\Documents and Settings\All Users\Application Data\Earthsim

* Copie le texte sélectionné (CTRL+C).
* Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
* Colle le texte copié dans ce bloc-notes (CTRL+V).
* Sauvegarde ce fichier sous le nom de CFScript.txt

Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement

* Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe ( sur ton bureau)

* Une fenêtre bleue va apparaître: au message qui apparaît Type 1 to continue, or 2 to abort , tape 1 puis valide.

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu et un nouveau rapport HijackThis

* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

@ suivre
0
Réponse 7 / 17
bertranddelva
 
Bonjour, désolé pour le retard je rentre d'un week end prolongé...
Suite aux dernier messages :

C:\WINDOWS\System32\username.exe
C:\WINDOWS\System32\sp2protect.exe
C:\WINDOWS\SYSTEM32\patcher.exe
C:\WINDOWS\SYSTEM32\KGyGaAvL.sys
je n'ai pas trouvé ces fichiers mes dans les fichiers cachés....

Faceonlinemail.exe a été supprimé

MYTOB n'a pas été detecté donc pas enlevé...

Suite au message de LESIOUX, voici le rapport combofix :

ComboFix 08-01-07.5 - delvbe 2008-01-08 10:00:10.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.2218 [GMT 1:00]
Running from: C:\Documents and Settings\delvbe\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\delvbe\Bureau\CFScript.txt
* Created a new restore point

FILE
C:\windows\msbb.exe
C:\WINDOWS\system32\clc.exe
C:\WINDOWS\Tasks\AF671B2491888CCC.job
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data\dumb pure bind support\manager extra.exe
C:\Documents and Settings\All Users\Application Data\Earthsim
C:\Documents and Settings\All Users\Application Data\Earthsim\Earthsim1\data\infospacecache\bookmark\home.node
C:\Documents and Settings\delvbe\Application Data\waitbaseacid
C:\Documents and Settings\All Users\Application Data\dumb pure bind support

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-08 to 2008-01-08 ))))))))))))))))))))))))))))))))))))
.

2008-01-08 08:44 . 2008-01-08 08:44 7,143 --a------ C:\WINDOWS\cfgrs_ex.ini
2008-01-04 10:40 . 2008-01-04 10:40 21 --a------ C:\tmuninst.ini
2008-01-04 10:39 . 2007-08-01 16:47 102,664 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\tmcomm.sys
2008-01-03 14:15 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-03 09:19 . 2008-01-03 09:30 <REP> d-------- C:\Program Files\Navilog1
2008-01-02 09:45 . 2006-10-04 15:06 1,197,294 --------- C:\WINDOWS\SYSTEM32\DLLCACHE\sysmain.sdb
2008-01-02 09:45 . 2006-10-04 15:06 764,868 --------- C:\WINDOWS\SYSTEM32\DLLCACHE\apph_sp.sdb
2008-01-02 09:45 . 2006-10-04 15:06 217,118 --------- C:\WINDOWS\SYSTEM32\DLLCACHE\apphelp.sdb
2008-01-02 09:44 . 2008-01-02 09:44 <REP> d-------- C:\Program Files\Windows Media Connect 2
2008-01-02 09:43 . 2008-01-02 09:43 <REP> d-------- C:\WINDOWS\SYSTEM32\DRIVERS\UMDF
2007-12-17 12:54 . 2007-11-01 21:05 593,920 --------- C:\WINDOWS\SYSTEM32\ati2sgag.exe
2007-12-17 12:54 . 2007-12-17 12:54 2,045 --a------ C:\WINDOWS\ATICIM.INI
2007-12-17 12:15 . 2007-05-16 16:45 3,497,832 --a------ C:\WINDOWS\SYSTEM32\d3dx9_34.dll
2007-12-17 12:15 . 2007-05-16 16:45 1,124,720 --a------ C:\WINDOWS\SYSTEM32\D3DCompiler_34.dll
2007-12-17 12:15 . 2007-03-12 16:42 1,123,696 --a------ C:\WINDOWS\SYSTEM32\D3DCompiler_33.dll
2007-12-17 12:15 . 2007-05-16 16:45 443,752 --a------ C:\WINDOWS\SYSTEM32\d3dx10_34.dll
2007-12-17 12:15 . 2007-03-15 16:57 443,752 --a------ C:\WINDOWS\SYSTEM32\d3dx10_33.dll
2007-12-17 12:15 . 2007-05-31 19:30 266,088 --a------ C:\WINDOWS\SYSTEM32\xactengine2_8.dll
2007-12-17 12:15 . 2007-04-04 18:55 261,480 --a------ C:\WINDOWS\SYSTEM32\xactengine2_7.dll
2007-12-17 12:15 . 2007-04-04 18:53 81,768 --a------ C:\WINDOWS\SYSTEM32\xinput1_3.dll
2007-12-17 12:15 . 2007-05-31 19:29 18,280 --a------ C:\WINDOWS\SYSTEM32\x3daudio1_2.dll
2007-12-17 12:14 . 2007-03-12 16:42 3,495,784 --a------ C:\WINDOWS\SYSTEM32\d3dx9_33.dll
2007-12-17 12:14 . 2006-11-29 13:06 3,426,072 --a------ C:\WINDOWS\SYSTEM32\d3dx9_32.dll
2007-12-17 12:14 . 2006-09-28 16:05 2,414,360 --a------ C:\WINDOWS\SYSTEM32\d3dx9_31.dll
2007-12-17 12:14 . 2007-01-24 15:27 255,848 --a------ C:\WINDOWS\SYSTEM32\xactengine2_6.dll
2007-12-17 12:14 . 2006-12-08 12:02 251,672 --a------ C:\WINDOWS\SYSTEM32\xactengine2_5.dll
2007-12-17 12:14 . 2006-09-28 16:05 237,848 --a------ C:\WINDOWS\SYSTEM32\xactengine2_4.dll
2007-12-17 12:14 . 2006-07-28 09:30 236,824 --a------ C:\WINDOWS\SYSTEM32\xactengine2_3.dll
2007-12-17 12:14 . 2006-07-28 09:30 62,744 --a------ C:\WINDOWS\SYSTEM32\xinput1_2.dll
2007-12-17 12:14 . 2007-03-05 12:42 15,128 --a------ C:\WINDOWS\SYSTEM32\x3daudio1_1.dll
2007-12-17 12:13 . 2007-12-17 12:13 319 --a------ C:\WINDOWS\game.ini
2007-12-17 11:49 . 2007-12-17 11:49 <REP> d-------- C:\Program Files\Activision
2007-12-17 11:44 . 2008-01-02 09:43 <REP> d-------- C:\WINDOWS\SYSTEM32\LogFiles

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-08 07:17 --------- d-----w C:\Program Files\Google
2008-01-04 09:40 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-12-17 11:55 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-17 11:55 --------- d-----w C:\Program Files\ATI Technologies
2007-12-11 09:41 --------- d-----w C:\Program Files\DaViDeo2
2007-11-14 07:20 --------- d-----w C:\Documents and Settings\delvbe\Application Data\SmartDraw
2007-04-10 14:34 107,136 ----a-w C:\Documents and Settings\delvbe\Application Data\GDIPFONTCACHEV1.DAT
2004-11-08 08:52 56 -csh--r C:\WINDOWS\SYSTEM32\11095894C3.sys
2003-08-16 18:56 579,584 --sha-r C:\WINDOWS\SYSTEM32\cd.exe
2004-11-08 08:52 1,682 -csha-w C:\WINDOWS\SYSTEM32\KGyGaAvL.sys
2005-11-06 12:49 184,618 --sha-r C:\WINDOWS\SYSTEM32\patcher.exe
.

((((((((((((((((((((((((((((( snapshot@2008-01-03_14.24.35.14 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-01-08 09:03:26 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_978.dat
+ 2007-05-07 23:43:40 300,656 ----a-w C:\WINDOWS\TEMP\SK4333.EXE
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{008DB894-99ED-445D-8547-0E7C9808898D}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"OfficeScanNT Monitor"="C:\OfficeScan NT\pccntmon.exe" [2007-05-08 00:43 702072]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 06:34 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="LogonUI.EXE"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Accélérateur de démarrage AutoCAD.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Accélérateur de démarrage AutoCAD.lnk
backup=C:\WINDOWS\pss\Accélérateur de démarrage AutoCAD.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdaptecDirectCD]
--a------ 2002-12-17 12:28 684032 C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIModeChange]
--a------ 2007-11-02 05:01 26112 C:\WINDOWS\SYSTEM32\Ati2mdxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
--a--c--- 2003-02-20 21:00 315392 C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\bgl]
C:\WINDOWS\bgl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-20 00:09 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DM_Server]
C:\PROGRA~1\COMETS~1\DM\bin\dmserver.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DVDSentry]
-ra--c--- 2002-08-14 18:22 28672 C:\WINDOWS\System32\DSentry.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
--a------ 2002-03-28 10:19 188416 C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelliPoint]
--a------ 2003-05-16 00:41 163840 C:\Program Files\Microsoft IntelliPoint\point32.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X84-X85 Button Manager]
--a------ 2002-09-04 10:39 53248 C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X84-X85.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X84-X85 Button Monitor]
--a------ 2002-08-23 15:50 40960 C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mslagent]
C:\WINDOWS\mslagent\mslagent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 17:24 1694208 C:\Program Files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NsUpdate]
C:\WINDOWS\NsUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OfficeScanNT Monitor]
--a------ 2007-05-08 00:43 702072 C:\OfficeScan NT\pccntmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PrinTray]
--a--c--- 2002-09-19 04:52 36864 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Program Files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SBHC]
C:\Program Files\SuperBar\sbhc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2006-08-17 14:26 180269 C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Trash it! Scheduler]
C:\Program Files\Trash it!\Trash it Scheduler.exe

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-10 06:34]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-10 06:34]
R2 CBN;CBN;C:\WINDOWS\System32\Drivers\CBN.SYS [2007-01-25 09:34]
R2 SBKUPNT;SBKUPNT;C:\WINDOWS\System32\Drivers\SBKUPNT.SYS [2001-07-13 13:56]

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-01-08 09:00:00 C:\WINDOWS\Tasks\87C991C285323A2A.job"
- c:\docume~1\delvbe\applic~1\waitba~1\Faceonlinemail.exe
"2007-11-09 09:36:00 C:\WINDOWS\Tasks\At1.job"
- C:\WINDOWS\System32\username.exe
"2008-01-07 09:36:00 C:\WINDOWS\Tasks\At2.job"
- C:\WINDOWS\System32\expIorer.exe
"2007-11-09 09:39:00 C:\WINDOWS\Tasks\At4.job"
- C:\WINDOWS\System32\username.exe
"2007-11-15 09:39:00 C:\WINDOWS\Tasks\At6.job"
- C:\WINDOWS\System32\sp2protect.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-08 10:03:48
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-08 10:07:42 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-08 09:07:39
ComboFix2.txt 2008-01-03 13:24:51

puis le rapport HJThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:16, on 2008-01-08
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\OfficeScan NT\ntrtscan.exe
C:\WINDOWS\System32\svchost.exe
C:\OfficeScan NT\tmlisten.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\TEMP\SK4333.EXE
C:\OfficeScan NT\CNTAoSMgr.exe
C:\OfficeScan NT\pccntmon.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\AutoCAD 2008\acad.exe
C:\DOCUME~1\delvbe\LOCALS~1\Temp\AdskCleanup.0001
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office10\OUTLOOK.EXE
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {008DB894-99ED-445D-8547-0E7C9808898D} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open PDF in Word - res://C:\Program Files\ScanSoft\PDF Converter\IEShellExt.dll /100
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://data.jeuxclassiques.com/npwwg.cab
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/common/cab/DjVuControlLite_EN.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/178c7d33339a4d4e0f05/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.pixdiscount.fr/clients/uploader_v2.1.0.56.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxmultijoueurs.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://3dlifeplayer.dl.3dvia.com/player/install/installer.exe
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://betway.microgaming.com/betway/FlashAX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6C50150-A0F5-41FB-AEF1-9E26FD17209F}: NameServer = 200.1.1.25
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = carlier.intra
O22 - SharedTaskScheduler: z - {A4F94C0C-54A7-4DB1-9AF3-B22E63D00404} - (no file)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\OfficeScan NT\tmlisten.exe
O23 - Service: USBMate - Unknown owner - C:\Program Files\Belkin\Belkin Power Management Software\usbmate.exe (file missing)
O24 - Desktop Component 0: (no name) - https://www.audi.fr/fr/web/fr.html
0
Réponse 8 / 17
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Bonjour

Besoin de tester 3 fichiers sur Virus total avant de continuer :

* Va sur VIRUS TOTAL https://www.virustotal.com/gui/

* Clique sur "parcourir" : C:\WINDOWS\cfgrs_ex.ini

* Recherche le fichier à analyser, puis clique ensuite sur "send".

Il faut patienter car tu es sur une file d'attente.
Le rapport ne sera complet que lorsque tu verras la mention "FINISHED"sur la droite.

Dépose le dans ta prochaine réponse.

Tuto : http://pageperso.aol.fr/loraline60/virus_total.htm

Note : Il est possible que tu es besoin d'avoir accès aux dossiers et fichiers cachés, pour cela "Affiche les dossiers cachés" Aide toi de B ) Afficher les dossiers cachés ici https://forum.pcastuces.com/sujet.asp?f=25&s=3902 si besoin.

Fais de même pour C:\WINDOWS\SYSTEM32\patcher.exe et C:\WINDOWS\NsUpdate.exe

@ suivre
0
Réponse 9 / 17
bertranddelva
 
Ci joint les rapports demandés :

C:\WINDOWS\NsUpdate.exe est introuvable sur mon dique dur meme en fichier caché

encore merci de me consacrer du temps


Fichier cfgrs_ex.ini reçu le 2008.01.09 07:41:04 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 0/32 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 41 et 59 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.9.11 2008.01.09 -
AntiVir 7.6.0.46 2008.01.08 -
Authentium 4.93.8 2008.01.09 -
Avast 4.7.1098.0 2008.01.08 -
AVG 7.5.0.516 2008.01.08 -
BitDefender 7.2 2008.01.09 -
CAT-QuickHeal 9.00 2008.01.07 -
ClamAV 0.91.2 2008.01.09 -
DrWeb 4.44.0.09170 2008.01.08 -
eSafe 7.0.15.0 2008.01.08 -
eTrust-Vet 31.3.5443 2008.01.09 -
Ewido 4.0 2008.01.08 -
FileAdvisor 1 2008.01.09 -
Fortinet 3.14.0.0 2008.01.09 -
F-Prot 4.4.2.54 2008.01.08 -
F-Secure 6.70.13030.0 2008.01.09 -
Ikarus T3.1.1.20 2008.01.09 -
Kaspersky 7.0.0.125 2008.01.09 -
McAfee 5202 2008.01.08 -
Microsoft 1.3109 2008.01.09 -
NOD32v2 2776 2008.01.09 -
Norman 5.80.02 2008.01.08 -
Panda 9.0.0.4 2008.01.08 -
Prevx1 V2 2008.01.09 -
Rising 20.26.20.00 2008.01.09 -
Sophos 4.24.0 2008.01.09 -
Sunbelt 2.2.907.0 2008.01.09 -
Symantec 10 2008.01.09 -
TheHacker 6.2.9.184 2008.01.08 -
VBA32 3.12.2.5 2008.01.07 -
VirusBuster 4.3.26:9 2008.01.09 -
Webwasher-Gateway 6.6.2 2008.01.08 -
Information additionnelle
File size: 7143 bytes
MD5: b69cc21a6a1d126aade95992557ad5bf
SHA1: f8aa0729ac59685c5a1451d397085ce8e862ca02
PEiD: -

---------------------------------------------------------------------------------------------------------------------------------------

Fichier patcher.exe reçu le 2008.01.09 07:47:06 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 1/32 (3.13%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 41 et 59 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.9.11 2008.01.09 -
AntiVir 7.6.0.46 2008.01.08 -
Authentium 4.93.8 2008.01.09 -
Avast 4.7.1098.0 2008.01.08 -
AVG 7.5.0.516 2008.01.08 -
BitDefender 7.2 2008.01.09 -
CAT-QuickHeal 9.00 2008.01.07 -
ClamAV 0.91.2 2008.01.09 -
DrWeb 4.44.0.09170 2008.01.08 -
eSafe 7.0.15.0 2008.01.08 suspicious Trojan/Worm
eTrust-Vet 31.3.5443 2008.01.09 -
Ewido 4.0 2008.01.08 -
FileAdvisor 1 2008.01.09 -
Fortinet 3.14.0.0 2008.01.09 -
F-Prot 4.4.2.54 2008.01.08 -
F-Secure 6.70.13030.0 2008.01.09 -
Ikarus T3.1.1.20 2008.01.09 -
Kaspersky 7.0.0.125 2008.01.09 -
McAfee 5202 2008.01.08 -
Microsoft 1.3109 2008.01.09 -
NOD32v2 2776 2008.01.09 -
Norman 5.80.02 2008.01.08 -
Panda 9.0.0.4 2008.01.08 -
Prevx1 V2 2008.01.09 -
Rising 20.26.20.00 2008.01.09 -
Sophos 4.24.0 2008.01.09 -
Sunbelt 2.2.907.0 2008.01.09 -
Symantec 10 2008.01.09 -
TheHacker 6.2.9.184 2008.01.08 -
VBA32 3.12.2.5 2008.01.07 -
VirusBuster 4.3.26:9 2008.01.09 -
Webwasher-Gateway 6.6.2 2008.01.08 -
Information additionnelle
File size: 184618 bytes
MD5: 2471e0c9cd290fb69b0a125d1e5c61b1
SHA1: f2ab05a2c24307438ef83c71d12f2c58bb6e0d82
PEiD: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
packers: UPX
packers: UPX
packers: UPX


----------------------------------------------------------------------------------------------------------
0
Réponse 10 / 17
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Hello Bertrand

On continu :

ComboFix avec CFScript :

* Sélectionne le texte suivant (en gras) dans son intégralité :

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{008DB894-99ED-445D-8547-0E7C9808898D}]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DM_Server]
[-HKCR\CLSID\{D0C0F75C-683A-4390-A791-1ACFD5599AB8}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{D0C0F75C-683A-4390-A791-1ACFD5599AB8}]
[-HKCR\CLSID\{D8089245-3211-40F6-819B-9E5E92CD61A2}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{D8089245-3211-40F6-819B-9E5E92CD61A2}]
[-HKCR\CLSID\{56336BCB-3D8A-11D6-A00B-0050DA18DE71}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{56336BCB-3D8A-11D6-A00B-0050DA18DE71}]

File::
C:\WINDOWS\SYSTEM32\11095894C3.sys
C:\WINDOWS\TEMP\SK4333.EXE
C:\Program Files\COMETS~1\DM\bin\dmserver.exe
C:\Windows\Downloaded Program files\FlashAX.cab
C:\Windows\Downloaded Program files\RdxIE601_fr.cab
C:\Windows\Downloaded Program files\OberonGameHost.cab

* Copie le texte sélectionné (CTRL+C).
* Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
* Colle le texte copié dans ce bloc-notes (CTRL+V).
* Sauvegarde ce fichier sous le nom de CFScript.txt

Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement

* Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe ( sur ton bureau)

* Une fenêtre bleue va apparaître: au message qui apparaît Type 1 to continue, or 2 to abort , tape 1 puis valide.

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

--> Une fois le scan achevé, un rapport va s'afficher : Poste son contenu et un nouveau rapport HijackThis

(Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt )

@ suivre
0
Réponse 11 / 17
bertranddelva Messages postés 3 Statut Membre
 
salut, vois le rapport combofix et HJThis :


COMBOFIX :


ComboFix 08-01-07.5 - delvbe 2008-01-11 8:00:43.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.2518 [GMT 1:00]
Running from: C:\Documents and Settings\delvbe\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\delvbe\Bureau\CFScript.txt
* Created a new restore point

FILE
C:\Program Files\COMETS~1\DM\bin\dmserver.exe
C:\Windows\Downloaded Program files\FlashAX.cab
C:\Windows\Downloaded Program files\OberonGameHost.cab
C:\Windows\Downloaded Program files\RdxIE601_fr.cab
C:\WINDOWS\SYSTEM32\11095894C3.sys
C:\WINDOWS\TEMP\SK4333.EXE
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\SYSTEM32\11095894C3.sys

.
((((((((((((((((((((((((((((( Fichiers créés 2007-12-11 to 2008-01-11 ))))))))))))))))))))))))))))))))))))
.

2008-01-11 07:41 . 2008-01-11 07:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Google Updater
2008-01-10 12:43 . 2008-01-10 12:43 <REP> d-------- C:\Program Files\Casino
2008-01-08 08:44 . 2008-01-08 08:44 7,143 --a------ C:\WINDOWS\cfgrs_ex.ini
2008-01-04 10:40 . 2008-01-04 10:40 21 --a------ C:\tmuninst.ini
2008-01-04 10:39 . 2007-08-01 16:47 102,664 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\tmcomm.sys
2008-01-03 14:15 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-03 09:19 . 2008-01-03 09:30 <REP> d-------- C:\Program Files\Navilog1
2008-01-02 09:45 . 2006-10-04 15:06 1,197,294 --------- C:\WINDOWS\SYSTEM32\DLLCACHE\sysmain.sdb
2008-01-02 09:45 . 2006-10-04 15:06 764,868 --------- C:\WINDOWS\SYSTEM32\DLLCACHE\apph_sp.sdb
2008-01-02 09:45 . 2006-10-04 15:06 217,118 --------- C:\WINDOWS\SYSTEM32\DLLCACHE\apphelp.sdb
2008-01-02 09:44 . 2008-01-02 09:44 <REP> d-------- C:\Program Files\Windows Media Connect 2
2008-01-02 09:43 . 2008-01-02 09:43 <REP> d-------- C:\WINDOWS\SYSTEM32\DRIVERS\UMDF
2007-12-17 12:54 . 2007-11-01 21:05 593,920 --------- C:\WINDOWS\SYSTEM32\ati2sgag.exe
2007-12-17 12:54 . 2007-12-17 12:54 2,045 --a------ C:\WINDOWS\ATICIM.INI
2007-12-17 12:15 . 2007-05-16 16:45 3,497,832 --a------ C:\WINDOWS\SYSTEM32\d3dx9_34.dll
2007-12-17 12:15 . 2007-05-16 16:45 1,124,720 --a------ C:\WINDOWS\SYSTEM32\D3DCompiler_34.dll
2007-12-17 12:15 . 2007-03-12 16:42 1,123,696 --a------ C:\WINDOWS\SYSTEM32\D3DCompiler_33.dll
2007-12-17 12:15 . 2007-05-16 16:45 443,752 --a------ C:\WINDOWS\SYSTEM32\d3dx10_34.dll
2007-12-17 12:15 . 2007-03-15 16:57 443,752 --a------ C:\WINDOWS\SYSTEM32\d3dx10_33.dll
2007-12-17 12:15 . 2007-05-31 19:30 266,088 --a------ C:\WINDOWS\SYSTEM32\xactengine2_8.dll
2007-12-17 12:15 . 2007-04-04 18:55 261,480 --a------ C:\WINDOWS\SYSTEM32\xactengine2_7.dll
2007-12-17 12:15 . 2007-04-04 18:53 81,768 --a------ C:\WINDOWS\SYSTEM32\xinput1_3.dll
2007-12-17 12:15 . 2007-05-31 19:29 18,280 --a------ C:\WINDOWS\SYSTEM32\x3daudio1_2.dll
2007-12-17 12:14 . 2007-03-12 16:42 3,495,784 --a------ C:\WINDOWS\SYSTEM32\d3dx9_33.dll
2007-12-17 12:14 . 2006-11-29 13:06 3,426,072 --a------ C:\WINDOWS\SYSTEM32\d3dx9_32.dll
2007-12-17 12:14 . 2006-09-28 16:05 2,414,360 --a------ C:\WINDOWS\SYSTEM32\d3dx9_31.dll
2007-12-17 12:14 . 2007-01-24 15:27 255,848 --a------ C:\WINDOWS\SYSTEM32\xactengine2_6.dll
2007-12-17 12:14 . 2006-12-08 12:02 251,672 --a------ C:\WINDOWS\SYSTEM32\xactengine2_5.dll
2007-12-17 12:14 . 2006-09-28 16:05 237,848 --a------ C:\WINDOWS\SYSTEM32\xactengine2_4.dll
2007-12-17 12:14 . 2006-07-28 09:30 236,824 --a------ C:\WINDOWS\SYSTEM32\xactengine2_3.dll
2007-12-17 12:14 . 2006-07-28 09:30 62,744 --a------ C:\WINDOWS\SYSTEM32\xinput1_2.dll
2007-12-17 12:14 . 2007-03-05 12:42 15,128 --a------ C:\WINDOWS\SYSTEM32\x3daudio1_1.dll
2007-12-17 12:13 . 2007-12-17 12:13 319 --a------ C:\WINDOWS\game.ini
2007-12-17 11:44 . 2008-01-02 09:43 <REP> d-------- C:\WINDOWS\SYSTEM32\LogFiles

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-11 06:42 --------- d-----w C:\Program Files\Google
2008-01-10 07:55 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-04 09:40 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-12-17 11:55 --------- d-----w C:\Program Files\ATI Technologies
2007-12-11 09:41 --------- d-----w C:\Program Files\DaViDeo2
2007-11-14 07:20 --------- d-----w C:\Documents and Settings\delvbe\Application Data\SmartDraw
2007-11-02 05:52 2,644,480 ----a-w C:\WINDOWS\SYSTEM32\DLLCACHE\ati2mtag.sys
2007-11-02 04:57 9,314,304 ----a-w C:\WINDOWS\SYSTEM32\atioglx2.dll
2007-11-02 04:24 176,128 ----a-w C:\WINDOWS\SYSTEM32\atiok3x2.dll
2007-11-02 04:10 364,544 ----a-w C:\WINDOWS\SYSTEM32\ATIDEMGX.dll
2007-11-02 04:09 268,288 ----a-w C:\WINDOWS\SYSTEM32\ati2dvag.dll
2007-11-02 04:01 26,112 ----a-w C:\WINDOWS\SYSTEM32\Ati2mdxx.exe
2007-11-02 04:01 143,360 ----a-w C:\WINDOWS\SYSTEM32\atipdlxx.dll
2007-11-02 04:01 122,880 ----a-w C:\WINDOWS\SYSTEM32\Oemdspif.dll
2007-11-02 04:00 43,520 ----a-w C:\WINDOWS\SYSTEM32\ati2edxx.dll
2007-11-02 04:00 122,880 ----a-w C:\WINDOWS\SYSTEM32\ati2evxx.dll
2007-11-02 03:59 495,616 ----a-w C:\WINDOWS\SYSTEM32\ati2evxx.exe
2007-11-02 03:58 53,248 ----a-w C:\WINDOWS\SYSTEM32\ATIDDC.DLL
2007-11-02 03:50 3,133,728 ----a-w C:\WINDOWS\SYSTEM32\ati3duag.dll
2007-11-02 03:39 1,602,176 ----a-w C:\WINDOWS\SYSTEM32\ativvaxx.dll
2007-11-02 03:35 307,200 ----a-w C:\WINDOWS\SYSTEM32\atiiiexx.dll
2007-11-02 03:26 5,435,392 ----a-w C:\WINDOWS\SYSTEM32\atioglxx.dll
2007-11-02 03:24 376,832 ----a-w C:\WINDOWS\SYSTEM32\atikvmag.dll
2007-11-02 03:22 17,408 ----a-w C:\WINDOWS\SYSTEM32\atitvo32.dll
2007-11-02 03:16 499,712 ----a-w C:\WINDOWS\SYSTEM32\DLLCACHE\ati2cqag.dll
2007-11-02 03:16 499,712 ----a-w C:\WINDOWS\SYSTEM32\ati2cqag.dll
2007-04-10 14:34 107,136 ----a-w C:\Documents and Settings\delvbe\Application Data\GDIPFONTCACHEV1.DAT
2003-08-16 18:56 579,584 --sha-r C:\WINDOWS\SYSTEM32\cd.exe
2004-11-08 08:52 1,682 -csha-w C:\WINDOWS\SYSTEM32\KGyGaAvL.sys
2005-11-06 12:49 184,618 --sha-r C:\WINDOWS\SYSTEM32\patcher.exe
.

((((((((((((((((((((((((((((( snapshot@2008-01-03_14.24.35.14 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-05-07 23:43:40 300,656 ----a-w C:\WINDOWS\TEMP\ILB14F.EXE
+ 2008-01-09 15:14:01 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_870.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-01-11 07:41 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"OfficeScanNT Monitor"="C:\OfficeScan NT\pccntmon.exe" [2007-05-08 00:43 702072]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 06:34 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Outil de mise … jour Google.lnk - C:\Program Files\Google\Google Updater\GoogleUpdater.exe [2008-01-11 07:41:43]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="LogonUI.EXE"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Accélérateur de démarrage AutoCAD.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Accélérateur de démarrage AutoCAD.lnk
backup=C:\WINDOWS\pss\Accélérateur de démarrage AutoCAD.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdaptecDirectCD]
--a------ 2002-12-17 12:28 684032 C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIModeChange]
--a------ 2007-11-02 05:01 26112 C:\WINDOWS\SYSTEM32\Ati2mdxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
--a--c--- 2003-02-20 21:00 315392 C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\bgl]
C:\WINDOWS\bgl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-20 00:09 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DVDSentry]
-ra--c--- 2002-08-14 18:22 28672 C:\WINDOWS\System32\DSentry.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
--a------ 2002-03-28 10:19 188416 C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelliPoint]
--a------ 2003-05-16 00:41 163840 C:\Program Files\Microsoft IntelliPoint\point32.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X84-X85 Button Manager]
--a------ 2002-09-04 10:39 53248 C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X84-X85.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X84-X85 Button Monitor]
--a------ 2002-08-23 15:50 40960 C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mslagent]
C:\WINDOWS\mslagent\mslagent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 17:24 1694208 C:\Program Files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NsUpdate]
C:\WINDOWS\NsUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OfficeScanNT Monitor]
--a------ 2007-05-08 00:43 702072 C:\OfficeScan NT\pccntmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PrinTray]
--a--c--- 2002-09-19 04:52 36864 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Program Files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SBHC]
C:\Program Files\SuperBar\sbhc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2008-01-11 07:41 68856 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2006-08-17 14:26 180269 C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Trash it! Scheduler]
C:\Program Files\Trash it!\Trash it Scheduler.exe

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-10 06:34]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-10 06:34]
R2 CBN;CBN;C:\WINDOWS\System32\Drivers\CBN.SYS [2007-01-25 09:34]
R2 SBKUPNT;SBKUPNT;C:\WINDOWS\System32\Drivers\SBKUPNT.SYS [2001-07-13 13:56]

*Newly Created Service* - GUSVC
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-01-11 07:00:00 C:\WINDOWS\Tasks\87C991C285323A2A.job"
- c:\docume~1\delvbe\applic~1\waitba~1\Faceonlinemail.exe
"2008-01-09 09:36:00 C:\WINDOWS\Tasks\At1.job"
- C:\WINDOWS\System32\username.exe
"2008-01-07 09:36:00 C:\WINDOWS\Tasks\At2.job"
- C:\WINDOWS\System32\expIorer.exe
"2008-01-09 09:39:00 C:\WINDOWS\Tasks\At4.job"
- C:\WINDOWS\System32\username.exe
"2007-11-15 09:39:00 C:\WINDOWS\Tasks\At6.job"
- C:\WINDOWS\System32\sp2protect.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-11 08:04:19
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-11 8:05:08
ComboFix-quarantined-files.txt 2008-01-11 07:04:46
ComboFix2.txt 2008-01-08 09:07:42
ComboFix3.txt 2008-01-03 13:24:51



et HJThis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:31, on 2008-01-11
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\OfficeScan NT\ntrtscan.exe
C:\WINDOWS\System32\svchost.exe
C:\OfficeScan NT\tmlisten.exe
C:\OfficeScan NT\CNTAoSMgr.exe
C:\WINDOWS\TEMP\ILB14F.EXE
C:\OfficeScan NT\pccntmon.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\AutoCAD 2008\acad.exe
C:\DOCUME~1\delvbe\LOCALS~1\Temp\AdskCleanup.0001
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open PDF in Word - res://C:\Program Files\ScanSoft\PDF Converter\IEShellExt.dll /100
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://data.jeuxclassiques.com/npwwg.cab
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/common/cab/DjVuControlLite_EN.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/178c7d33339a4d4e0f05/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.pixdiscount.fr/clients/uploader_v2.1.0.56.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxmultijoueurs.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://3dlifeplayer.dl.3dvia.com/player/install/installer.exe
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://betway.microgaming.com/betway/FlashAX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6C50150-A0F5-41FB-AEF1-9E26FD17209F}: NameServer = 200.1.1.25
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = carlier.intra
O22 - SharedTaskScheduler: z - {A4F94C0C-54A7-4DB1-9AF3-B22E63D00404} - (no file)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\OfficeScan NT\tmlisten.exe
O23 - Service: USBMate - Unknown owner - C:\Program Files\Belkin\Belkin Power Management Software\usbmate.exe (file missing)
O24 - Desktop Component 0: (no name) - https://www.audi.fr/fr/web/fr.html
0
Réponse 12 / 17
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Re

* Va sur VIRUS TOTAL https://www.virustotal.com/gui/

* Clique sur "parcourir" : C:\tmuninst.ini

* Recherche le fichier à analyser, puis clique ensuite sur "send".

Il faut patienter car tu es sur une file d'attente.
Le rapport ne sera complet que lorsque tu verras la mention "FINISHED"sur la droite.

Dépose le dans ta prochaine réponse.

Tuto : http://pageperso.aol.fr/loraline60/virus_total.htm

Note : Il est possible que tu es besoin d'avoir accès aux dossiers et fichiers cachés, pour cela "Affiche les dossiers cachés" Aide toi de B ) Afficher les dossiers cachés ici https://forum.pcastuces.com/sujet.asp?f=25&s=3902 si besoin.

Fais de même pour C:\WINDOWS\SYSTEM32\cd.exe et C:\WINDOWS\TEMP\Perflib_Perfdata_870.dat

Poste ces 3 rapports en réponse.

@ suivre.

0
Réponse 13 / 17
bertranddelva
 
voici les rapports de virustotal demandés....

C:\tmuninst.ini

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.15.11 2008.01.15 -
AntiVir 7.6.0.46 2008.01.15 -
Authentium 4.93.8 2008.01.13 -
Avast 4.7.1098.0 2008.01.14 -
AVG 7.5.0.516 2008.01.14 -
BitDefender 7.2 2008.01.15 -
CAT-QuickHeal 9.00 2008.01.14 -
ClamAV 0.91.2 2008.01.14 -
DrWeb 4.44.0.09170 2008.01.15 -
eSafe 7.0.15.0 2008.01.14 -
eTrust-Vet 31.3.5459 2008.01.15 -
Ewido 4.0 2008.01.14 -
FileAdvisor 1 2008.01.15 -
Fortinet 3.14.0.0 2008.01.15 -
F-Prot 4.4.2.54 2008.01.14 -
F-Secure 6.70.13030.0 2008.01.15 -
Ikarus T3.1.1.20 2008.01.15 -
Kaspersky 7.0.0.125 2008.01.15 -
McAfee 5206 2008.01.14 -
Microsoft 1.3109 2008.01.15 -
NOD32v2 2792 2008.01.15 -
Norman 5.80.02 2008.01.15 -
Panda 9.0.0.4 2008.01.14 -
Prevx1 V2 2008.01.15 -
Rising 20.27.11.00 2008.01.15 -
Sophos 4.24.0 2008.01.15 -
Sunbelt 2.2.907.0 2008.01.15 -
Symantec 10 2008.01.15 -
TheHacker 6.2.9.187 2008.01.13 -
VBA32 3.12.2.5 2008.01.13 -
VirusBuster 4.3.26:9 2008.01.15 -
Webwasher-Gateway 6.6.2 2008.01.15 -
Information additionnelle
File size: 21 bytes
MD5: 05366f70ab13209d326c42926be5844e
SHA1: 7c85c294738d253e128beb7a1da8e7b778ecee8f
PEiD: -



C:\WINDOWS\SYSTEM32\cd.exe

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.15.11 2008.01.15 -
AntiVir 7.6.0.46 2008.01.15 -
Authentium 4.93.8 2008.01.13 -
Avast 4.7.1098.0 2008.01.14 -
AVG 7.5.0.516 2008.01.14 -
BitDefender 7.2 2008.01.15 -
CAT-QuickHeal 9.00 2008.01.14 -
ClamAV 0.91.2 2008.01.14 -
DrWeb 4.44.0.09170 2008.01.15 -
eSafe 7.0.15.0 2008.01.14 -
eTrust-Vet 31.3.5459 2008.01.15 -
Ewido 4.0 2008.01.14 -
FileAdvisor 1 2008.01.15 -
Fortinet 3.14.0.0 2008.01.15 -
F-Prot 4.4.2.54 2008.01.14 -
F-Secure 6.70.13030.0 2008.01.15 -
Ikarus T3.1.1.20 2008.01.15 -
Kaspersky 7.0.0.125 2008.01.15 -
McAfee 5206 2008.01.14 -
Microsoft 1.3109 2008.01.15 -
NOD32v2 2792 2008.01.15 -
Norman 5.80.02 2008.01.15 -
Panda 9.0.0.4 2008.01.14 -
Prevx1 V2 2008.01.15 Generic.Malware
Rising 20.27.11.00 2008.01.15 -
Sophos 4.24.0 2008.01.15 -
Sunbelt 2.2.907.0 2008.01.15 -
Symantec 10 2008.01.15 -
TheHacker 6.2.9.187 2008.01.13 -
VBA32 3.12.2.5 2008.01.13 suspected of Backdoor.XiaoBird.94 (paranoid heuristics)
VirusBuster 4.3.26:9 2008.01.15 -
Webwasher-Gateway 6.6.2 2008.01.15 Win32.Malware.gen!88 (suspicious)
Information additionnelle
File size: 579584 bytes
MD5: 3b8cd11baa09fda01f35f67751a2f32f
SHA1: 803fec51238f7b9e80ff984bf6b5dda632fdd8ef
PEiD: -
packers: Aspack
packers: ASPack
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=28583AB600465540D80F08B0C27960001200C46B



C:\WINDOWS\TEMP\Perflib_Perfdata_870.dat

fichier inexistant
0
Réponse 14 / 17
Le sioux Messages postés 4907 Statut Contributeur sécurité 496
 
Bonsoir

Je bosse ce soir et regarde ça dès que cela me sera possible.

@ bientôt.
0
Réponse 15 / 17
DeNisCoOl Messages postés 2871 Statut Membre 224
 
salut bertrand,

Tu n'as pas envoyé ou scanné le 3ième fichier que Le Sioux avait inscrit semble t-il:
C:\WINDOWS\TEMP\Perflib_Perfdata_870.dat

Pour C:\tmuninst.ini rien et pour C:\WINDOWS\SYSTEM32\cd.exe est juste suspect en regardant sur Google il ne semble pas être la source d'une infection possible.

Et le plus important, les symptômes sont ils toujours là? pubs?

A+
0
Réponse 16 / 17
bertranddelva
 
ce fichier n'est plus existant dans ce repertoire, il a du etre supprimé lors d'un nettoyage de disque...........

pour l'instant je n'ai plus le probleme des pubs intempestive mais je trouve que mon pc tourne au ralenti.....

je remet un HJthis au cas ou :



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:34, on 2008-01-16
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\OfficeScan NT\ntrtscan.exe
C:\WINDOWS\System32\svchost.exe
C:\OfficeScan NT\tmlisten.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\TEMP\AC9700.EXE
C:\OfficeScan NT\CNTAoSMgr.exe
C:\OfficeScan NT\pccntmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\AutoCAD 2008\acad.exe
C:\DOCUME~1\delvbe\LOCALS~1\Temp\AdskCleanup.0001
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-1896993843-4070686630-3772239759-1007\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open PDF in Word - res://C:\Program Files\ScanSoft\PDF Converter\IEShellExt.dll /100
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://data.jeuxclassiques.com/npwwg.cab
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://downloadcenter.samsung.com/content/common/cab/DjVuControlLite_EN.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/178c7d33339a4d4e0f05/netzip/RdxIE601_fr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.pixdiscount.fr/clients/uploader_v2.1.0.56.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxmultijoueurs.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://3dlifeplayer.dl.3dvia.com/player/install/installer.exe
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://betway.microgaming.com/betway/FlashAX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6C50150-A0F5-41FB-AEF1-9E26FD17209F}: NameServer = 200.1.1.25
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = carlier.intra
O22 - SharedTaskScheduler: z - {A4F94C0C-54A7-4DB1-9AF3-B22E63D00404} - (no file)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\OfficeScan NT\tmlisten.exe
O23 - Service: USBMate - Unknown owner - C:\Program Files\Belkin\Belkin Power Management Software\usbmate.exe (file missing)
O24 - Desktop Component 0: (no name) - https://www.audi.fr/fr/web/fr.html
0
Réponse 17 / 17
DeNisCoOl Messages postés 2871 Statut Membre 224
 
Salut,

Connais tu cet adresses ip?
ip: 200.1.1.25
address: Caracas, Corporacion Andina de Fomento
Sinon ton fichier host a été détourner, ce qui peut expliquer le ralentissement.

Si et seulement tu ne connais pas cette adresse, suivre la procédure suivante:

Télécharge le FixWareout d'un de ces deux sites sur le bureau:
http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le.
Ton système mettra un peu plus de temps au démarrage, c'est normal.

Quand ton système aura redémarré, suivre les invites des messages.

Ensuite lance HijackThis. Clique sur Do a scan only et coche les lignes suivantes:

O17 - HKLM\System\CCS\Services\Tcpip\..\{E6C50150-A0F5-41FB-AEF1-9E26FD17209F}: NameServer = 200.1.1.25

Fermes toutes les applications et le navigateur.
Cliquer sur Fix Checked. Fermer HijackThis et cliquer sur OK pour continuer la procédure.

A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

Au final, poste le contenu du fichier C:\fixwareout\report.txt avec un nouveau rapport HiJackthis

----------
Si et seulement si il y a des difficultés de connexion après cette manip:
Démarrer---->Paramètres---->Panneau de configuration---->Connexions réseau
Faire un clic droit sur la connexion par défaut, nommée en général "Connexion au réseau local" ou "Accès à distance" si tu utilises un modem téléphonique, et choisir Propriétés.
Faire un double clic sur l'élément Protocole Internet (TCP/IP) et choisir le bouton-radio Obtenir les adresses des serveurs DNS automatiquement.
Clique deux fois sur OK, et redémarre l'ordinateur.

Ensuite pour compléter la protection
------------------------
- Comme pare feu je conseilles Sunbelt (ex Kerio), mais il y en a bien d'autre.
Dans les premiers jours, il y aura une période d’apprentissage (à chaque alerte d'un programme connu cocher la case : créer une règle pour cette communication et ne plus me demander)

Bien regarder le tutoriel ICI
Et pour la version la plus récente ICI


a+
0

Discussions similaires

Ouvrir un fichier .pub sans Publisher
baissaoui -
baissaoui -

0 réponse
Ouvrir document Publisher sans Publisher
Curtis Hayes -
Curtis Hayes -

7 réponses
lire un fichier .pub
xycoco -
Valou -

38 réponses
Lire, afficher, exécuter un fichier *.pub sans Publisher
jeannoellaurenti -
informatique_fujitsu -

1 réponse
Afficher deux fenêtres côte à côte
ptitchinoise -
pistouri -

11 réponses