Comment me défaire de win32.Agent.pz

Résolu
nfren -  
g!rly Messages postés 18462 Statut Contributeur -
Bonjour,
Depuis plusieurs jours je me bat contre différents problèmes (win32.Agent.pz et .qt, win32.Alphabet.ap, win32BHO.je, Zlob.HomepageMonitor,...) qui infectent mon micro. Spybot les décèle mais ne peut pas les enlever. Je fais tourner aussi ad aware qui me repère des problèmes mais ceux ci réapparaissent sans arret! Quelqu'un pourrait-il me dire ce que je peux faire?
Merci par avance
Configuration: Windows XP
Internet Explorer 7.0

54 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Plusieurs symptômes indiquent une infection de Windows XP par des malwares tels que win32.Agent.pz et win32.Alphabet.ap, détectés par Spybot et Ad-Aware mais réapparaissant malgré les nettoyages. Des conseils privilégient l’utilisation de ComboFix et l’envoi des rapports générés, complétés par HijackThis, afin de nettoyer les fichiers, pilotes et entrées système infectés et de reporter les résultats. En cas de persistance, d’autres intervenants proposent aussi des scans antivirus renforcés (Norton ou antivir), ou la réparation du système via un CD de réinstallation Windows et démarrage en mode sans échec. Certaines interventions évoquent aussi le nettoyage de fichiers et clés suspects et la publication des rapports de diagnostic, illustrant l’importance d’un suivi rigoureux et d’un échange de logs sans conclure sur l’état final.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. g!rly Messages postés 18462 Statut Contributeur 407
     
    salut

    fais ceci :

    Télécharge combofix.exe (par sUBs) sur ton Bureau.

    -> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    -> Double clique combofix.exe.
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    et

    Télécharge HijackThis ici :

    -> http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

    Tutoriel d´utilisation (video) :

    -> http://pageperso.aol.fr/balltrap34/demohijack.htm

    Post le rapport généré ici stp...

    note : il est important que tu commence par combofix et que tu post les rapports par la suite.

    @+
    0
  2. nfren
     
    rapport Combofix:

    ComboFix 08-01-23.1C - GIGI et PHIL 2008-01-26 12:26:45.1 - NTFSx86 NETWORK
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.34.1036.18.319 [GMT 1:00]
    Endroit: C:\Documents and Settings\GIGI et PHIL\Bureau\ComboFix.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Documents and Settings\All Users\Application Data.\dubktqti.dll
    C:\Documents and Settings\All Users\Application Data.\vgjonohk.dll
    C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\CnsMin.zip
    C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\CnsMin1.zip
    C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\CnsMin2.zip
    C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\CnsMin3.zip
    C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\CnsMin4.zip
    C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\CnsMin5.zip
    C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\CnsMin6.zip
    C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\CnsMin7.zip
    C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\CnsMin8.zip
    C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\CnsMin9.zip
    C:\Documents and Settings\GIGI et PHIL\Application Data\inst.exe
    C:\Documents and Settings\GIGI et PHIL\Application Data\install.dat
    C:\Program Files\3721
    C:\Program Files\3721\assist\asbar.dll
    C:\Program Files\3721\helper.dll
    C:\Program Files\Accoona
    C:\Program Files\Accoona\ASearchAssist.dll
    C:\Program Files\akl
    C:\Program Files\akl\akl.dll
    C:\Program Files\akl\akl.exe
    C:\Program Files\akl\curlog.htm
    C:\Program Files\akl\keylog.txt
    C:\Program Files\akl\readme.txt
    C:\Program Files\akl\uninstall.exe
    C:\Program Files\akl\unsetup.dat
    C:\Program Files\akl\unsetup.exe
    C:\Program Files\amsys
    C:\Program Files\amsys\awmsg.dat
    C:\Program Files\amsys\guid.dat
    C:\Program Files\amsys\ijl15.dll
    C:\Program Files\amsys\mfc42.dll
    C:\Program Files\amsys\msvcrt.dll
    C:\Program Files\amsys\unins000.dat
    C:\Program Files\amsys\unis000.exe
    C:\Program Files\amsys\winam.dat
    C:\Program Files\e-zshopper
    C:\Program Files\e-zshopper\BarLcher.dll
    C:\Program Files\Helper
    C:\Program Files\Helper\1201124510.dll
    C:\Program Files\Helper\1201212713.dll
    C:\Program Files\p2pnetworks
    C:\Program Files\p2pnetworks\amp2pl.exe
    C:\Program Files\Temporary
    C:\Program Files\Words
    C:\Program Files\Words\list.txt
    C:\WINDOWS\764.exe
    C:\WINDOWS\7search.dll
    C:\WINDOWS\absolute key logger.lnk
    C:\WINDOWS\aconti.exe
    C:\WINDOWS\aconti.ini
    C:\WINDOWS\aconti.log
    C:\WINDOWS\aconti.sdb
    C:\WINDOWS\acontidialer.txt
    C:\WINDOWS\adbar.dll
    C:\WINDOWS\b122.exe
    C:\WINDOWS\b143.exe
    C:\WINDOWS\cbinst$.exe
    C:\WINDOWS\ctkburod.dll
    C:\WINDOWS\daxtime.dll
    C:\WINDOWS\default.htm
    C:\WINDOWS\dp0.dll
    C:\WINDOWS\eventlowg.dll
    C:\WINDOWS\fhfmm-Uninstaller.exe
    C:\WINDOWS\fhfmm.exe
    C:\WINDOWS\flt.dll
    C:\WINDOWS\hcwprn.exe
    C:\WINDOWS\hotporn.exe
    C:\WINDOWS\ie_32.exe
    C:\WINDOWS\iexplorr23.dll
    C:\WINDOWS\jd2002.dll
    C:\WINDOWS\kkcomp$.exe
    C:\WINDOWS\kkcomp.dll
    C:\WINDOWS\kkcomp.exe
    C:\WINDOWS\kvnab$.exe
    C:\WINDOWS\kvnab.dll
    C:\WINDOWS\kvnab.exe
    C:\WINDOWS\liqad$.exe
    C:\WINDOWS\liqad.dll
    C:\WINDOWS\liqad.exe
    C:\WINDOWS\liqui-Uninstaller.exe
    C:\WINDOWS\liqui.dll
    C:\WINDOWS\liqui.exe
    C:\WINDOWS\mrofinu1148.exe
    C:\WINDOWS\ngd.dll
    C:\WINDOWS\pbar.dll
    C:\WINDOWS\pbsysie.dll
    C:\WINDOWS\PerfInfo
    C:\WINDOWS\PerfInfo\g1wShlWw1Zwp.exe
    C:\WINDOWS\settn.dll
    C:\WINDOWS\spredirect.dll
    C:\WINDOWS\system32\1_exception.nls
    C:\WINDOWS\system32\ace16win.dll
    C:\WINDOWS\system32\acespy
    C:\WINDOWS\system32\acespy\__acelog.ndx
    C:\WINDOWS\system32\acespy\systune.exe
    C:\WINDOWS\system32\dllgh8jkd1q1.exe
    C:\WINDOWS\system32\dllgh8jkd1q2.exe
    C:\WINDOWS\system32\dllgh8jkd1q5.exe
    C:\WINDOWS\system32\dllgh8jkd1q6.exe
    C:\WINDOWS\system32\dllgh8jkd1q7.exe
    C:\WINDOWS\system32\dllgh8jkd1q8.exe
    C:\WINDOWS\system32\drivers\LQLY72.sys
    C:\WINDOWS\system32\drivers\symavc32.sys
    C:\WINDOWS\system32\ESHOPEE.exe
    C:\WINDOWS\system32\LB67A.tmp.exe
    C:\WINDOWS\system32\msole32.exe
    C:\WINDOWS\system32\vhosts.exe
    C:\WINDOWS\system32\vxddsk.exe
    C:\WINDOWS\system32\wml.exe
    C:\WINDOWS\vxddsk.exe
    C:\WINDOWS\W0034_jpg.zip
    C:\WINDOWS\wbeCheck.exe
    C:\WINDOWS\wbeInst$.exe
    C:\WINDOWS\wml.exe
    C:\WINDOWS\xadbrk.dll
    C:\WINDOWS\xadbrk.exe
    C:\WINDOWS\xadbrk_.exe
    C:\WINDOWS\xxxvideo.exe

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    .
    -------\LEGACY_LQLY72
    -------\LEGACY_NETDOWN
    -------\NETDown

    ((((((((((((((((((((((((((((( Fichiers créés 2007-12-26 to 2008-01-26 ))))))))))))))))))))))))))))))))))))
    .

    2008-01-26 12:33 . 2008-01-26 12:36 <REP> d-------- C:\WINDOWS\system32\acespy
    2008-01-26 12:33 . 2008-01-26 12:36 <REP> d-------- C:\Program Files\p2pnetworks
    2008-01-26 12:33 . 2008-01-26 12:36 <REP> d-------- C:\Program Files\akl
    2008-01-26 12:33 . 2008-01-26 12:36 <REP> d-------- C:\Program Files\Accoona
    2008-01-26 12:33 . 2008-01-26 12:36 <REP> d-------- C:\Program Files\3721
    2008-01-26 12:25 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
    2008-01-25 22:20 . 2008-01-25 22:20 <REP> d-------- C:\Program Files\RegFreeze
    2008-01-25 21:14 . 2008-01-25 21:13 13,312 --a------ C:\WINDOWS\system32\mssrv32.exe
    2008-01-24 23:10 . 2008-01-24 23:10 54,764 --a------ C:\WINDOWS\system32\drivers\srtwe.sys
    2008-01-24 23:10 . 2008-01-24 23:10 13,824 --a------ C:\WINDOWS\system32\m1ax1d12132116143v.exe
    2008-01-24 19:42 . 2008-01-24 19:42 129,792 --a------ C:\WINDOWS\system32\burito57d3-6132.sys
    2008-01-24 19:42 . 2008-01-24 19:42 40,845 --a------ C:\WINDOWS\system32\burito.ini
    2008-01-24 19:36 . 2008-01-24 19:35 17,270 --a------ C:\WINDOWS\system32\n2ewma1xxsv234.exe
    2008-01-23 22:44 . 2008-01-23 22:44 <REP> d-------- C:\Program Files\Dot1XCfg
    2008-01-23 22:42 . 2008-01-23 22:42 29 --a------ C:\WINDOWS\system32\fygyihth.tmp
    2008-01-23 22:41 . 2008-01-24 23:11 36,864 --a------ C:\WINDOWS\mrofinu1148.exe.tmp
    2008-01-23 22:40 . 2008-01-23 22:40 54,764 --a------ C:\WINDOWS\system32\jecsst.sys
    2008-01-23 22:40 . 2004-08-05 14:00 25,088 --a------ C:\WINDOWS\system32\userini.exe
    2008-01-23 22:40 . 2008-01-23 22:40 11,063 --a--c--- C:\bhij.exe
    2008-01-23 22:40 . 2008-01-24 23:10 3,584 --a--c--- C:\tuwwp.exe
    2008-01-23 18:14 . 2008-01-23 18:14 54,764 --a------ C:\WINDOWS\system32\nested.sys
    2008-01-23 13:06 . 2008-01-23 13:06 54,764 --a------ C:\WINDOWS\system32\fvelwow.sys
    2008-01-23 13:06 . 2008-01-23 13:06 29,184 --a--c--- C:\hkdjqaxv.exe
    2008-01-23 07:18 . 2008-01-23 07:18 54,764 --a------ C:\WINDOWS\system32\ztx86.sys
    2008-01-22 07:15 . 2008-01-22 07:15 <REP> d-------- C:\WINDOWS\leunemdf
    2008-01-22 07:15 . 2008-01-22 07:15 192,000 --a------ C:\WINDOWS\edqtkjun.dll
    2008-01-22 07:14 . 2008-01-22 07:14 89,607 --a------ C:\WINDOWS\wnclmpkx.exe
    2008-01-22 07:14 . 2008-01-22 07:14 89,607 --a------ C:\WINDOWS\system32\rxjddnvj.exe
    2008-01-22 07:14 . 2008-01-24 23:10 58,368 --a--c--- C:\upaq.exe
    2008-01-22 07:14 . 2008-01-22 07:14 54,764 --a------ C:\WINDOWS\system32\drivers\astq.tga
    2008-01-22 07:14 . 2008-01-22 07:14 46,592 --a------ C:\WINDOWS\vqlizudo.exe
    2008-01-22 07:14 . 2008-01-24 23:10 38,912 --a--c--- C:\cvbkwtb.exe
    2008-01-22 07:14 . 2008-01-24 23:10 2 --a--c--- C:\143394757
    2008-01-20 21:36 . 2008-01-20 21:36 31,232 -r-hs---- C:\WINDOWS\htssv32.exe
    2008-01-19 19:34 . 1996-08-20 20:37 15,840 --a------ C:\WINDOWS\system32\Machnm1.exe
    2008-01-19 19:34 . 2005-09-25 16:37 5,632 --a------ C:\WINDOWS\system32\Machnm64.sys
    2008-01-19 19:34 . 2008-01-19 19:34 3,120 --a------ C:\WINDOWS\system32\118290.54
    2008-01-19 19:34 . 2008-01-19 19:34 3,120 --a------ C:\WINDOWS\118294.78
    2008-01-19 19:34 . 2003-08-13 00:27 2,304 --a------ C:\WINDOWS\system32\Machnm32.sys
    2008-01-17 19:45 . 2008-01-17 19:45 565,248 -r-hs---- C:\WINDOWS\mail.exe
    2008-01-17 18:33 . 2008-01-17 18:33 42,941 --------- C:\WINDOWS\servicestub.exe
    2008-01-10 19:29 . 2008-01-10 19:29 <REP> d-------- C:\Program Files\iView Catalog Reader3

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-01-26 11:33 9,984 ----a-w C:\WINDOWS\vxddsk.exe
    2008-01-26 11:33 31,744 ----a-w C:\WINDOWS\pbar.dll
    2008-01-26 11:33 27,392 ----a-w C:\WINDOWS\wml.exe
    2008-01-26 11:33 27,136 ----a-w C:\WINDOWS\system32\ace16win.dll
    2008-01-26 11:33 23,552 ----a-w C:\WINDOWS\dp0.dll
    2008-01-26 11:33 20,992 ----a-w C:\WINDOWS\xxxvideo.exe
    2008-01-26 11:33 19,712 ----a-w C:\WINDOWS\aconti.exe
    2008-01-26 11:33 17,408 ----a-w C:\WINDOWS\7search.dll
    2008-01-26 11:33 15,616 ----a-w C:\WINDOWS\ngd.dll
    2008-01-26 11:33 15,360 ----a-w C:\WINDOWS\ie_32.exe
    2008-01-26 11:33 15,104 ----a-w C:\WINDOWS\hotporn.exe
    2008-01-26 11:33 12,544 ----a-w C:\WINDOWS\flt.dll
    2008-01-26 11:31 31,488 ----a-w C:\WINDOWS\764.exe
    2008-01-25 06:20 98,304 ----a-w C:\WINDOWS\DUMP975e.tmp
    2008-01-24 22:10 46,080 ----a-w C:\WINDOWS\system32\ftp.exe
    2008-01-24 22:10 17,920 ----a-w C:\WINDOWS\system32\tftp.exe
    2008-01-24 21:27 --------- d-----w C:\Program Files\Symantec AntiVirus
    2008-01-23 21:40 7,168 --sha-w C:\WINDOWS\system32\userinit.exe
    2008-01-20 13:18 --------- d-----w C:\Program Files\MP3 Player Utilities 3.57
    2008-01-19 19:24 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-01-18 08:26 --------- d-----w C:\Program Files\eMule
    2007-12-02 16:20 --------- d-----w C:\Program Files\Java
    2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\system32\lsasrv.dll
    2007-11-07 09:28 728,576 ------w C:\WINDOWS\system32\dllcache\lsasrv.dll
    2007-11-02 16:31 701,440 ---h--w C:\WINDOWS\system32\wodfamoh.dll
    2007-10-30 23:23 3,590,656 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
    2007-10-30 17:20 360,064 ------w C:\WINDOWS\system32\dllcache\tcpip.sys
    2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
    2007-10-29 22:43 1,293,824 ------w C:\WINDOWS\system32\dllcache\quartz.dll
    2006-04-25 17:00 1,694,551 -c--a-w C:\Program Files\aaw6181.exe
    2006-04-23 10:55 1,760,378 -c--a-w C:\Program Files\aaw6.exe
    2004-08-05 13:00 73,728 -csha-w C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    "SpybotDeletingB1935"="command /c del C:\WINDOWS\pbsysie.dll_tobedeleted" [ ]
    "SpybotDeletingD5484"="cmd /c del C:\WINDOWS\pbsysie.dll_tobedeleted" [ ]
    "SpybotDeletingB9368"="command /c del C:\WINDOWS\kvnab.dll_tobedeleted" [ ]
    "SpybotDeletingD4339"="cmd /c del C:\WINDOWS\kvnab.dll_tobedeleted" [ ]
    "SpybotDeletingB757"="command /c del C:\WINDOWS\iexplorr23.dll_tobedeleted" [ ]
    "SpybotDeletingD7818"="cmd /c del C:\WINDOWS\iexplorr23.dll_tobedeleted" [ ]
    "SpybotDeletingB6390"="command /c del C:\WINDOWS\system32\ace16win.dll_tobedeleted" [ ]
    "SpybotDeletingD100"="cmd /c del C:\WINDOWS\system32\ace16win.dll_tobedeleted" [ ]
    "SpybotDeletingB5869"="command /c del C:\WINDOWS\system32\vxddsk.exe_tobedeleted" [ ]
    "SpybotDeletingD4343"="cmd /c del C:\WINDOWS\system32\vxddsk.exe_tobedeleted" [ ]
    "SpybotDeletingB8841"="command /c del C:\Windows\System32\msole32.exe_tobedeleted" [ ]
    "SpybotDeletingD5410"="cmd /c del C:\Windows\System32\msole32.exe_tobedeleted" [ ]
    "SpybotDeletingB3074"="command /c del C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ]
    "SpybotDeletingD5974"="cmd /c del C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 15:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
    "SoundMan"="SOUNDMAN.EXE" []
    "ATIPTA"="C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-12 21:10 339968]
    "ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 10:31 24576]
    "ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2004-08-20 15:09 66680]
    "vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2004-11-24 10:27 161496]
    "PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-11-10 15:06 406016]
    "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-02-03 07:35 180269]
    "servicestub.exe"="C:\WINDOWS\servicestub.exe" [2008-01-17 18:33 42941]
    "htssv32.exe"="C:\WINDOWS\htssv32.exe" [2008-01-20 21:36 31232]
    "drmsrv32"="C:\cvbkwtb.exe" [2008-01-24 23:10 38912]
    "SystemSv121"="C:\WINDOWS\system32\n2ewma1xxsv234.exe" [2008-01-24 19:35 17270]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    "SpybotDeletingA5430"="command /c del C:\WINDOWS\7search.dll_tobedeleted" [ ]
    "SpybotDeletingC8717"="cmd /c del C:\WINDOWS\7search.dll_tobedeleted" [ ]
    "SpybotDeletingA7458"="command /c del C:\WINDOWS\settn.dll_tobedeleted" [ ]
    "SpybotDeletingC2798"="cmd /c del C:\WINDOWS\settn.dll_tobedeleted" [ ]
    "SpybotDeletingA6188"="command /c del C:\WINDOWS\iexplorr23.dll_tobedeleted" [ ]
    "SpybotDeletingC4095"="cmd /c del C:\WINDOWS\iexplorr23.dll_tobedeleted" [ ]
    "SpybotDeletingA9506"="command /c del C:\WINDOWS\system32\ace16win.dll_tobedeleted" [ ]
    "SpybotDeletingC4151"="cmd /c del C:\WINDOWS\system32\ace16win.dll_tobedeleted" [ ]
    "SpybotDeletingA3232"="command /c del C:\WINDOWS\system32\wml.exe_tobedeleted" [ ]
    "SpybotDeletingC8746"="cmd /c del C:\WINDOWS\system32\wml.exe_tobedeleted" [ ]
    "SpybotDeletingA8048"="command /c del C:\WINDOWS\system32\vxddsk.exe_tobedeleted" [ ]
    "SpybotDeletingC7184"="cmd /c del C:\WINDOWS\system32\vxddsk.exe_tobedeleted" [ ]
    "SpybotDeletingA8753"="command /c del C:\Windows\System32\msole32.exe_tobedeleted" [ ]
    "SpybotDeletingC4444"="cmd /c del C:\Windows\System32\msole32.exe_tobedeleted" [ ]
    "SpybotDeletingA2162"="command /c del C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ]
    "SpybotDeletingC4056"="cmd /c del C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ]
    "SpybotDeletingA8075"="command /c del C:\WINDOWS\pbsysie.dll_tobedeleted" [ ]
    "SpybotDeletingC2986"="cmd /c del C:\WINDOWS\pbsysie.dll_tobedeleted" [ ]
    "SpybotDeletingA9573"="command /c del C:\WINDOWS\kvnab.dll_tobedeleted" [ ]
    "SpybotDeletingC1263"="cmd /c del C:\WINDOWS\kvnab.dll_tobedeleted" [ ]
    "SpybotDeletingA6284"="command /c del C:\WINDOWS\iexplorr23.dll_tobedeleted" [ ]
    "SpybotDeletingC6176"="cmd /c del C:\WINDOWS\iexplorr23.dll_tobedeleted" [ ]
    "SpybotDeletingA4811"="command /c del C:\WINDOWS\system32\ace16win.dll_tobedeleted" [ ]
    "SpybotDeletingC3431"="cmd /c del C:\WINDOWS\system32\ace16win.dll_tobedeleted" [ ]
    "SpybotDeletingA2463"="command /c del C:\WINDOWS\system32\vxddsk.exe_tobedeleted" [ ]
    "SpybotDeletingC7011"="cmd /c del C:\WINDOWS\system32\vxddsk.exe_tobedeleted" [ ]
    "SpybotDeletingA9265"="command /c del C:\Windows\System32\msole32.exe_tobedeleted" [ ]
    "SpybotDeletingC4425"="cmd /c del C:\Windows\System32\msole32.exe_tobedeleted" [ ]
    "SpybotDeletingA8020"="command /c del C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ]
    "SpybotDeletingC504"="cmd /c del C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ]
    "SpybotSnD"="C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" [2005-05-31 00:04 4393096]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]
    "ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" [2004-03-26 15:26 54384]

    C:\Documents and Settings\GIGI et PHIL\Menu D‚marrer\Programmes\D‚marrage\
    RegFreeze.lnk - C:\Program Files\RegFreeze\regfreeze.exe [2008-01-25 22:20:31 3591168]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
    "g1wShlWw1Z"= rundll32.exe "C:\WINDOWS\edqtkjun.dll",DllCleanServer

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HdReg]
    --a--c--- 2004-08-09 18:45 24576 C:\APPS\HDREG\HDREGAPP.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
    --a------ 2004-08-05 14:00 208952 C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
    --a------ 2004-10-08 03:14 81920 c:\Apps\Powercinema\PCMService.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
    --a------ 2004-08-05 14:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
    --a------ 2004-08-05 14:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
    --a------ 2007-09-25 01:11 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

    R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]
    S1 astq;astq;C:\WINDOWS\system32\drivers\astq.tga [2008-01-22 07:14]
    S1 fvelwow;fvelwow;C:\WINDOWS\system32\fvelwow.sys [2008-01-23 13:06]
    S1 lusbaudio;Microphone USB Logitech;C:\WINDOWS\system32\drivers\OVSound2.sys [2001-08-17 22:05]
    S1 nested;nested;C:\WINDOWS\system32\nested.sys [2008-01-23 18:14]
    S1 srtwe;srtwe;C:\WINDOWS\system32\drivers\srtwe.sys [2008-01-24 23:10]
    S1 ztx86;ztx86;C:\WINDOWS\system32\ztx86.sys [2008-01-23 07:18]
    S2 Ca533av;Polaroid Digital Cam Video;C:\WINDOWS\system32\Drivers\Ca533av.sys [2002-10-21 11:37]
    S2 Generic Host Process for Win-32 Service;Generic Host Process for Win-32 Service;"C:\WINDOWS\svchost.exe" []
    S2 windows mail service;windows mail service;"C:\WINDOWS\mail.exe" [2008-01-17 19:45]
    S3 QCEmerald;QuickCam Web Logitech;C:\WINDOWS\system32\DRIVERS\OVCE.sys [2001-08-17 22:05]
    S3 USBCamera;Icatch(IV) Still Camera Device;C:\WINDOWS\system32\Drivers\Bulk533.sys [2002-07-25 11:19]

    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
    "2008-01-21 18:00:00 C:\WINDOWS\Tasks\Norton AntiVirus - Analyser mon ordinateur.job"
    - C:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exe
    .
    **************************************************************************

    catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-01-26 12:36:49
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    C:\WINDOWS\system32\ntos.exe 247296 bytes executable
    C:\WINDOWS\system32\wsnpoem

    Scan terminé avec succès
    Les fichiers cachés: 2

    **************************************************************************
    .
    Temps d'accomplissement: 2008-01-26 12:39:30 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-01-26 11:39:23
    .
    2008-01-09 18:03:15 --- E O F ---

    Et HiJackThis:
    Logfile of Trend Micro HijackThis v2.0.0 (BETA)
    Scan saved at 12:43:24, on 26/01/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    Boot mode: Safe mode with network support

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\internet explorer\iexplore.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Documents and Settings\GIGI et PHIL\Bureau\HiJackThis_v2.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [servicestub.exe] C:\WINDOWS\servicestub.exe
    O4 - HKLM\..\Run: [htssv32.exe] C:\WINDOWS\htssv32.exe
    O4 - HKLM\..\Run: [drmsrv32] C:\cvbkwtb.exe
    O4 - HKLM\..\Run: [SystemSv121] C:\WINDOWS\system32\n2ewma1xxsv234.exe
    O4 - HKLM\..\RunOnce: [SpybotDeletingA5430] command /c del "C:\WINDOWS\7search.dll_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingC8717] cmd /c del "C:\WINDOWS\7search.dll_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingA7458] command /c del "C:\WINDOWS\settn.dll_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingC2798] cmd /c del "C:\WINDOWS\settn.dll_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingA6188] command /c del "C:\WINDOWS\iexplorr23.dll_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingC4095] cmd /c del "C:\WINDOWS\iexplorr23.dll_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingA9506] command /c del "C:\WINDOWS\system32\ace16win.dll_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingC4151] cmd /c del "C:\WINDOWS\system32\ace16win.dll_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingA3232] command /c del "C:\WINDOWS\system32\wml.exe_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingC8746] cmd /c del "C:\WINDOWS\system32\wml.exe_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingA8048] command /c del "C:\WINDOWS\system32\vxddsk.exe_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingC7184] cmd /c del "C:\WINDOWS\system32\vxddsk.exe_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingA8753] command /c del "C:\Windows\System32\msole32.exe_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingC4444] cmd /c del "C:\Windows\System32\msole32.exe_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingA2162] command /c del "C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingC4056] cmd /c del "C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingA8075] command /c del "C:\WINDOWS\pbsysie.dll_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingC2986] cmd /c del "C:\WINDOWS\pbsysie.dll_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingA9573] command /c del "C:\WINDOWS\kvnab.dll_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingC1263] cmd /c del "C:\WINDOWS\kvnab.dll_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingA6284] command /c del "C:\WINDOWS\iexplorr23.dll_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingC6176] cmd /c del "C:\WINDOWS\iexplorr23.dll_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingA4811] command /c del "C:\WINDOWS\system32\ace16win.dll_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingC3431] cmd /c del "C:\WINDOWS\system32\ace16win.dll_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingA2463] command /c del "C:\WINDOWS\system32\vxddsk.exe_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingC7011] cmd /c del "C:\WINDOWS\system32\vxddsk.exe_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingA9265] command /c del "C:\Windows\System32\msole32.exe_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingC4425] cmd /c del "C:\Windows\System32\msole32.exe_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingA8020] command /c del "C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingC504] cmd /c del "C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\RunOnce: [SpybotDeletingB1935] command /c del "C:\WINDOWS\pbsysie.dll_tobedeleted"
    O4 - HKCU\..\RunOnce: [SpybotDeletingD5484] cmd /c del "C:\WINDOWS\pbsysie.dll_tobedeleted"
    O4 - HKCU\..\RunOnce: [SpybotDeletingB9368] command /c del "C:\WINDOWS\kvnab.dll_tobedeleted"
    O4 - HKCU\..\RunOnce: [SpybotDeletingD4339] cmd /c del "C:\WINDOWS\kvnab.dll_tobedeleted"
    O4 - HKCU\..\RunOnce: [SpybotDeletingB757] command /c del "C:\WINDOWS\iexplorr23.dll_tobedeleted"
    O4 - HKCU\..\RunOnce: [SpybotDeletingD7818] cmd /c del "C:\WINDOWS\iexplorr23.dll_tobedeleted"
    O4 - HKCU\..\RunOnce: [SpybotDeletingB6390] command /c del "C:\WINDOWS\system32\ace16win.dll_tobedeleted"
    O4 - HKCU\..\RunOnce: [SpybotDeletingD100] cmd /c del "C:\WINDOWS\system32\ace16win.dll_tobedeleted"
    O4 - HKCU\..\RunOnce: [SpybotDeletingB5869] command /c del "C:\WINDOWS\system32\vxddsk.exe_tobedeleted"
    O4 - HKCU\..\RunOnce: [SpybotDeletingD4343] cmd /c del "C:\WINDOWS\system32\vxddsk.exe_tobedeleted"
    O4 - HKCU\..\RunOnce: [SpybotDeletingB8841] command /c del "C:\Windows\System32\msole32.exe_tobedeleted"
    O4 - HKCU\..\RunOnce: [SpybotDeletingD5410] cmd /c del "C:\Windows\System32\msole32.exe_tobedeleted"
    O4 - HKCU\..\RunOnce: [SpybotDeletingB3074] command /c del "C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted"
    O4 - HKCU\..\RunOnce: [SpybotDeletingD5974] cmd /c del "C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted"
    O4 - HKLM\..\Policies\Explorer\Run: [g1wShlWw1Z] rundll32.exe "C:\WINDOWS\edqtkjun.dll",DllCleanServer
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: RegFreeze.lnk = C:\Program Files\RegFreeze\regfreeze.exe
    O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\microsoft office\Office\OSA.EXE
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\microsoft office\Office\FINDFAST.EXE
    O8 - Extra context menu item: &Search - http://kx.bar.need2find.com/KX/menusearch.html?p=KX
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\system32\shdocvw.dll
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
    O9 - Extra button: Search and Remove Spyware - {CDB280E8-BE43-4128-8A5A-3FCD094E2D88} - C:\Program Files\RegFreeze\rfsearchhandler.dll
    O9 - Extra 'Tools' menuitem: Search and Remove Spyware - {CDB280E8-BE43-4128-8A5A-3FCD094E2D88} - C:\Program Files\RegFreeze\rfsearchhandler.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
    O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
    O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
    O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - (no file)
    O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
    O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
    O22 - SharedTaskScheduler: XenaDot Software - {CD5E2AC9-25CE-A1C5-D1E2-DC6B28A6ED5A} - (no file)
    O22 - SharedTaskScheduler: {874443fe-aa33-4ebf-a6ac-73208787e62d} - bestreak - (no file)
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
    O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
    O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
    O23 - Service: Generic Host Process for Win-32 Service - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
    O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
    O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
    O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
    O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
    O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
    O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
    O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
    O23 - Service: windows mail service - Unknown owner - C:\WINDOWS\mail.exe
    O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
    O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
    0
  3. g!rly Messages postés 18462 Statut Contributeur 407
     
    aie aie aie...

    Copie le texte ci-dessous :

    File::
    C:\cvbkwtb.exe
    C:\WINDOWS\servicestub.exe
    C:\WINDOWS\system32\n2ewma1xxsv234.exe
    C:\WINDOWS\edqtkjun.dll
    C:\WINDOWS\system32\drivers\astq.tga

    Driver::astq

    Folder::
    C:\Program Files\RegFreeze

    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    "SpybotDeletingB1935"=-
    "SpybotDeletingD5484"=-
    "SpybotDeletingB9368"=-
    "SpybotDeletingD4339"=-
    "SpybotDeletingB757"=-
    "SpybotDeletingD7818"=-
    "SpybotDeletingB6390"=-
    "SpybotDeletingD100"=-
    "SpybotDeletingB5869"=-
    "SpybotDeletingD4343"=-
    "SpybotDeletingB8841"=-
    "SpybotDeletingD5410"=-
    "SpybotDeletingB3074"=-
    "SpybotDeletingD5974"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "drmsrv32"=-
    "servicestub.exe"=-
    "SystemSv121"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    "SpybotDeletingA5430"=-
    "SpybotDeletingC8717"=-
    "SpybotDeletingA7458"=-
    "SpybotDeletingC2798"=-
    "SpybotDeletingA6188"=-
    "SpybotDeletingC4095"=-
    "SpybotDeletingA9506"=-
    "SpybotDeletingC4151"=-
    "SpybotDeletingA3232"=-
    "SpybotDeletingC8746"=-
    "SpybotDeletingA8048"=-
    "SpybotDeletingC7184"=-
    "SpybotDeletingA8753"=-
    "SpybotDeletingC4444"=-
    "SpybotDeletingA2162"=-
    "SpybotDeletingC4056"=-
    "SpybotDeletingA8075"=-
    "SpybotDeletingC2986"=-
    "SpybotDeletingA9573"=-
    "SpybotDeletingC1263"=-
    "SpybotDeletingA6284"=-
    "SpybotDeletingC6176"=-
    "SpybotDeletingA4811"=-
    "SpybotDeletingC3431"=-
    "SpybotDeletingA2463"=-
    "SpybotDeletingC7011"=-
    "SpybotDeletingA9265"=-
    "SpybotDeletingC4425"=-
    "SpybotDeletingA8020"=-
    "SpybotDeletingC504"=-
    "SpybotSnD"=-
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
    "g1wShlWw1Z"=-

    Ouvre le Bloc-Notes puis colle le texte copié.
    (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
    Sauvegarde ce fichier sous le nom de CFScript.txt.

    Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

    http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

    Cela va relancer Combofix,

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

    S'il n'y a pas de rédémarrage, poste quand même les rapports.

    @+
    0
  4. nfren
     
    Rapport Combofix

    ComboFix 08-01-23.1C - GIGI et PHIL 2008-01-26 13:57:18.2 - NTFSx86 NETWORK
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.34.1036.18.328 [GMT 1:00]
    Endroit: C:\Documents and Settings\GIGI et PHIL\Bureau\ComboFix.exe
    Command switches used :: C:\Documents and Settings\GIGI et PHIL\Bureau\CFScript.txt

    FILE
    C:\cvbkwtb.exe
    C:\WINDOWS\edqtkjun.dll
    C:\WINDOWS\servicestub.exe
    C:\WINDOWS\system32\drivers\astq.tga
    C:\WINDOWS\system32\n2ewma1xxsv234.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\cvbkwtb.exe
    C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\CnsMin.zip
    C:\Program Files\akl
    C:\Program Files\p2pnetworks
    C:\WINDOWS\edqtkjun.dll
    C:\WINDOWS\servicestub.exe
    C:\WINDOWS\system32\acespy
    C:\WINDOWS\system32\drivers\astq.tga
    C:\WINDOWS\system32\n2ewma1xxsv234.exe

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2007-12-26 to 2008-01-26 ))))))))))))))))))))))))))))))))))))
    .

    2008-01-26 12:25 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
    2008-01-25 21:14 . 2008-01-25 21:13 13,312 --a------ C:\WINDOWS\system32\mssrv32.exe
    2008-01-24 23:10 . 2008-01-24 23:10 54,764 --a------ C:\WINDOWS\system32\drivers\srtwe.sys
    2008-01-24 19:42 . 2008-01-24 19:42 129,792 --a------ C:\WINDOWS\system32\burito57d3-6132.sys
    2008-01-24 19:42 . 2008-01-24 19:42 40,845 --a------ C:\WINDOWS\system32\burito.ini
    2008-01-24 19:19 . 2008-01-26 13:12 <REP> d--hs---- C:\WINDOWS\system32\wsnpoem
    2008-01-23 22:44 . 2008-01-23 22:44 <REP> d-------- C:\Program Files\Dot1XCfg
    2008-01-23 22:41 . 2008-01-24 23:11 36,864 --a------ C:\WINDOWS\mrofinu1148.exe.tmp
    2008-01-23 22:40 . 2008-01-23 22:40 54,764 --a------ C:\WINDOWS\system32\jecsst.sys
    2008-01-23 22:40 . 2004-08-05 14:00 25,088 --a------ C:\WINDOWS\system32\userini.exe
    2008-01-23 22:40 . 2008-01-23 22:40 11,063 --a--c--- C:\bhij.exe
    2008-01-23 22:40 . 2008-01-24 23:10 3,584 --a--c--- C:\tuwwp.exe
    2008-01-23 18:14 . 2008-01-23 18:14 54,764 --a------ C:\WINDOWS\system32\nested.sys
    2008-01-23 13:06 . 2008-01-23 13:06 54,764 --a------ C:\WINDOWS\system32\fvelwow.sys
    2008-01-23 13:06 . 2008-01-23 13:06 29,184 --a--c--- C:\hkdjqaxv.exe
    2008-01-23 07:18 . 2008-01-23 07:18 54,764 --a------ C:\WINDOWS\system32\ztx86.sys
    2008-01-22 07:15 . 2008-01-22 07:15 <REP> d-------- C:\WINDOWS\leunemdf
    2008-01-22 07:14 . 2008-01-22 07:14 89,607 --a------ C:\WINDOWS\wnclmpkx.exe
    2008-01-22 07:14 . 2008-01-22 07:14 89,607 --a------ C:\WINDOWS\system32\rxjddnvj.exe
    2008-01-22 07:14 . 2008-01-24 23:10 58,368 --a--c--- C:\upaq.exe
    2008-01-22 07:14 . 2008-01-22 07:14 46,592 --a------ C:\WINDOWS\vqlizudo.exe
    2008-01-22 07:14 . 2008-01-24 23:10 2 --a--c--- C:\143394757
    2008-01-20 21:36 . 2008-01-20 21:36 31,232 -r-hs---- C:\WINDOWS\htssv32.exe
    2008-01-19 19:34 . 1996-08-20 20:37 15,840 --a------ C:\WINDOWS\system32\Machnm1.exe
    2008-01-19 19:34 . 2005-09-25 16:37 5,632 --a------ C:\WINDOWS\system32\Machnm64.sys
    2008-01-19 19:34 . 2008-01-19 19:34 3,120 --a------ C:\WINDOWS\system32\118290.54
    2008-01-19 19:34 . 2008-01-19 19:34 3,120 --a------ C:\WINDOWS\118294.78
    2008-01-19 19:34 . 2003-08-13 00:27 2,304 --a------ C:\WINDOWS\system32\Machnm32.sys
    2008-01-17 19:45 . 2008-01-17 19:45 565,248 -r-hs---- C:\WINDOWS\mail.exe
    2008-01-10 19:29 . 2008-01-10 19:29 <REP> d-------- C:\Program Files\iView Catalog Reader3

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-01-26 11:59 98,304 ----a-w C:\WINDOWS\DUMP84c0.tmp
    2008-01-25 06:20 98,304 ----a-w C:\WINDOWS\DUMP975e.tmp
    2008-01-24 22:10 46,080 ----a-w C:\WINDOWS\system32\ftp.exe
    2008-01-24 22:10 17,920 ----a-w C:\WINDOWS\system32\tftp.exe
    2008-01-24 21:27 --------- d-----w C:\Program Files\Symantec AntiVirus
    2008-01-23 21:40 7,168 --sha-w C:\WINDOWS\system32\userinit.exe
    2008-01-20 13:18 --------- d-----w C:\Program Files\MP3 Player Utilities 3.57
    2008-01-19 19:24 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-01-18 08:26 --------- d-----w C:\Program Files\eMule
    2007-12-02 16:20 --------- d-----w C:\Program Files\Java
    2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\system32\lsasrv.dll
    2007-11-07 09:28 728,576 ------w C:\WINDOWS\system32\dllcache\lsasrv.dll
    2007-11-02 16:31 701,440 ---h--w C:\WINDOWS\system32\wodfamoh.dll
    2007-10-30 23:23 3,590,656 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
    2007-10-30 17:20 360,064 ------w C:\WINDOWS\system32\dllcache\tcpip.sys
    2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
    2007-10-29 22:43 1,293,824 ------w C:\WINDOWS\system32\dllcache\quartz.dll
    2006-04-25 17:00 1,694,551 -c--a-w C:\Program Files\aaw6181.exe
    2006-04-23 10:55 1,760,378 -c--a-w C:\Program Files\aaw6.exe
    2004-08-05 13:00 73,728 -csha-w C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
    .

    ((((((((((((((((((((((((((((( snapshot@2008-01-26_12.38.09.42 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2008-01-26 11:25:43 557,056 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000001\NTUSER.DAT
    + 2008-01-26 12:57:00 557,056 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000001\NTUSER.DAT
    - 2008-01-26 11:25:44 331,776 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000002\UsrClass.dat
    + 2008-01-26 12:57:00 331,776 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000002\UsrClass.dat
    - 2008-01-26 11:25:44 557,056 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000003\NTUSER.DAT
    + 2008-01-26 12:57:00 557,056 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000003\NTUSER.DAT
    - 2008-01-26 11:25:44 331,776 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000004\UsrClass.dat
    + 2008-01-26 12:57:00 331,776 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000004\UsrClass.dat
    - 2008-01-26 11:25:44 7,225,344 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000005\NTUSER.DAT
    + 2008-01-26 12:57:00 7,225,344 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000005\NTUSER.DAT
    - 2008-01-26 11:25:44 737,280 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000006\UsrClass.dat
    + 2008-01-26 12:57:00 737,280 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000006\UsrClass.dat
    - 2008-01-26 11:35:35 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
    + 2008-01-26 12:01:57 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
    - 2008-01-26 11:35:35 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
    + 2008-01-26 12:01:57 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
    - 2008-01-26 11:35:35 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    + 2008-01-26 12:01:57 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    + 2008-01-26 12:02:16 59,640 ------w C:\WINDOWS\system32\wsnpoem\video.dll
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    "SpybotDeletingB6503"="command /c del C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ]
    "SpybotDeletingD8956"="cmd /c del C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ]
    "SpybotDeletingB565"="command /c del C:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" [ ]
    "SpybotDeletingD4274"="cmd /c del C:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" [ ]
    "SpybotDeletingB715"="command /c del C:\WINDOWS\system32\m1ax1d12132116143v.exe_tobedeleted" [ ]
    "SpybotDeletingD1007"="cmd /c del C:\WINDOWS\system32\m1ax1d12132116143v.exe_tobedeleted" [ ]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 15:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
    "SoundMan"="SOUNDMAN.EXE" []
    "ATIPTA"="C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-12 21:10 339968]
    "ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 10:31 24576]
    "ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2004-08-20 15:09 66680]
    "vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2004-11-24 10:27 161496]
    "PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-11-10 15:06 406016]
    "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-02-03 07:35 180269]
    "htssv32.exe"="C:\WINDOWS\htssv32.exe" [2008-01-20 21:36 31232]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    "SpybotDeletingA195"="command /c del C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ]
    "SpybotDeletingC4392"="cmd /c del C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ]
    "SpybotDeletingA240"="command /c del C:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" [ ]
    "SpybotDeletingC8515"="cmd /c del C:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" [ ]
    "SpybotDeletingA2375"="command /c del C:\WINDOWS\system32\m1ax1d12132116143v.exe_tobedeleted" [ ]
    "SpybotDeletingC2421"="cmd /c del C:\WINDOWS\system32\m1ax1d12132116143v.exe_tobedeleted" [ ]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]
    "ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" [2004-03-26 15:26 54384]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HdReg]
    --a--c--- 2004-08-09 18:45 24576 C:\APPS\HDREG\HDREGAPP.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
    --a------ 2004-08-05 14:00 208952 C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
    --a------ 2004-10-08 03:14 81920 c:\Apps\Powercinema\PCMService.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
    --a------ 2004-08-05 14:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
    --a------ 2004-08-05 14:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
    --a------ 2007-09-25 01:11 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

    R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]
    S1 astq;astq;C:\WINDOWS\system32\drivers\astq.tga []
    S1 fvelwow;fvelwow;C:\WINDOWS\system32\fvelwow.sys [2008-01-23 13:06]
    S1 lusbaudio;Microphone USB Logitech;C:\WINDOWS\system32\drivers\OVSound2.sys [2001-08-17 22:05]
    S1 nested;nested;C:\WINDOWS\system32\nested.sys [2008-01-23 18:14]
    S1 srtwe;srtwe;C:\WINDOWS\system32\drivers\srtwe.sys [2008-01-24 23:10]
    S1 ztx86;ztx86;C:\WINDOWS\system32\ztx86.sys [2008-01-23 07:18]
    S2 Ca533av;Polaroid Digital Cam Video;C:\WINDOWS\system32\Drivers\Ca533av.sys [2002-10-21 11:37]
    S2 Generic Host Process for Win-32 Service;Generic Host Process for Win-32 Service;"C:\WINDOWS\svchost.exe" []
    S2 windows mail service;windows mail service;"C:\WINDOWS\mail.exe" [2008-01-17 19:45]
    S3 QCEmerald;QuickCam Web Logitech;C:\WINDOWS\system32\DRIVERS\OVCE.sys [2001-08-17 22:05]
    S3 USBCamera;Icatch(IV) Still Camera Device;C:\WINDOWS\system32\Drivers\Bulk533.sys [2002-07-25 11:19]

    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
    "2008-01-21 18:00:00 C:\WINDOWS\Tasks\Norton AntiVirus - Analyser mon ordinateur.job"
    - C:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exeh/task:
    .
    **************************************************************************

    catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-01-26 14:02:09
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    C:\WINDOWS\system32\ntos.exe 247296 bytes executable

    Scan terminé avec succès
    Les fichiers cachés: 1

    **************************************************************************
    .
    Temps d'accomplissement: 2008-01-26 14:03:32
    ComboFix-quarantined-files.txt 2008-01-26 13:03:27
    ComboFix2.txt 2008-01-26 11:39:31
    .
    2008-01-09 18:03:15 --- E O F ---

    Rapport HiJackThis:
    Logfile of Trend Micro HijackThis v2.0.0 (BETA)
    Scan saved at 14:05:38, on 26/01/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    Boot mode: Safe mode with network support

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\internet explorer\iexplore.exe
    C:\WINDOWS\explorer.exe
    C:\Documents and Settings\GIGI et PHIL\Bureau\HiJackThis_v2.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [htssv32.exe] C:\WINDOWS\htssv32.exe
    O4 - HKLM\..\RunOnce: [SpybotDeletingA195] command /c del "C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingC4392] cmd /c del "C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingA240] command /c del "C:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingC8515] cmd /c del "C:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingA2375] command /c del "C:\WINDOWS\system32\m1ax1d12132116143v.exe_tobedeleted"
    O4 - HKLM\..\RunOnce: [SpybotDeletingC2421] cmd /c del "C:\WINDOWS\system32\m1ax1d12132116143v.exe_tobedeleted"
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\RunOnce: [SpybotDeletingB6503] command /c del "C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted"
    O4 - HKCU\..\RunOnce: [SpybotDeletingD8956] cmd /c del "C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted"
    O4 - HKCU\..\RunOnce: [SpybotDeletingB565] command /c del "C:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted"
    O4 - HKCU\..\RunOnce: [SpybotDeletingD4274] cmd /c del "C:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted"
    O4 - HKCU\..\RunOnce: [SpybotDeletingB715] command /c del "C:\WINDOWS\system32\m1ax1d12132116143v.exe_tobedeleted"
    O4 - HKCU\..\RunOnce: [SpybotDeletingD1007] cmd /c del "C:\WINDOWS\system32\m1ax1d12132116143v.exe_tobedeleted"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: RegFreeze.lnk = C:\Program Files\RegFreeze\regfreeze.exe
    O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\microsoft office\Office\OSA.EXE
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\microsoft office\Office\FINDFAST.EXE
    O8 - Extra context menu item: &Search - http://kx.bar.need2find.com/KX/menusearch.html?p=KX
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\system32\shdocvw.dll
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
    O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
    O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
    O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - (no file)
    O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
    O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
    O22 - SharedTaskScheduler: XenaDot Software - {CD5E2AC9-25CE-A1C5-D1E2-DC6B28A6ED5A} - (no file)
    O22 - SharedTaskScheduler: {874443fe-aa33-4ebf-a6ac-73208787e62d} - bestreak - (no file)
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
    O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
    O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
    O23 - Service: Generic Host Process for Win-32 Service - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
    O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
    O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
    O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
    O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
    O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
    O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
    O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
    O23 - Service: windows mail service - Unknown owner - C:\WINDOWS\mail.exe
    O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
    O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g!rly Messages postés 18462 Statut Contributeur 407
     
    re,

    on va le refaire, j´ai fais une faute dans le scripte...

    a l´aide de hijack this coche ceci :

    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
    O8 - Extra context menu item: &Search - http://kx.bar.need2find.com/KX/menusearch.html?p=KX
    O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - (no file)
    O22 - SharedTaskScheduler: XenaDot Software - {CD5E2AC9-25CE-A1C5-D1E2-DC6B28A6ED5A} - (no file)
    O22 - SharedTaskScheduler: {874443fe-aa33-4ebf-a6ac-73208787e62d} - bestreak - (no file)

    comment fixer :

    Tutoriel d´utilisation (video) :

    -> http://pageperso.aol.fr/balltrap34/demohijack.htm

    Copie le texte ci-dessous :

    File::
    C:\WINDOWS\htssv32.exe
    C:\WINDOWS\system32\ntos.exe
    C:\WINDOWS\system32\drivers\astq.tga

    Folder::

    Driver::
    astq

    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    "SpybotDeletingB6503"=-
    "SpybotDeletingD8956"=-
    "SpybotDeletingB565"=-
    "SpybotDeletingD4274"=-
    "SpybotDeletingB715"=-
    "SpybotDeletingD1007"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    "SpybotDeletingA195"=-
    "SpybotDeletingC4392"=-
    "SpybotDeletingA240"=-
    "SpybotDeletingC8515"=-
    "SpybotDeletingA2375"=-
    "SpybotDeletingC2421"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "htssv32.exe"=-

    Ouvre le Bloc-Notes puis colle le texte copié.
    (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
    Sauvegarde ce fichier sous le nom de CFScript.txt.

    Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

    http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

    Cela va relancer Combofix,

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

    S'il n'y a pas de rédémarrage, poste quand même les rapports.

    puis apres avoir redemarrer avant de me poster les nouveaux rapports, fais ceci :

    1°- « Démarrer » > « Executer » > taper cmd > valide par ok

    sc stop "Generic Host Process for Win-32 Service" ==> [Enter]
    sc config "Generic Host Process for Win-32 Service" start= disabled ==> [Enter]

    2°- Redémarre MSE (mode sans echec ).Choisis ton compte usuel, et non Administrateur.

    3°- « Démarrer » > « Executer » > taper cmd > valide par ok

    sc delete "Generic Host Process for Win-32 Service" ==> [Enter]

    comment redemarrer en mode sans echec :

    Tu redemarre le pc et tapote la touche F8 des le début de l allumage sans t´arrêter.
    Une fenêtre sur fond noir va s’ouvrir, tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    capture d´ecran : http://www.coupdepoucepc.com/images_cdppc4/fichespratiques/windowsxp/modese/modese2.jpg
    Une fois sur le bureau si il n y a pas toutes les couleurs et autres c´est normal!
    Ps : si F8 ne marche pas utilise la touche F5.

    @+
    0
  7. nfren
     
    Je pense avoir tout fait dans l'ordre!
    Voici le rapport combofix:

    ComboFix 08-01-23.1C - GIGI et PHIL 2008-01-26 14:36:19.3 - NTFSx86 NETWORK
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.34.1036.18.305 [GMT 1:00]
    Endroit: C:\Documents and Settings\GIGI et PHIL\Bureau\ComboFix.exe
    Command switches used :: C:\Documents and Settings\GIGI et PHIL\Bureau\CFScript.txt

    FILE
    C:\WINDOWS\htssv32.exe
    C:\WINDOWS\system32\drivers\astq.tga
    C:\WINDOWS\system32\ntos.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\htssv32.exe

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    .
    -------\astq

    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-26 to 2008-01-26 ))))))))))))))))))))))))))))))))))))
    .

    2008-01-26 12:25 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
    2008-01-25 21:14 . 2008-01-25 21:13 13,312 --a------ C:\WINDOWS\system32\mssrv32.exe
    2008-01-24 23:10 . 54,764 C:\WINDOWS\system32\drivers\srtwe.sys
    2008-01-24 19:42 . 2008-01-24 19:42 129,792 --a------ C:\WINDOWS\system32\burito57d3-6132.sys
    2008-01-24 19:42 . 2008-01-24 19:42 40,845 --a------ C:\WINDOWS\system32\burito.ini
    2008-01-24 19:19 . 2008-01-26 14:42 <REP> d--hs---- C:\WINDOWS\system32\wsnpoem
    2008-01-23 22:44 . 2008-01-23 22:44 <REP> d-------- C:\Program Files\Dot1XCfg
    2008-01-23 22:41 . 2008-01-24 23:11 36,864 --a------ C:\WINDOWS\mrofinu1148.exe.tmp
    2008-01-23 22:40 . 2008-01-23 22:40 54,764 --a------ C:\WINDOWS\system32\jecsst.sys
    2008-01-23 22:40 . 2004-08-05 14:00 25,088 --a------ C:\WINDOWS\system32\userini.exe
    2008-01-23 22:40 . 2008-01-23 22:40 11,063 --a--c--- C:\bhij.exe
    2008-01-23 22:40 . 2008-01-24 23:10 3,584 --a--c--- C:\tuwwp.exe
    2008-01-23 18:14 . 54,764 C:\WINDOWS\system32\nested.sys
    2008-01-23 13:06 . 54,764 C:\WINDOWS\system32\fvelwow.sys
    2008-01-23 13:06 . 2008-01-23 13:06 29,184 --a--c--- C:\hkdjqaxv.exe
    2008-01-23 07:18 . 54,764 C:\WINDOWS\system32\ztx86.sys
    2008-01-22 07:15 . 2008-01-22 07:15 <REP> d-------- C:\WINDOWS\leunemdf
    2008-01-22 07:14 . 2008-01-22 07:14 89,607 --a------ C:\WINDOWS\wnclmpkx.exe
    2008-01-22 07:14 . 2008-01-22 07:14 89,607 --a------ C:\WINDOWS\system32\rxjddnvj.exe
    2008-01-22 07:14 . 2008-01-24 23:10 58,368 --a--c--- C:\upaq.exe
    2008-01-22 07:14 . 2008-01-22 07:14 46,592 --a------ C:\WINDOWS\vqlizudo.exe
    2008-01-22 07:14 . 2008-01-24 23:10 2 --a--c--- C:\143394757
    2008-01-19 19:34 . 1996-08-20 20:37 15,840 --a------ C:\WINDOWS\system32\Machnm1.exe
    2008-01-19 19:34 . 2005-09-25 16:37 5,632 --a------ C:\WINDOWS\system32\Machnm64.sys
    2008-01-19 19:34 . 2008-01-19 19:34 3,120 --a------ C:\WINDOWS\system32\118290.54
    2008-01-19 19:34 . 2008-01-19 19:34 3,120 --a------ C:\WINDOWS\118294.78
    2008-01-19 19:34 . 2003-08-13 00:27 2,304 --a------ C:\WINDOWS\system32\Machnm32.sys
    2008-01-17 19:45 . 2008-01-17 19:45 565,248 -r-hs---- C:\WINDOWS\mail.exe
    2008-01-10 19:29 . 2008-01-10 19:29 <REP> d-------- C:\Program Files\iView Catalog Reader3

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-01-26 13:41 --------- d-----w C:\Program Files\Symantec AntiVirus
    2008-01-26 11:59 98,304 ----a-w C:\WINDOWS\DUMP84c0.tmp
    2008-01-25 06:20 98,304 ----a-w C:\WINDOWS\DUMP975e.tmp
    2008-01-20 13:18 --------- d-----w C:\Program Files\MP3 Player Utilities 3.57
    2008-01-19 19:24 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-01-18 08:26 --------- d-----w C:\Program Files\eMule
    2007-12-02 16:20 --------- d-----w C:\Program Files\Java
    2006-04-25 17:00 1,694,551 -c--a-w C:\Program Files\aaw6181.exe
    2006-04-23 10:55 1,760,378 -c--a-w C:\Program Files\aaw6.exe
    2004-08-05 13:00 73,728 -csha-w C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
    .

    Et HiJackThis
    Logfile of Trend Micro HijackThis v2.0.0 (BETA)
    Scan saved at 15:11, on 2008-01-26
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    Boot mode: Safe mode with network support

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\internet explorer\iexplore.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Documents and Settings\GIGI et PHIL\Bureau\HiJackThis_v2.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: RegFreeze.lnk = C:\Program Files\RegFreeze\regfreeze.exe
    O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\microsoft office\Office\OSA.EXE
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\microsoft office\Office\FINDFAST.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\system32\shdocvw.dll
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
    O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
    O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
    O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
    O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
    O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
    O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
    O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
    O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
    O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
    O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
    O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
    O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
    O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
    O23 - Service: windows mail service - Unknown owner - C:\WINDOWS\mail.exe
    O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
    O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
    0
  8. g!rly Messages postés 18462 Statut Contributeur 407
     
    re,

    peux tu poster le combofix en entier stp

    @+
    0
  9. nfren
     
    Revoilà le rapport Combofix.

    ComboFix 08-01-23.1C - GIGI et PHIL 2008-01-26 14:36:19.3 - NTFSx86 NETWORK
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.34.1036.18.305 [GMT 1:00]
    Endroit: C:\Documents and Settings\GIGI et PHIL\Bureau\ComboFix.exe
    Command switches used :: C:\Documents and Settings\GIGI et PHIL\Bureau\CFScript.txt

    FILE
    C:\WINDOWS\htssv32.exe
    C:\WINDOWS\system32\drivers\astq.tga
    C:\WINDOWS\system32\ntos.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\htssv32.exe

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    .
    -------\astq

    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-26 to 2008-01-26 ))))))))))))))))))))))))))))))))))))
    .

    2008-01-26 12:25 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
    2008-01-25 21:14 . 2008-01-25 21:13 13,312 --a------ C:\WINDOWS\system32\mssrv32.exe
    2008-01-24 23:10 . 54,764 C:\WINDOWS\system32\drivers\srtwe.sys
    2008-01-24 19:42 . 2008-01-24 19:42 129,792 --a------ C:\WINDOWS\system32\burito57d3-6132.sys
    2008-01-24 19:42 . 2008-01-24 19:42 40,845 --a------ C:\WINDOWS\system32\burito.ini
    2008-01-24 19:19 . 2008-01-26 14:42 <REP> d--hs---- C:\WINDOWS\system32\wsnpoem
    2008-01-23 22:44 . 2008-01-23 22:44 <REP> d-------- C:\Program Files\Dot1XCfg
    2008-01-23 22:41 . 2008-01-24 23:11 36,864 --a------ C:\WINDOWS\mrofinu1148.exe.tmp
    2008-01-23 22:40 . 2008-01-23 22:40 54,764 --a------ C:\WINDOWS\system32\jecsst.sys
    2008-01-23 22:40 . 2004-08-05 14:00 25,088 --a------ C:\WINDOWS\system32\userini.exe
    2008-01-23 22:40 . 2008-01-23 22:40 11,063 --a--c--- C:\bhij.exe
    2008-01-23 22:40 . 2008-01-24 23:10 3,584 --a--c--- C:\tuwwp.exe
    2008-01-23 18:14 . 54,764 C:\WINDOWS\system32\nested.sys
    2008-01-23 13:06 . 54,764 C:\WINDOWS\system32\fvelwow.sys
    2008-01-23 13:06 . 2008-01-23 13:06 29,184 --a--c--- C:\hkdjqaxv.exe
    2008-01-23 07:18 . 54,764 C:\WINDOWS\system32\ztx86.sys
    2008-01-22 07:15 . 2008-01-22 07:15 <REP> d-------- C:\WINDOWS\leunemdf
    2008-01-22 07:14 . 2008-01-22 07:14 89,607 --a------ C:\WINDOWS\wnclmpkx.exe
    2008-01-22 07:14 . 2008-01-22 07:14 89,607 --a------ C:\WINDOWS\system32\rxjddnvj.exe
    2008-01-22 07:14 . 2008-01-24 23:10 58,368 --a--c--- C:\upaq.exe
    2008-01-22 07:14 . 2008-01-22 07:14 46,592 --a------ C:\WINDOWS\vqlizudo.exe
    2008-01-22 07:14 . 2008-01-24 23:10 2 --a--c--- C:\143394757
    2008-01-19 19:34 . 1996-08-20 20:37 15,840 --a------ C:\WINDOWS\system32\Machnm1.exe
    2008-01-19 19:34 . 2005-09-25 16:37 5,632 --a------ C:\WINDOWS\system32\Machnm64.sys
    2008-01-19 19:34 . 2008-01-19 19:34 3,120 --a------ C:\WINDOWS\system32\118290.54
    2008-01-19 19:34 . 2008-01-19 19:34 3,120 --a------ C:\WINDOWS\118294.78
    2008-01-19 19:34 . 2003-08-13 00:27 2,304 --a------ C:\WINDOWS\system32\Machnm32.sys
    2008-01-17 19:45 . 2008-01-17 19:45 565,248 -r-hs---- C:\WINDOWS\mail.exe
    2008-01-10 19:29 . 2008-01-10 19:29 <REP> d-------- C:\Program Files\iView Catalog Reader3

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-01-26 13:41 --------- d-----w C:\Program Files\Symantec AntiVirus
    2008-01-26 11:59 98,304 ----a-w C:\WINDOWS\DUMP84c0.tmp
    2008-01-25 06:20 98,304 ----a-w C:\WINDOWS\DUMP975e.tmp
    2008-01-20 13:18 --------- d-----w C:\Program Files\MP3 Player Utilities 3.57
    2008-01-19 19:24 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-01-18 08:26 --------- d-----w C:\Program Files\eMule
    2007-12-02 16:20 --------- d-----w C:\Program Files\Java
    2006-04-25 17:00 1,694,551 -c--a-w C:\Program Files\aaw6181.exe
    2006-04-23 10:55 1,760,378 -c--a-w C:\Program Files\aaw6.exe
    2004-08-05 13:00 73,728 -csha-w C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
    .
    0
  10. g!rly Messages postés 18462 Statut Contributeur 407
     
    re,

    il n´est toujours pas entier...

    tu peux comparer avec le premier que tu as posté, tu verras la difference...

    @+
    0
  11. nfren
     
    Désolé, mais c'est bien tout ce qu'il y a dans le fichier combofix.txt!
    Aurai-je fait une mauvaise manoeuvre?
    0
  12. g!rly Messages postés 18462 Statut Contributeur 407
     
    salut nfren,

    bon passons sur combofix,

    peux tu faire ceci :

    1
    Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
    • Redémarre ton ordinateur
    • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    • Choisis ton compte.
    Déroule la liste des instructions ci-dessous :
    • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
    • Appuie sur Y pour commencer le processus de nettoyage.
    • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    • Appuie sur une touche pour redémarrer le PC.
    • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

    2
    Télécharge ComboScan sur ton Bureau en bas de cette pae en clickant sur download file

    -> http://www.geekstogo.com/forum/files/

    Ferme toutes les applications en cours : antivirus, pare-feu, etc ..
    Double-clic sur comboscan.exe, dans la fenêtre qui s'affiche, clic sur OK.
    Soit patient...
    Le rapport Comboscan.txt s'affichera, copie et colle le contenu de ce fichier ici.

    Le rapport peut-être long et en deux morceaux vérifie qu'il soit en entier.

    @+
    0
  13. nfren
     
    Salut,
    SDFix a l'air d'avoir fait de l'effet!!
    DSS (apparemment nouveau nom de comboscan?) m'a donné 2 rapports:
    main.txt que voilà (en entier car j'ai fait selectionner tout!!!)

    Deckard's System Scanner v20071014.68
    Run by GIGI et PHIL on 2008-01-27 18:04:02
    Computer is in Normal Mode.
    --------------------------------------------------------------------------------

    -- System Restore --------------------------------------------------------------

    Successfully created a Deckard's System Scanner Restore Point.

    -- Last 2 Restore Point(s) --
    2: 2008-01-27 17:04:08 UTC - RP2 - Deckard's System Scanner Restore Point
    1: 2008-01-26 17:54:41 UTC - RP1 - Point de vérification système

    Backed up registry hives.
    Performed disk cleanup.

    -- HijackThis Clone ------------------------------------------------------------

    Emulating logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 2008-01-27 18:05:44
    Platform: Windows XP Service Pack 2 (5.01.2600)
    MSIE: Internet Explorer (7.00.6000.16574)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\system32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Symantec AntiVirus\DefWatch.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\explorer.exe
    C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\APPS\ABOARD\ABOARD.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\Program Files\Symantec AntiVirus\VPTray.exe
    C:\APPS\ABOARD\AOSD.EXE
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\microsoft office\Office\OSA.EXE
    C:\Documents and Settings\GIGI et PHIL\Bureau\dss.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.com/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?gws_rd=ssl
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'Default user')
    O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\microsoft office\Office\OSA.EXE
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\microsoft office\Office\FINDFAST.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
    O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
    O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\MSN Messenger\msgrapp.8.1.0178.00.dll
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\MSN Messenger\msgrapp.8.1.0178.00.dll
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: MysqlInventime - Unknown owner - C:\mysql\bin\mysqld-nt.exe
    O23 - Service: SavRoam - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
    O23 - Service: SmartLinkService (SLService) - Unknown owner - C:\WINDOWS\system32\slserv.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

    0
  14. g!rly Messages postés 18462 Statut Contributeur 407
     
    oui ca a l´air beaucoup mieux ;-)

    fais ceci maintenant :

    Scan en ligne bitdefender :

    https://www.bitdefender.com/toolbox/

    Clicker sur " I agree " et suivre les indications

    A faire imperativement sous internet explorer, en acceptant l´activ x

    tutoriel en image en image

    http://pageperso.aol.fr/rginformatique/mapage/defender.htm

    pot le rapport ici stp

    @+
    0
  15. g!rly Messages postés 18462 Statut Contributeur 407
     
    re,
    oui, ou ca?
    @+
    0
  16. nfren
     
    Oups!
    Le rapport est tellement long qu'il n'a pas l'air de vouloir passer! Je l'ai sauvegardé sur le bureau, mais il semble bourré d'indications de mise en forme qui le surcharge. Aurai-je loupé un épisode lors de sa sauvegarde (choix d'un autre format que .txt?)
    Merci
    0
  17. nfren
     
    Bjs,
    Je suis obligé de continuer la discussion du boulot car ce matin, je n'ai pas pu redémarrer mon micro!!
    En mode normal, le fond de bureau apparaît et une fenêtre s'affiche disant qu'une application demande le transfert d'une clef personnelle. C'est win32/btos.exe. Quand j'annule cette demande (qui me paraît très suspecte!!), plus rien ne se passe. En mode sans échec (avec ou sans connection réseau), même chose sur fond noir!!
    Je ne vois vraiment pas quoi faire!!!
    0
  18. g!rly Messages postés 18462 Statut Contributeur 407
     
    salut nfren

    peux tu essayer de demarrer comme ceci

    juste avant d´avoir le message appuie simultanement sur ctrl+alt+sup

    dis moi quoi

    @+
    0
  19. nfren
     
    Salut,
    J'essaie ça ce soir dès que je rentre à la maison!
    A+
    0
  20. g!rly Messages postés 18462 Statut Contributeur 407
     
    ok;

    @+
    0
  • 1
  • 2
  • 3