Smitfraud-C.Core service

Résolu

kourou3 Messages postés 29 Statut Membre -
Utilisateur anonyme - 14 janv. 2008 à 20:44

bonjour, je suis infecté par cette *******
j'utilise firefox, et des pop-up venant de IE n'arrête pas d'apparaitre
affichant ces site (entre autres )

Citation :

http://www.cotedazurpalace.com/
http://multi-pops.com/adsDirect.ph [...] &sid=70303
https://www.pokerstars.fr/
https://www.hugedomains.com/domain_profile.cfm?d=smooki&e=com [...] siteid=mg1
http://c5.zedo.com/jsc/c5/ff2.html [...] =800;h=600

voici mon log hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:31:51, on 12/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [PSPAP] C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe min
O4 - HKLM\..\Run: [avgnt] "D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner v2.06\RivaTuner.exe" /S
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe" /minimized
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) - http://download.gigabyte.com.tw/object/Dldrv.ocx
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b56986.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe

--
End of file - 4691 bytes

logfile SmithFraudFix

SmitFraudFix v2.274

Rapport fait à 16:33:11,92, 12/01/2008
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1 legal-at-spybot.info
127.0.0.1 www.legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\guillaume

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\guillaume\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\GUILLA~1\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix.exe by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F7471F53-452E-4CB9-A517-4B5EC5A3989D}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F7471F53-452E-4CB9-A517-4B5EC5A3989D}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F7471F53-452E-4CB9-A517-4B5EC5A3989D}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Merci de votre aide préciseuse :)

Message édité par kourou3 le 12-01-2008 à 16:34:59

Afficher la suite

A voir également:

Smitfraud-C.Core service
Service spouleur - Guide
.Net runtime optimization service ✓ - Forum Windows 8 / 8.1
Ssc service utility - Forum Logiciels
Numéro service client orange - Guide
Windows 7 service pack 3 download 64 bit - Forum Windows 7

63 réponses

Réponse 41 / 63

kourou3 Messages postés 29 Statut Membre

je sais pas si sa peux aider, mais les pop-up d'IE s'affiche en fonction du site sur lequel je surfe dans firefox
exemple, je suis sur grosbill.com et voila le pop-up qui apparait :
http://url.adtrgt.com/cpv.jsp?p=112194&ip=77.196.62.184&url=http%3A%2F%2Fwww.grosbill.com%2F&selectedKeyword=ron&selectedListingId=6364610

Réponse 42 / 63

^^Marie^^ Messages postés 126523 Date d'inscription Statut Membre Dernière intervention 3 279

Tu as installé les extensions de FF ► Adblock
Dans outil -- option -- contenu, la case est-elle cochée "bloquer les pop up ??

Réponse 43 / 63

kourou3 Messages postés 29 Statut Membre

non je n'ai pas Adblock d'installer, l'anti pop-up d'origine est déjà très puissant je trouve,

Réponse 44 / 63

Utilisateur anonyme

Bon alors :
> Télécharge VirtumundoBegone sur le bureau: http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
et https://www.broadcom.com/support/security-center

>Démarre en mode sans échec : (image). Si problème : tuto ici

- Double clique ensuite sur VirtumundoBeGone.exe et puis suis les instructions.
- Execute ensuite Symantec Vundo Remove Tool
- Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau
NB : Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu.

Envoie aussi un rapport smitfraudfix (option 1)

A+

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 45 / 63

kourou3 Messages postés 29 Statut Membre

VBG:

[01/13/2008, 0:38:36] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\guillaume\Bureau\VirtumundoBeGone.exe" )
[01/13/2008, 0:38:42] - Detected System Information:
[01/13/2008, 0:38:42] - Windows Version: 5.1.2600, Service Pack 2
[01/13/2008, 0:38:42] - Current Username: guillaume (Admin)
[01/13/2008, 0:38:42] - Windows is in SAFE mode with Networking.
[01/13/2008, 0:38:42] - Searching for Browser Helper Objects:
[01/13/2008, 0:38:42] - BHO 1: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[01/13/2008, 0:38:42] - Finished Searching Browser Helper Objects
[01/13/2008, 0:38:42] - Finishing up...
[01/13/2008, 0:38:42] - Nothing found! Exiting...

SmitFraudFix :

SmitFraudFix v2.274

Rapport fait à 1:39:58,96, 13/01/2008
Executé à partir de C:\Program Files\Mozilla Firefox\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe
D:\AUTRES\ZA\ZoneAlarm\zlclient.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\guillaume

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\guillaume\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\GUILLA~1\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix.exe by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F7471F53-452E-4CB9-A517-4B5EC5A3989D}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F7471F53-452E-4CB9-A517-4B5EC5A3989D}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F7471F53-452E-4CB9-A517-4B5EC5A3989D}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Réponse 46 / 63

^^Marie^^ Messages postés 126523 Date d'inscription Statut Membre Dernière intervention 3 279

Coucou

télécharge combofix (par sUBs)ici :
Combofix est un programme qui supprime des trojans/backdoor connues et rootkits
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

2 double-clique sur combofix.exe et suis les instructions

3 à la fin, il va produire un rapport C:\ComboFix.txt

4 copie/colle ce rapport dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Poste aussi un nouveau rapport Hijackthis.

Réponse 47 / 63

kourou3 Messages postés 29 Statut Membre

ComboFix.txt :

ComboFix 08-01-13.1 - guillaume 2008-01-13 9:53:30.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1603 [GMT 1:00]
Running from: C:\Documents and Settings\guillaume\Bureau\ComboFix.exe
* Created a new restore point

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\temp\tn3
C:\WINDOWS\system32\acbeg.ini
C:\WINDOWS\system32\acbeg.ini2
C:\WINDOWS\system32\bfbbac_g.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\orutv.ini
C:\WINDOWS\system32\orutv.ini2
C:\WINDOWS\system32\rtstv.ini
C:\WINDOWS\system32\rtstv.ini2
C:\WINDOWS\system32\drivers\core.cache.dsk . . . . Echec de suppression

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-13 to 2008-01-13 ))))))))))))))))))))))))))))))))))))
.

2008-01-13 09:57 . 2008-01-13 09:57 <REP> d-------- C:\temp\tn3
2008-01-13 09:52 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-13 08:13 . 2008-01-13 08:13 <REP> d-------- C:\Documents and Settings\Eric\Application Data\Grisoft
2008-01-12 22:56 . 2008-01-12 22:56 <REP> d-------- C:\Program Files\Trend Micro
2008-01-12 22:34 . 2008-01-12 22:34 1,917 --a------ C:\WINDOWS\imsins.BAK
2008-01-12 17:20 . 2008-01-13 09:58 1,087,520 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-12 17:20 . 2008-01-13 09:56 14,816 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-01-12 17:04 . 2008-01-12 17:04 <REP> d--h----- C:\WINDOWS\msdownld.tmp
2008-01-12 17:03 . 2008-01-12 17:03 <REP> d-------- C:\WINDOWS\system32\fr-fr
2008-01-12 17:01 . 2008-01-12 17:01 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier
2008-01-12 17:01 . 2007-12-13 19:27 75,248 --a------ C:\WINDOWS\zllsputility.exe
2008-01-12 17:01 . 2007-12-13 19:27 54,672 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll
2008-01-12 17:01 . 2007-12-13 19:27 42,384 --a------ C:\WINDOWS\zllsputility_loc040c.dll
2008-01-12 17:01 . 2007-12-13 19:27 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc040c.dll
2008-01-12 17:01 . 2007-12-13 19:27 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc040c.dll
2008-01-12 17:01 . 2004-04-27 04:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2008-01-12 17:01 . 2008-01-12 17:03 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-01-12 16:59 . 2008-01-13 09:49 <REP> d-------- C:\WINDOWS\Internet Logs
2008-01-12 16:58 . 2007-10-11 00:49 6,065,664 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-01-12 16:58 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-01-12 16:58 . 2007-07-01 04:36 1,048,576 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-01-12 16:58 . 2007-10-11 00:49 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-01-12 16:58 . 2007-10-11 00:49 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-01-12 16:58 . 2007-10-11 00:49 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-01-12 16:58 . 2007-10-11 00:49 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-01-12 16:58 . 2007-10-11 00:49 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-01-12 16:58 . 2007-10-10 11:59 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-01-12 16:56 . 2006-10-27 15:09 33,792 --a--c--- C:\WINDOWS\system32\dllcache\custsat.dll
2008-01-12 16:24 . 2008-01-13 09:56 932 --------- C:\WINDOWS\system32\drivers\core.cache.dsk
2008-01-12 16:04 . 2008-01-12 16:04 <REP> d-------- C:\WINDOWS\ERUNT
2008-01-12 11:27 . 2005-09-23 07:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2008-01-12 11:25 . 2008-01-12 11:41 <REP> d-------- C:\Program Files\Google
2008-01-11 23:08 . 2008-01-13 01:40 1,912 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-11 20:25 . 2008-01-12 20:16 229 --a------ C:\WINDOWS\wininit.ini
2008-01-11 20:15 . 2008-01-11 20:15 <REP> d-------- C:\Documents and Settings\guillaume\Application Data\Grisoft
2008-01-11 20:15 . 2008-01-11 20:15 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-01-11 20:15 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-01-11 20:01 . 2008-01-11 20:01 86,144 --a------ C:\WINDOWS\system32\drivers\atinxbxxx.sys
2008-01-08 19:53 . 2008-01-08 19:53 <REP> dr------- C:\Documents and Settings\guillaume\Application Data\Brother
2008-01-05 23:34 . 2008-01-05 23:34 <REP> d-------- C:\Program Files\Intel Corporation
2008-01-04 19:01 . 2008-01-04 19:01 268 --ah----- C:\sqmdata04.sqm
2008-01-04 19:01 . 2008-01-04 19:01 244 --ah----- C:\sqmnoopt04.sqm
2008-01-04 09:48 . 2008-01-04 09:48 <REP> d-------- C:\Documents and Settings\guillaume\Application Data\InstallShield Installation Information
2008-01-04 09:44 . 2008-01-04 09:44 <REP> d-------- C:\Program Files\Unreal Tournament 3 Demo
2008-01-03 14:45 . 2008-01-03 17:20 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2008-01-03 14:39 . 2008-01-03 14:45 <REP> d-------- C:\Program Files\UT2004
2008-01-02 13:05 . 2008-01-13 09:57 <REP> d-------- C:\temp
2008-01-01 23:35 . 2008-01-01 23:38 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kontiki
2008-01-01 23:35 . 2008-01-01 23:35 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Channel4
2007-12-30 23:51 . 2007-12-30 23:51 <REP> d-------- C:\Program Files\DivX
2007-12-29 16:23 . 2007-12-30 19:16 <REP> d-------- C:\Program Files\Futuremark
2007-12-29 00:52 . 2007-12-29 00:52 <REP> d-------- C:\Program Files\Thrustmaster
2007-12-29 00:52 . 2006-04-14 12:05 162,560 --a------ C:\WINDOWS\system32\drivers\rt2500usb.sys
2007-12-28 23:43 . 2007-12-28 23:44 <REP> d-------- C:\Program Files\MediaMonkey
2007-12-28 23:35 . 2007-12-28 23:37 <REP> d-------- C:\Program Files\Motherboard Monitor 5
2007-12-28 21:14 . 2007-12-28 21:14 <REP> d-------- C:\Program Files\PowerQuest
2007-12-28 21:04 . 2007-12-28 21:04 <REP> d-------- C:\Program Files\Simpli Software
2007-12-26 20:55 . 2007-12-26 20:55 1 --a------ C:\WINDOWS\system32\SI.bin
2007-12-26 20:52 . 2008-01-06 13:13 <REP> d-------- C:\Program Files\Alcohol Soft
2007-12-26 20:43 . 2004-09-07 12:42 86,085 --a------ C:\WINDOWS\system32\ImageDrive.cpl
2007-12-26 17:40 . 2007-12-26 17:40 <REP> d-------- C:\Program Files\Lavalys
2007-12-26 15:39 . 2007-12-27 21:51 <REP> d-------- C:\Program Files\ATITool
2007-12-26 15:10 . 2006-12-28 17:44 84,992 --a------ C:\WINDOWS\system32\drivers\AtiHdAud.sys
2007-12-26 14:58 . 2007-12-26 20:36 <REP> d-------- C:\Documents and Settings\guillaume\Application Data\DAEMON Tools
2007-12-25 23:46 . 2008-01-08 19:59 <REP> d-------- C:\Documents and Settings\guillaume\Application Data\Bioshock
2007-12-25 23:04 . 1998-11-13 12:16 308,224 --a------ C:\WINDOWS\IsUn040c.exe
2007-12-25 22:58 . 2007-12-25 22:58 <REP> d-------- C:\WINDOWS\PSOFT
2007-12-25 22:58 . 2007-12-25 22:59 20 --a------ C:\WINDOWS\SIERRA.INI
2007-12-25 15:28 . 2007-12-25 15:28 107,832 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2007-12-25 15:28 . 2008-01-04 13:29 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2007-12-25 15:28 . 2007-12-25 15:28 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-12-23 22:51 . 2007-12-23 22:51 <REP> d-------- C:\Program Files\CSO-DAX Compressor
2007-12-23 01:19 . 2007-12-23 01:19 <REP> d-------- C:\Program Files\Paint.NET
2007-12-22 21:17 . 2007-12-22 21:17 15 --a------ C:\WINDOWS\system32\40569bb6
2007-12-22 16:51 . 2007-12-22 16:51 <REP> d-------- C:\Program Files\CCleaner
2007-12-21 05:27 . 2004-05-14 16:53 462,848 --a------ C:\WINDOWS\system32\ltkrn13n.dll
2007-12-21 05:27 . 2004-05-14 16:53 450,560 --a------ C:\WINDOWS\system32\ltimg13n.dll
2007-12-21 05:27 . 2004-05-14 16:53 401,408 --a------ C:\WINDOWS\system32\lfcmp13n.dll
2007-12-21 05:27 . 2004-05-14 16:53 299,008 --a------ C:\WINDOWS\system32\ltdis13n.dll
2007-12-21 05:27 . 2004-01-12 02:09 206,336 --a------ C:\WINDOWS\system32\ltefx13n.dll
2007-12-21 05:27 . 2004-05-14 16:53 163,840 --a------ C:\WINDOWS\system32\ltfil13n.dll
2007-12-21 05:27 . 2003-11-04 15:10 69,632 --a------ C:\WINDOWS\system32\lfgif13n.dll
2007-12-21 05:27 . 2004-05-14 16:53 57,344 --a------ C:\WINDOWS\system32\lfbmp13n.dll
2007-12-19 21:53 . 2007-12-19 21:53 0 ---hs---- C:\WINDOWS\SCAA7D251.tmp
2007-12-19 18:50 . 2007-12-21 08:25 1,434 ---hs---- C:\WINDOWS\system32\ltobufub.ini
2007-12-19 16:49 . 2007-12-19 18:00 954 ---hs---- C:\WINDOWS\system32\vjchujuj.ini
2007-12-18 19:50 . 2007-12-18 19:50 23 --a------ C:\WINDOWS\system32\bdaacecbf8_g.ocx
2007-12-18 18:00 . 2007-12-19 13:25 774 ---hs---- C:\WINDOWS\system32\ptbqwncq.ini
2007-12-18 06:55 . 2007-12-18 16:39 534 ---hs---- C:\WINDOWS\system32\dnrvsrfm.ini
2007-12-16 13:09 . 2007-12-16 13:09 <REP> d-------- C:\Program Files\Microsoft SQL Server Compact Edition
2007-12-13 20:28 . 2008-01-11 20:55 <REP> d-------- C:\Program Files\Look@LAN
2007-12-13 20:28 . 2007-12-13 20:28 720,896 --a------ C:\WINDOWS\iun6002.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-13 07:13 --------- d-----w C:\Documents and Settings\guillaume\Application Data\uTorrent
2008-01-12 20:10 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-01-12 15:21 --------- d-----w C:\Program Files\SpeedFan
2008-01-05 22:34 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-04 08:42 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-01-04 08:41 --------- d-----w C:\Program Files\AGEIA Technologies
2007-12-31 18:25 --------- d-----w C:\Documents and Settings\guillaume\Application Data\dvdcss
2007-12-31 14:18 --------- d-----w C:\Program Files\ATI Technologies
2007-12-28 21:48 --------- d-----w C:\Program Files\Fichiers communs\Real
2007-12-28 11:05 --------- d-----w C:\Program Files\Fichiers communs\ATI Technologies
2007-12-26 16:48 --------- d-----w C:\Program Files\RivaTuner v2.06
2007-12-26 13:17 715,248 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2007-12-24 23:53 --------- d-----w C:\Documents and Settings\guillaume\Application Data\ma-config.com
2007-12-22 21:42 --------- d-----w C:\Program Files\Fichiers communs\DefensedInformation
2007-12-22 19:59 --------- d-----w C:\Documents and Settings\All Users\Application Data\Avira
2007-12-18 21:26 --------- d-----w C:\Program Files\Messenger Plus! Live
2007-12-18 18:36 --------- d-----w C:\Program Files\Windows Live
2007-12-16 12:07 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2007-12-15 21:16 --------- d-----w C:\Program Files\Fraps
2007-12-13 21:13 --------- d-----w C:\Program Files\Fichiers communs\logishrd
2007-12-08 20:27 --------- d-----w C:\Documents and Settings\guillaume\Application Data\Uniblue
2007-12-08 20:18 --------- d-----w C:\Program Files\Windows Media Connect 2
2007-12-07 22:33 --------- d-----w C:\Program Files\Intel
2007-12-07 22:30 --------- d-----w C:\Program Files\ma-config.com
2007-12-05 13:18 --------- d-----w C:\Documents and Settings\Blandine\Application Data\ATI
2007-12-05 05:28 --------- d-----w C:\Documents and Settings\Eric\Application Data\ATI
2007-12-05 05:26 2,782,208 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys
2007-12-05 02:16 49,152 ----a-w C:\WINDOWS\system32\drivers\ati2erec.dll
2007-12-02 06:13 --------- d-----w C:\Documents and Settings\Eric\Application Data\vlc
2007-11-27 22:11 --------- d--h--r C:\Documents and Settings\guillaume\Application Data\SecuROM
2007-11-27 22:09 22,328 ----a-w C:\Documents and Settings\guillaume\Application Data\PnkBstrK.sys
2007-11-27 22:06 --------- d-----w C:\Program Files\GIGABYTE
2007-11-25 19:27 17,962 ----a-w C:\WINDOWS\system32\drivers\GVTDrv.sys
2007-11-16 21:01 --------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2
2007-11-16 14:32 --------- d-----w C:\Program Files\Fichiers communs\Logitech
2007-11-16 14:31 --------- d-----w C:\Program Files\Logitech
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-09 23:15 7,168 ----a-w C:\Documents and Settings\guillaume\queue.dat
2007-11-09 16:07 15,600 ----a-w C:\WINDOWS\gdrv.sys
2007-10-30 10:01 65,175 ----a-w C:\WINDOWS\BricoPackUninst.cmd
2007-10-30 10:01 6,120 ----a-w C:\WINDOWS\BricoPackFoldersDelete.cmd
2007-10-28 02:50 315,392 ----a-w C:\WINDOWS\HideWin.exe
2007-10-25 10:57 16,855,552 ----a-w C:\WINDOWS\RTHDCPL.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 17:45 1052672]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PSPAP"="C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe" [2006-04-14 12:31 2994176]
"avgnt"="D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-22 21:00 249896]
"RivaTunerStartupDaemon"="C:\Program Files\RivaTuner v2.06\RivaTuner.exe" [2007-10-30 19:05 2650112]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe" [2008-01-11 20:27 6731312]
"ZoneAlarm Client"="D:\AUTRES\ZA\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\40568938]
C:\WINDOWS\system32\btpvyjeg.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2005-05-03 18:43 69632 C:\WINDOWS\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
--a------ 2007-12-22 08:09 221056 C:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Comrade.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
C:\Program Files\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DefensedInformation]
C:\Program Files\DefensedInformation\GDC.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]
--a------ 2005-06-08 14:44 196608 C:\Program Files\Logitech\Video\ManifestEngine.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
--a------ 2005-06-08 15:24 458752 C:\Program Files\Logitech\Video\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
--a------ 2005-06-08 15:14 217088 C:\Program Files\Logitech\Video\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]
--a------ 2005-07-19 17:32 221184 C:\WINDOWS\system32\LVCOMSX.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
---hs---- 2004-10-13 17:24 1694208 C:\Program Files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 11:34 5724184 C:\Program Files\Windows Live\Messenger\MsnMsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OODefragTray]
--a------ 2007-05-11 02:08 2512392 C:\WINDOWS\system32\oodtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RivaTunerStartupDaemon]
--a------ 2007-10-30 19:05 2650112 C:\Program Files\RivaTuner v2.06\RivaTuner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2007-10-25 11:57 16855552 C:\WINDOWS\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
--a------ 2007-08-31 16:46 1460560 C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2007-12-27 00:46 1266936 D:\PC Games\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 01:11 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster2]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue SpeedUpMyPC]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VGAUtil]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"cisvc"=3 (0x3)
"Schedule"=2 (0x2)
"helpsvc"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"WLSetupSvc"=3 (0x3)
"usnjsvc"=3 (0x3)
"ose"=3 (0x3)
"Brother XP spl Service"=2 (0x2)
"ATI Smart"=2 (0x2)
"Ati HotKey Poller"=2 (0x2)
"StarWindServiceAE"=2 (0x2)
"PnkBstrA"=2 (0x2)
"O&O Defrag"=2 (0x2)
"sdCoreService"=3 (0x3)
"sdAuxService"=3 (0x3)

R1 atinxbxxx;atinxbxxx;C:\WINDOWS\system32\drivers\atinxbxxx.sys [2008-01-11 20:01]
R3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys [2004-10-15 12:50]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;C:\Program Files\Lavalys\EVEREST Corporate + Ultimate Edition\kerneld.wnt [2007-12-14 02:09]
S3 gdrv;gdrv;C:\WINDOWS\gdrv.sys [2007-11-09 17:07]
S3 GVCplDrv;GVCplDrv;C:\WINDOWS\system32\drivers\GVCplDrv.sys [2006-08-16 07:25]
S3 MarkFun_NT;MarkFun_NT;C:\Program Files\GIGABYTE\@BIOS\markfun.w32 [2007-08-21 11:49]
S3 TVICPORT;TVICPORT;C:\WINDOWS\system32\DRIVERS\TVICPORT.SYS [2005-03-30 12:12]
S3 WinRing0;WinRing0;C:\Documents and Settings\guillaume\Mes documents\OC\SetFSB_v20b18g_[JMax-Hardware.com]\WinRing0.sys []
S3 WinRing0_1_0_1;WinRing0_1_0_1;C:\Documents and Settings\guillaume\Mes documents\OC\WinRing0.sys [2007-12-15 17:38]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{23691ab2-b3b7-11dc-b8ad-0008d320409c}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{560b174e-b3d2-11dc-b8b5-001a4d9ee2dd}]
\Shell\AutoRun\command - G:\AutoRun.exe

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-12-18 20:16:00 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC Nag.job"
- C:\Program Files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe
"2007-12-08 20:08:22 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC.job"
- C:\Program Files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-13 09:58:22
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
"ImagePath"="\??\C:\Documents and Settings\guillaume\Mes documents\OC\SetFSB_v20b18g_
[JMax-Hardware.com]\WinRing0.sys"

.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]
-> C:\Program Files\MediaMonkey\DeskPlayer.dll
.
Completion time: 2008-01-13 10:01:01 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-13 09:00:58
.
2008-01-12 23:34:58 --- E O F ---

Réponse 48 / 63

kourou3 Messages postés 29 Statut Membre

Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:29:28, on 13/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe
D:\AUTRES\ZA\ZoneAlarm\zlclient.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [PSPAP] C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe min
O4 - HKLM\..\Run: [avgnt] "D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner v2.06\RivaTuner.exe" /S
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe" /minimized
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\AUTRES\ZA\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-1390067357-1229272821-839522115-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Eric')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Réponse 49 / 63

Utilisateur anonyme

Salut Kourou,

Ok, bon le problème vient de spybot (désinstalle-le, on le réinstallera après).
C'est ce que je me disais au poste 28, désolé je préférais être sûr.

Ensuite,
> Lance Hijackthis :
> Puis sélectionne < do a system scan only >
> Coche les cases des lignes suivantes :

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll

Ensuite,
> Ferme toutes les autres fenêtres et applications (même internet)
> Clic sur "fixe checked"

> Démarre en mode sans échec : (image). Si problème : tuto ici

> Lance AVG,
Poste le rapport généré par AVG dans ton prochain poste stp.

> Lance Ccleaner,,

> Relance ton PC en mode normal

> Relance Hijackthis :
Puis sélectionne < do a system scan and save a logfile >,

Et envoie nous, par collier/coller, ton log Hijackthis stp,

Réponse 50 / 63

kourou3

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 13:32:08 13/01/2008

+ Résultat de l'analyse:

:mozilla.166:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.2o7 : Aucune action entreprise.
:mozilla.167:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.2o7 : Aucune action entreprise.
:mozilla.210:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.2o7 : Aucune action entreprise.
:mozilla.74:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Adbrite : Aucune action entreprise.
:mozilla.76:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Adbrite : Aucune action entreprise.
:mozilla.78:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Adbrite : Aucune action entreprise.
:mozilla.79:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Adbrite : Aucune action entreprise.
:mozilla.80:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Adbrite : Aucune action entreprise.
:mozilla.81:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Adbrite : Aucune action entreprise.
:mozilla.117:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Adtech : Aucune action entreprise.
:mozilla.176:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Atdmt : Aucune action entreprise.
C:\Documents and Settings\guillaume\Cookies\guillaume@atdmt[2].txt -> TrackingCookie.Atdmt : Aucune action entreprise.
C:\Documents and Settings\guillaume\Cookies\guillaume@atdmt[3].txt -> TrackingCookie.Atdmt : Aucune action entreprise.
C:\Documents and Settings\guillaume\Cookies\guillaume@bluestreak[1].txt -> TrackingCookie.Bluestreak : Aucune action entreprise.
:mozilla.137:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Euroclick : Aucune action entreprise.
:mozilla.138:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Euroclick : Aucune action entreprise.
:mozilla.139:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Euroclick : Aucune action entreprise.
:mozilla.121:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Overture : Aucune action entreprise.
:mozilla.15:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Revsci : Aucune action entreprise.
:mozilla.18:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Revsci : Aucune action entreprise.
:mozilla.19:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Revsci : Aucune action entreprise.
:mozilla.20:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Revsci : Aucune action entreprise.
:mozilla.21:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Revsci : Aucune action entreprise.
:mozilla.22:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Revsci : Aucune action entreprise.
:mozilla.122:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.123:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.124:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.125:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.126:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.127:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.128:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.52:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
:mozilla.53:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
:mozilla.55:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
:mozilla.56:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
:mozilla.23:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Tacoda : Aucune action entreprise.
:mozilla.24:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Tacoda : Aucune action entreprise.
:mozilla.34:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Tacoda : Aucune action entreprise.
:mozilla.35:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Tacoda : Aucune action entreprise.
:mozilla.36:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Tacoda : Aucune action entreprise.
:mozilla.37:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Tacoda : Aucune action entreprise.
:mozilla.54:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.
:mozilla.66:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.
:mozilla.67:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.
:mozilla.68:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.
:mozilla.69:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.
:mozilla.70:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.
:mozilla.71:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.
:mozilla.73:C:\Documents and Settings\guillaume\Application Data\Mozilla\Firefox\Profiles\ptih5m6k.default\cookies.txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.

Fin du rapport

Réponse 51 / 63

kourou3

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:59:05, on 13/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe
D:\AUTRES\ZA\ZoneAlarm\zlclient.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [PSPAP] C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe min
O4 - HKLM\..\Run: [avgnt] "D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner v2.06\RivaTuner.exe" /S
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe" /minimized
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\AUTRES\ZA\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Réponse 52 / 63

Utilisateur anonyme

Salut Kourou,

tu n'as pas supprimé ta collection de cookies AVG (Aucune action entreprise), relance le prog AVG (mode sans échec) et nettoye les crasses.....

C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe , peux tu m'en dire plus (depuis combien de temps tu l'as...)

Tu avais un jeu de poker à pup : EVEREST Kernel Driver.... essaye de supprimer toutes traces de sa présence sur ton PC...

Envoye : Navilog (option 1 seulement !) suivant les résultats (et je le pense), on lancera un Vundofix....

Poste le rapport Navilog1 dans ta réponse...

Merci.

Réponse 53 / 63

kourou3

ok cookie supprimé
C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe => ça c'est ma clé usb Wi-Fi, pour psp
Everest : tu confonds avec ceci je pense :
http://www.clubic.com/telecharger-fiche12281-everest-ultimate.html

Rapport Navilog1 :

Search Navipromo version 3.4.0 commencé le 13/01/2008 à 14:43:35,60

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 09.01.2008 à 20h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

*** Recherche dossiers dans "C:\Documents and Settings\guillaume\application data" ***

*** Recherche dossiers dans "C:\Documents and Settings\guillaume\MENUDM~1\PROGRA~1" ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\guillaume\local settings\application data" *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :

* Dans "C:\Documents and Settings\guillaume\local settings\application data" :

3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :

*** Analyse terminée le 13/01/2008 à 14:49:56,01 ***

Réponse 54 / 63

Utilisateur anonyme

Ok,
bon depuis le début tout laisse à penser à une inféction Vundo planqué....

Peux tu renvoyer un fix Vundofix stp avec son rapport sur le forum ?

Merci

Dl

Réponse 55 / 63

kourou3

VundoFix V6.5.4

Checking Java version...

Scan started at 18:37:52 13/01/2008

Listing files found while scanning....

No infected files were found.

Réponse 56 / 63

kourou3

VundoFix V6.5.10

Checking Java version...

Scan started at 18:44:43 13/01/2008

Listing files found while scanning....

No infected files were found.

Réponse 57 / 63

Utilisateur anonyme

Ok, me revoilà...

Peux-tu reposter un HiJack stp. Mieux repartir sur un rapport dès plus rescent...

Quels sont les problèmes que tu rencontre aussi ? Toujours des pub ?
Merci,

A+

Réponse 58 / 63

kourou3 Messages postés 29 Statut Membre

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:21:40, on 13/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe
D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe
D:\AUTRES\ZA\ZoneAlarm\zlclient.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [PSPAP] C:\Program Files\Thrustmaster\FunAccess\PSPAP.exe min
O4 - HKLM\..\Run: [avgnt] "D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner v2.06\RivaTuner.exe" /S
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe" /minimized
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\AUTRES\ZA\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\AUTRES\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Réponse 59 / 63

kourou3 Messages postés 29 Statut Membre

bon je crois que je vais formater, je sauvegarde mes trucs important sur D et c'est partie ...

Réponse 60 / 63

Utilisateur anonyme

Non, attends
ça arrive, ...

Discussions similaires

Message ne s'envoie pas données mobiles Redmi

QU'est ce que le SERVICE BONJOUR

Facture payer mais tjrs pas de service

Dashline upgrade service

Customer service epoch, c'est quoi ?

Smitfraud-C.Core service

63 réponses

Votre réponse

Discussions similaires

Newsletters