comment me défaire de win32.Agent.pz Résolu/Fermé

Question

Bonjour,
Depuis plusieurs jours je me bat contre différents problèmes (win32.Agent.pz et .qt, win32.Alphabet.ap, win32BHO.je, Zlob.HomepageMonitor,...) qui infectent mon micro. Spybot les décèle mais ne peut pas les enlever. Je fais tourner aussi ad aware qui me repère des problèmes mais ceux ci réapparaissent sans arret! Quelqu'un pourrait-il me dire ce que je peux faire?
Merci par avance

g!rly · Answer

salut 

fais ceci :

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe      

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

et 

Télécharge HijackThis ici : 

-> http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

Tutoriel d´utilisation (video) :

-> http://pageperso.aol.fr/balltrap34/demohijack.htm

Post le rapport généré ici stp...

note : il est important que tu commence par combofix et que tu post les rapports par la suite.

@+

nfren · Answer

rapport Combofix: ComboFix 08-01-23.1C - GIGI et PHIL 2008-01-26 12:26:45.1 - NTFSx86 NETWORK Microsoft Windows XP Édition familiale 5.1.2600.2.1252.34.1036.18.319 [GMT 1:00] Endroit: C:\Documents and Settings\GIGI et PHIL\Bureau\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\All Users\Application Data.\dubktqti.dll C:\Documents and Settings\All Users\Application Data.\vgjonohk.dll C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\CnsMin.zip C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\CnsMin1.zip C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\CnsMin2.zip C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\CnsMin3.zip C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\CnsMin4.zip C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\CnsMin5.zip C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\CnsMin6.zip C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\CnsMin7.zip C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\CnsMin8.zip C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\CnsMin9.zip C:\Documents and Settings\GIGI et PHIL\Application Data\inst.exe C:\Documents and Settings\GIGI et PHIL\Application Data\install.dat C:\Program Files\3721 C:\Program Files\3721\assist\asbar.dll C:\Program Files\3721\helper.dll C:\Program Files\Accoona C:\Program Files\Accoona\ASearchAssist.dll C:\Program Files\akl C:\Program Files\akl\akl.dll C:\Program Files\akl\akl.exe C:\Program Files\akl\curlog.htm C:\Program Files\akl\keylog.txt C:\Program Files\akl eadme.txt C:\Program Files\akl\uninstall.exe C:\Program Files\akl\unsetup.dat C:\Program Files\akl\unsetup.exe C:\Program Files\amsys C:\Program Files\amsys\awmsg.dat C:\Program Files\amsys\guid.dat C:\Program Files\amsys\ijl15.dll C:\Program Files\amsys\mfc42.dll C:\Program Files\amsys\msvcrt.dll C:\Program Files\amsys\unins000.dat C:\Program Files\amsys\unis000.exe C:\Program Files\amsys\winam.dat C:\Program Files\e-zshopper C:\Program Files\e-zshopper\BarLcher.dll C:\Program Files\Helper C:\Program Files\Helper\1201124510.dll C:\Program Files\Helper\1201212713.dll C:\Program Files\p2pnetworks C:\Program Files\p2pnetworks\amp2pl.exe C:\Program Files\Temporary C:\Program Files\Words C:\Program Files\Words\list.txt C:\WINDOWS\764.exe C:\WINDOWS\7search.dll C:\WINDOWS\absolute key logger.lnk C:\WINDOWS\aconti.exe C:\WINDOWS\aconti.ini C:\WINDOWS\aconti.log C:\WINDOWS\aconti.sdb C:\WINDOWS\acontidialer.txt C:\WINDOWS\adbar.dll C:\WINDOWS\b122.exe C:\WINDOWS\b143.exe C:\WINDOWS\cbinst$.exe C:\WINDOWS\ctkburod.dll C:\WINDOWS\daxtime.dll C:\WINDOWS\default.htm C:\WINDOWS\dp0.dll C:\WINDOWS\eventlowg.dll C:\WINDOWS\fhfmm-Uninstaller.exe C:\WINDOWS\fhfmm.exe C:\WINDOWS\flt.dll C:\WINDOWS\hcwprn.exe C:\WINDOWS\hotporn.exe C:\WINDOWS\ie_32.exe C:\WINDOWS\iexplorr23.dll C:\WINDOWS\jd2002.dll C:\WINDOWS\kkcomp$.exe C:\WINDOWS\kkcomp.dll C:\WINDOWS\kkcomp.exe C:\WINDOWS\kvnab$.exe C:\WINDOWS\kvnab.dll C:\WINDOWS\kvnab.exe C:\WINDOWS\liqad$.exe C:\WINDOWS\liqad.dll C:\WINDOWS\liqad.exe C:\WINDOWS\liqui-Uninstaller.exe C:\WINDOWS\liqui.dll C:\WINDOWS\liqui.exe C:\WINDOWS\mrofinu1148.exe C:\WINDOWS gd.dll C:\WINDOWS\pbar.dll C:\WINDOWS\pbsysie.dll C:\WINDOWS\PerfInfo C:\WINDOWS\PerfInfo\g1wShlWw1Zwp.exe C:\WINDOWS\settn.dll C:\WINDOWS\spredirect.dll C:\WINDOWS\system32\1_exception.nls C:\WINDOWS\system32\ace16win.dll C:\WINDOWS\system32\acespy C:\WINDOWS\system32\acespy\__acelog.ndx C:\WINDOWS\system32\acespy\systune.exe C:\WINDOWS\system32\dllgh8jkd1q1.exe C:\WINDOWS\system32\dllgh8jkd1q2.exe C:\WINDOWS\system32\dllgh8jkd1q5.exe C:\WINDOWS\system32\dllgh8jkd1q6.exe C:\WINDOWS\system32\dllgh8jkd1q7.exe C:\WINDOWS\system32\dllgh8jkd1q8.exe C:\WINDOWS\system32\drivers\LQLY72.sys C:\WINDOWS\system32\drivers\symavc32.sys C:\WINDOWS\system32\ESHOPEE.exe C:\WINDOWS\system32\LB67A.tmp.exe C:\WINDOWS\system32\msole32.exe C:\WINDOWS\system32\vhosts.exe C:\WINDOWS\system32\vxddsk.exe C:\WINDOWS\system32\wml.exe C:\WINDOWS\vxddsk.exe C:\WINDOWS\W0034_jpg.zip C:\WINDOWS\wbeCheck.exe C:\WINDOWS\wbeInst$.exe C:\WINDOWS\wml.exe C:\WINDOWS\xadbrk.dll C:\WINDOWS\xadbrk.exe C:\WINDOWS\xadbrk_.exe C:\WINDOWS\xxxvideo.exe . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_LQLY72 -------\LEGACY_NETDOWN -------\NETDown ((((((((((((((((((((((((((((( Fichiers créés 2007-12-26 to 2008-01-26 )))))))))))))))))))))))))))))))))))) . 2008-01-26 12:33 . 2008-01-26 12:36 d-------- C:\WINDOWS\system32\acespy 2008-01-26 12:33 . 2008-01-26 12:36 d-------- C:\Program Files\p2pnetworks 2008-01-26 12:33 . 2008-01-26 12:36 d-------- C:\Program Files\akl 2008-01-26 12:33 . 2008-01-26 12:36 d-------- C:\Program Files\Accoona 2008-01-26 12:33 . 2008-01-26 12:36 d-------- C:\Program Files\3721 2008-01-26 12:25 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe 2008-01-25 22:20 . 2008-01-25 22:20 d-------- C:\Program Files\RegFreeze 2008-01-25 21:14 . 2008-01-25 21:13 13,312 --a------ C:\WINDOWS\system32\mssrv32.exe 2008-01-24 23:10 . 2008-01-24 23:10 54,764 --a------ C:\WINDOWS\system32\drivers\srtwe.sys 2008-01-24 23:10 . 2008-01-24 23:10 13,824 --a------ C:\WINDOWS\system32\m1ax1d12132116143v.exe 2008-01-24 19:42 . 2008-01-24 19:42 129,792 --a------ C:\WINDOWS\system32\burito57d3-6132.sys 2008-01-24 19:42 . 2008-01-24 19:42 40,845 --a------ C:\WINDOWS\system32\burito.ini 2008-01-24 19:36 . 2008-01-24 19:35 17,270 --a------ C:\WINDOWS\system32 2ewma1xxsv234.exe 2008-01-23 22:44 . 2008-01-23 22:44 d-------- C:\Program Files\Dot1XCfg 2008-01-23 22:42 . 2008-01-23 22:42 29 --a------ C:\WINDOWS\system32\fygyihth.tmp 2008-01-23 22:41 . 2008-01-24 23:11 36,864 --a------ C:\WINDOWS\mrofinu1148.exe.tmp 2008-01-23 22:40 . 2008-01-23 22:40 54,764 --a------ C:\WINDOWS\system32\jecsst.sys 2008-01-23 22:40 . 2004-08-05 14:00 25,088 --a------ C:\WINDOWS\system32\userini.exe 2008-01-23 22:40 . 2008-01-23 22:40 11,063 --a--c--- C:\bhij.exe 2008-01-23 22:40 . 2008-01-24 23:10 3,584 --a--c--- C: uwwp.exe 2008-01-23 18:14 . 2008-01-23 18:14 54,764 --a------ C:\WINDOWS\system32 ested.sys 2008-01-23 13:06 . 2008-01-23 13:06 54,764 --a------ C:\WINDOWS\system32\fvelwow.sys 2008-01-23 13:06 . 2008-01-23 13:06 29,184 --a--c--- C:\hkdjqaxv.exe 2008-01-23 07:18 . 2008-01-23 07:18 54,764 --a------ C:\WINDOWS\system32\ztx86.sys 2008-01-22 07:15 . 2008-01-22 07:15 d-------- C:\WINDOWS\leunemdf 2008-01-22 07:15 . 2008-01-22 07:15 192,000 --a------ C:\WINDOWS\edqtkjun.dll 2008-01-22 07:14 . 2008-01-22 07:14 89,607 --a------ C:\WINDOWS\wnclmpkx.exe 2008-01-22 07:14 . 2008-01-22 07:14 89,607 --a------ C:\WINDOWS\system32 xjddnvj.exe 2008-01-22 07:14 . 2008-01-24 23:10 58,368 --a--c--- C:\upaq.exe 2008-01-22 07:14 . 2008-01-22 07:14 54,764 --a------ C:\WINDOWS\system32\drivers\astq.tga 2008-01-22 07:14 . 2008-01-22 07:14 46,592 --a------ C:\WINDOWS\vqlizudo.exe 2008-01-22 07:14 . 2008-01-24 23:10 38,912 --a--c--- C:\cvbkwtb.exe 2008-01-22 07:14 . 2008-01-24 23:10 2 --a--c--- C:\143394757 2008-01-20 21:36 . 2008-01-20 21:36 31,232 -r-hs---- C:\WINDOWS\htssv32.exe 2008-01-19 19:34 . 1996-08-20 20:37 15,840 --a------ C:\WINDOWS\system32\Machnm1.exe 2008-01-19 19:34 . 2005-09-25 16:37 5,632 --a------ C:\WINDOWS\system32\Machnm64.sys 2008-01-19 19:34 . 2008-01-19 19:34 3,120 --a------ C:\WINDOWS\system32\118290.54 2008-01-19 19:34 . 2008-01-19 19:34 3,120 --a------ C:\WINDOWS\118294.78 2008-01-19 19:34 . 2003-08-13 00:27 2,304 --a------ C:\WINDOWS\system32\Machnm32.sys 2008-01-17 19:45 . 2008-01-17 19:45 565,248 -r-hs---- C:\WINDOWS\mail.exe 2008-01-17 18:33 . 2008-01-17 18:33 42,941 --------- C:\WINDOWS\servicestub.exe 2008-01-10 19:29 . 2008-01-10 19:29 d-------- C:\Program Files\iView Catalog Reader3 . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-26 11:33 9,984 ----a-w C:\WINDOWS\vxddsk.exe 2008-01-26 11:33 31,744 ----a-w C:\WINDOWS\pbar.dll 2008-01-26 11:33 27,392 ----a-w C:\WINDOWS\wml.exe 2008-01-26 11:33 27,136 ----a-w C:\WINDOWS\system32\ace16win.dll 2008-01-26 11:33 23,552 ----a-w C:\WINDOWS\dp0.dll 2008-01-26 11:33 20,992 ----a-w C:\WINDOWS\xxxvideo.exe 2008-01-26 11:33 19,712 ----a-w C:\WINDOWS\aconti.exe 2008-01-26 11:33 17,408 ----a-w C:\WINDOWS\7search.dll 2008-01-26 11:33 15,616 ----a-w C:\WINDOWS gd.dll 2008-01-26 11:33 15,360 ----a-w C:\WINDOWS\ie_32.exe 2008-01-26 11:33 15,104 ----a-w C:\WINDOWS\hotporn.exe 2008-01-26 11:33 12,544 ----a-w C:\WINDOWS\flt.dll 2008-01-26 11:31 31,488 ----a-w C:\WINDOWS\764.exe 2008-01-25 06:20 98,304 ----a-w C:\WINDOWS\DUMP975e.tmp 2008-01-24 22:10 46,080 ----a-w C:\WINDOWS\system32\ftp.exe 2008-01-24 22:10 17,920 ----a-w C:\WINDOWS\system32 ftp.exe 2008-01-24 21:27 --------- d-----w C:\Program Files\Symantec AntiVirus 2008-01-23 21:40 7,168 --sha-w C:\WINDOWS\system32\userinit.exe 2008-01-20 13:18 --------- d-----w C:\Program Files\MP3 Player Utilities 3.57 2008-01-19 19:24 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-01-18 08:26 --------- d-----w C:\Program Files\eMule 2007-12-02 16:20 --------- d-----w C:\Program Files\Java 2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\system32\lsasrv.dll 2007-11-07 09:28 728,576 ------w C:\WINDOWS\system32\dllcache\lsasrv.dll 2007-11-02 16:31 701,440 ---h--w C:\WINDOWS\system32\wodfamoh.dll 2007-10-30 23:23 3,590,656 ------w C:\WINDOWS\system32\dllcache\mshtml.dll 2007-10-30 17:20 360,064 ------w C:\WINDOWS\system32\dllcache cpip.sys 2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll 2007-10-29 22:43 1,293,824 ------w C:\WINDOWS\system32\dllcache\quartz.dll 2006-04-25 17:00 1,694,551 -c--a-w C:\Program Files\aaw6181.exe 2006-04-23 10:55 1,760,378 -c--a-w C:\Program Files\aaw6.exe 2004-08-05 13:00 73,728 -csha-w C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "SpybotDeletingB1935"="command /c del C:\WINDOWS\pbsysie.dll_tobedeleted" [ ] "SpybotDeletingD5484"="cmd /c del C:\WINDOWS\pbsysie.dll_tobedeleted" [ ] "SpybotDeletingB9368"="command /c del C:\WINDOWS\kvnab.dll_tobedeleted" [ ] "SpybotDeletingD4339"="cmd /c del C:\WINDOWS\kvnab.dll_tobedeleted" [ ] "SpybotDeletingB757"="command /c del C:\WINDOWS\iexplorr23.dll_tobedeleted" [ ] "SpybotDeletingD7818"="cmd /c del C:\WINDOWS\iexplorr23.dll_tobedeleted" [ ] "SpybotDeletingB6390"="command /c del C:\WINDOWS\system32\ace16win.dll_tobedeleted" [ ] "SpybotDeletingD100"="cmd /c del C:\WINDOWS\system32\ace16win.dll_tobedeleted" [ ] "SpybotDeletingB5869"="command /c del C:\WINDOWS\system32\vxddsk.exe_tobedeleted" [ ] "SpybotDeletingD4343"="cmd /c del C:\WINDOWS\system32\vxddsk.exe_tobedeleted" [ ] "SpybotDeletingB8841"="command /c del C:\Windows\System32\msole32.exe_tobedeleted" [ ] "SpybotDeletingD5410"="cmd /c del C:\Windows\System32\msole32.exe_tobedeleted" [ ] "SpybotDeletingB3074"="command /c del C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ] "SpybotDeletingD5974"="cmd /c del C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 15:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe] "SoundMan"="SOUNDMAN.EXE" [] "ATIPTA"="C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-12 21:10 339968] "ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 10:31 24576] "ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2004-08-20 15:09 66680] "vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2004-11-24 10:27 161496] "PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-11-10 15:06 406016] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" [2005-02-03 07:35 180269] "servicestub.exe"="C:\WINDOWS\servicestub.exe" [2008-01-17 18:33 42941] "htssv32.exe"="C:\WINDOWS\htssv32.exe" [2008-01-20 21:36 31232] "drmsrv32"="C:\cvbkwtb.exe" [2008-01-24 23:10 38912] "SystemSv121"="C:\WINDOWS\system32 2ewma1xxsv234.exe" [2008-01-24 19:35 17270] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "SpybotDeletingA5430"="command /c del C:\WINDOWS\7search.dll_tobedeleted" [ ] "SpybotDeletingC8717"="cmd /c del C:\WINDOWS\7search.dll_tobedeleted" [ ] "SpybotDeletingA7458"="command /c del C:\WINDOWS\settn.dll_tobedeleted" [ ] "SpybotDeletingC2798"="cmd /c del C:\WINDOWS\settn.dll_tobedeleted" [ ] "SpybotDeletingA6188"="command /c del C:\WINDOWS\iexplorr23.dll_tobedeleted" [ ] "SpybotDeletingC4095"="cmd /c del C:\WINDOWS\iexplorr23.dll_tobedeleted" [ ] "SpybotDeletingA9506"="command /c del C:\WINDOWS\system32\ace16win.dll_tobedeleted" [ ] "SpybotDeletingC4151"="cmd /c del C:\WINDOWS\system32\ace16win.dll_tobedeleted" [ ] "SpybotDeletingA3232"="command /c del C:\WINDOWS\system32\wml.exe_tobedeleted" [ ] "SpybotDeletingC8746"="cmd /c del C:\WINDOWS\system32\wml.exe_tobedeleted" [ ] "SpybotDeletingA8048"="command /c del C:\WINDOWS\system32\vxddsk.exe_tobedeleted" [ ] "SpybotDeletingC7184"="cmd /c del C:\WINDOWS\system32\vxddsk.exe_tobedeleted" [ ] "SpybotDeletingA8753"="command /c del C:\Windows\System32\msole32.exe_tobedeleted" [ ] "SpybotDeletingC4444"="cmd /c del C:\Windows\System32\msole32.exe_tobedeleted" [ ] "SpybotDeletingA2162"="command /c del C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ] "SpybotDeletingC4056"="cmd /c del C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ] "SpybotDeletingA8075"="command /c del C:\WINDOWS\pbsysie.dll_tobedeleted" [ ] "SpybotDeletingC2986"="cmd /c del C:\WINDOWS\pbsysie.dll_tobedeleted" [ ] "SpybotDeletingA9573"="command /c del C:\WINDOWS\kvnab.dll_tobedeleted" [ ] "SpybotDeletingC1263"="cmd /c del C:\WINDOWS\kvnab.dll_tobedeleted" [ ] "SpybotDeletingA6284"="command /c del C:\WINDOWS\iexplorr23.dll_tobedeleted" [ ] "SpybotDeletingC6176"="cmd /c del C:\WINDOWS\iexplorr23.dll_tobedeleted" [ ] "SpybotDeletingA4811"="command /c del C:\WINDOWS\system32\ace16win.dll_tobedeleted" [ ] "SpybotDeletingC3431"="cmd /c del C:\WINDOWS\system32\ace16win.dll_tobedeleted" [ ] "SpybotDeletingA2463"="command /c del C:\WINDOWS\system32\vxddsk.exe_tobedeleted" [ ] "SpybotDeletingC7011"="cmd /c del C:\WINDOWS\system32\vxddsk.exe_tobedeleted" [ ] "SpybotDeletingA9265"="command /c del C:\Windows\System32\msole32.exe_tobedeleted" [ ] "SpybotDeletingC4425"="cmd /c del C:\Windows\System32\msole32.exe_tobedeleted" [ ] "SpybotDeletingA8020"="command /c del C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ] "SpybotDeletingC504"="cmd /c del C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ] "SpybotSnD"="C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" [2005-05-31 00:04 4393096] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360] "ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" [2004-03-26 15:26 54384] C:\Documents and Settings\GIGI et PHIL\Menu D‚marrer\Programmes\D‚marrage\ RegFreeze.lnk - C:\Program Files\RegFreeze egfreeze.exe [2008-01-25 22:20:31 3591168] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer un] "g1wShlWw1Z"= rundll32.exe "C:\WINDOWS\edqtkjun.dll",DllCleanServer [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HdReg] --a--c--- 2004-08-09 18:45 24576 C:\APPS\HDREG\HDREGAPP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1] --a------ 2004-08-05 14:00 208952 C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService] --a------ 2004-10-08 03:14 81920 c:\Apps\Powercinema\PCMService.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A] --a------ 2004-08-05 14:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync] --a------ 2004-08-05 14:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2007-09-25 01:11 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08] S1 astq;astq;C:\WINDOWS\system32\drivers\astq.tga [2008-01-22 07:14] S1 fvelwow;fvelwow;C:\WINDOWS\system32\fvelwow.sys [2008-01-23 13:06] S1 lusbaudio;Microphone USB Logitech;C:\WINDOWS\system32\drivers\OVSound2.sys [2001-08-17 22:05] S1 nested;nested;C:\WINDOWS\system32 ested.sys [2008-01-23 18:14] S1 srtwe;srtwe;C:\WINDOWS\system32\drivers\srtwe.sys [2008-01-24 23:10] S1 ztx86;ztx86;C:\WINDOWS\system32\ztx86.sys [2008-01-23 07:18] S2 Ca533av;Polaroid Digital Cam Video;C:\WINDOWS\system32\Drivers\Ca533av.sys [2002-10-21 11:37] S2 Generic Host Process for Win-32 Service;Generic Host Process for Win-32 Service;"C:\WINDOWS\svchost.exe" [] S2 windows mail service;windows mail service;"C:\WINDOWS\mail.exe" [2008-01-17 19:45] S3 QCEmerald;QuickCam Web Logitech;C:\WINDOWS\system32\DRIVERS\OVCE.sys [2001-08-17 22:05] S3 USBCamera;Icatch(IV) Still Camera Device;C:\WINDOWS\system32\Drivers\Bulk533.sys [2002-07-25 11:19] . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2008-01-21 18:00:00 C:\WINDOWS\Tasks\Norton AntiVirus - Analyser mon ordinateur.job" - C:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-26 12:36:49 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... C:\WINDOWS\system32 tos.exe 247296 bytes executable C:\WINDOWS\system32\wsnpoem Scan terminé avec succès Les fichiers cachés: 2 ************************************************************************** . Temps d'accomplissement: 2008-01-26 12:39:30 - machine was rebooted ComboFix-quarantined-files.txt 2008-01-26 11:39:23 . 2008-01-09 18:03:15 --- E O F --- Et HiJackThis: Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 12:43:24, on 26/01/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) Boot mode: Safe mode with network support Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\internet explorer\iexplore.exe C:\WINDOWS\system32\ctfmon.exe C:\Documents and Settings\GIGI et PHIL\Bureau\HiJackThis_v2.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32 tos.exe, O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" -osboot O4 - HKLM\..\Run: [servicestub.exe] C:\WINDOWS\servicestub.exe O4 - HKLM\..\Run: [htssv32.exe] C:\WINDOWS\htssv32.exe O4 - HKLM\..\Run: [drmsrv32] C:\cvbkwtb.exe O4 - HKLM\..\Run: [SystemSv121] C:\WINDOWS\system32 2ewma1xxsv234.exe O4 - HKLM\..\RunOnce: [SpybotDeletingA5430] command /c del "C:\WINDOWS\7search.dll_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingC8717] cmd /c del "C:\WINDOWS\7search.dll_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingA7458] command /c del "C:\WINDOWS\settn.dll_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingC2798] cmd /c del "C:\WINDOWS\settn.dll_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingA6188] command /c del "C:\WINDOWS\iexplorr23.dll_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingC4095] cmd /c del "C:\WINDOWS\iexplorr23.dll_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingA9506] command /c del "C:\WINDOWS\system32\ace16win.dll_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingC4151] cmd /c del "C:\WINDOWS\system32\ace16win.dll_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingA3232] command /c del "C:\WINDOWS\system32\wml.exe_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingC8746] cmd /c del "C:\WINDOWS\system32\wml.exe_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingA8048] command /c del "C:\WINDOWS\system32\vxddsk.exe_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingC7184] cmd /c del "C:\WINDOWS\system32\vxddsk.exe_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingA8753] command /c del "C:\Windows\System32\msole32.exe_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingC4444] cmd /c del "C:\Windows\System32\msole32.exe_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingA2162] command /c del "C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingC4056] cmd /c del "C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingA8075] command /c del "C:\WINDOWS\pbsysie.dll_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingC2986] cmd /c del "C:\WINDOWS\pbsysie.dll_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingA9573] command /c del "C:\WINDOWS\kvnab.dll_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingC1263] cmd /c del "C:\WINDOWS\kvnab.dll_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingA6284] command /c del "C:\WINDOWS\iexplorr23.dll_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingC6176] cmd /c del "C:\WINDOWS\iexplorr23.dll_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingA4811] command /c del "C:\WINDOWS\system32\ace16win.dll_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingC3431] cmd /c del "C:\WINDOWS\system32\ace16win.dll_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingA2463] command /c del "C:\WINDOWS\system32\vxddsk.exe_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingC7011] cmd /c del "C:\WINDOWS\system32\vxddsk.exe_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingA9265] command /c del "C:\Windows\System32\msole32.exe_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingC4425] cmd /c del "C:\Windows\System32\msole32.exe_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingA8020] command /c del "C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingC504] cmd /c del "C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [SpybotDeletingB1935] command /c del "C:\WINDOWS\pbsysie.dll_tobedeleted" O4 - HKCU\..\RunOnce: [SpybotDeletingD5484] cmd /c del "C:\WINDOWS\pbsysie.dll_tobedeleted" O4 - HKCU\..\RunOnce: [SpybotDeletingB9368] command /c del "C:\WINDOWS\kvnab.dll_tobedeleted" O4 - HKCU\..\RunOnce: [SpybotDeletingD4339] cmd /c del "C:\WINDOWS\kvnab.dll_tobedeleted" O4 - HKCU\..\RunOnce: [SpybotDeletingB757] command /c del "C:\WINDOWS\iexplorr23.dll_tobedeleted" O4 - HKCU\..\RunOnce: [SpybotDeletingD7818] cmd /c del "C:\WINDOWS\iexplorr23.dll_tobedeleted" O4 - HKCU\..\RunOnce: [SpybotDeletingB6390] command /c del "C:\WINDOWS\system32\ace16win.dll_tobedeleted" O4 - HKCU\..\RunOnce: [SpybotDeletingD100] cmd /c del "C:\WINDOWS\system32\ace16win.dll_tobedeleted" O4 - HKCU\..\RunOnce: [SpybotDeletingB5869] command /c del "C:\WINDOWS\system32\vxddsk.exe_tobedeleted" O4 - HKCU\..\RunOnce: [SpybotDeletingD4343] cmd /c del "C:\WINDOWS\system32\vxddsk.exe_tobedeleted" O4 - HKCU\..\RunOnce: [SpybotDeletingB8841] command /c del "C:\Windows\System32\msole32.exe_tobedeleted" O4 - HKCU\..\RunOnce: [SpybotDeletingD5410] cmd /c del "C:\Windows\System32\msole32.exe_tobedeleted" O4 - HKCU\..\RunOnce: [SpybotDeletingB3074] command /c del "C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" O4 - HKCU\..\RunOnce: [SpybotDeletingD5974] cmd /c del "C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" O4 - HKLM\..\Policies\Explorer\Run: [g1wShlWw1Z] rundll32.exe "C:\WINDOWS\edqtkjun.dll",DllCleanServer O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: RegFreeze.lnk = C:\Program Files\RegFreeze egfreeze.exe O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\microsoft office\Office\OSA.EXE O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\microsoft office\Office\FINDFAST.EXE O8 - Extra context menu item: &Search - http://kx.bar.need2find.com/KX/menusearch.html?p=KX O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Search and Remove Spyware - {CDB280E8-BE43-4128-8A5A-3FCD094E2D88} - C:\Program Files\RegFreeze fsearchhandler.dll O9 - Extra 'Tools' menuitem: Search and Remove Spyware - {CDB280E8-BE43-4128-8A5A-3FCD094E2D88} - C:\Program Files\RegFreeze fsearchhandler.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - (no file) O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: XenaDot Software - {CD5E2AC9-25CE-A1C5-D1E2-DC6B28A6ED5A} - (no file) O22 - SharedTaskScheduler: {874443fe-aa33-4ebf-a6ac-73208787e62d} - bestreak - (no file) O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: Generic Host Process for Win-32 Service - Unknown owner - C:\WINDOWS\svchost.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe O23 - Service: windows mail service - Unknown owner - C:\WINDOWS\mail.exe O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

g!rly · Answer

aie aie aie...

Copie le texte ci-dessous :

File::
C:\cvbkwtb.exe
C:\WINDOWS\servicestub.exe
C:\WINDOWS\system32
2ewma1xxsv234.exe
C:\WINDOWS\edqtkjun.dll
C:\WINDOWS\system32\drivers\astq.tga

Driver::astq

Folder::
C:\Program Files\RegFreeze

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingB1935"=-
"SpybotDeletingD5484"=-
"SpybotDeletingB9368"=-
"SpybotDeletingD4339"=-
"SpybotDeletingB757"=-
"SpybotDeletingD7818"=-
"SpybotDeletingB6390"=-
"SpybotDeletingD100"=-
"SpybotDeletingB5869"=-
"SpybotDeletingD4343"=-
"SpybotDeletingB8841"=-
"SpybotDeletingD5410"=-
"SpybotDeletingB3074"=-
"SpybotDeletingD5974"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"drmsrv32"=-
"servicestub.exe"=-
"SystemSv121"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingA5430"=-
"SpybotDeletingC8717"=-
"SpybotDeletingA7458"=-
"SpybotDeletingC2798"=-
"SpybotDeletingA6188"=-
"SpybotDeletingC4095"=-
"SpybotDeletingA9506"=-
"SpybotDeletingC4151"=-
"SpybotDeletingA3232"=-
"SpybotDeletingC8746"=-
"SpybotDeletingA8048"=-
"SpybotDeletingC7184"=-
"SpybotDeletingA8753"=-
"SpybotDeletingC4444"=-
"SpybotDeletingA2162"=-
"SpybotDeletingC4056"=-
"SpybotDeletingA8075"=-
"SpybotDeletingC2986"=-
"SpybotDeletingA9573"=-
"SpybotDeletingC1263"=-
"SpybotDeletingA6284"=-
"SpybotDeletingC6176"=-
"SpybotDeletingA4811"=-
"SpybotDeletingC3431"=-
"SpybotDeletingA2463"=-
"SpybotDeletingC7011"=-
"SpybotDeletingA9265"=-
"SpybotDeletingC4425"=-
"SpybotDeletingA8020"=-
"SpybotDeletingC504"=-
"SpybotSnD"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorerun]
"g1wShlWw1Z"=-

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix, 

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

@+

nfren · Answer

Rapport Combofix ComboFix 08-01-23.1C - GIGI et PHIL 2008-01-26 13:57:18.2 - NTFSx86 NETWORK Microsoft Windows XP Édition familiale 5.1.2600.2.1252.34.1036.18.328 [GMT 1:00] Endroit: C:\Documents and Settings\GIGI et PHIL\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\GIGI et PHIL\Bureau\CFScript.txt FILE C:\cvbkwtb.exe C:\WINDOWS\edqtkjun.dll C:\WINDOWS\servicestub.exe C:\WINDOWS\system32\drivers\astq.tga C:\WINDOWS\system32\n2ewma1xxsv234.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\cvbkwtb.exe C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\CnsMin.zip C:\Program Files\akl C:\Program Files\p2pnetworks C:\WINDOWS\edqtkjun.dll C:\WINDOWS\servicestub.exe C:\WINDOWS\system32\acespy C:\WINDOWS\system32\drivers\astq.tga C:\WINDOWS\system32\n2ewma1xxsv234.exe . ((((((((((((((((((((((((((((( Fichiers créés 2007-12-26 to 2008-01-26 )))))))))))))))))))))))))))))))))))) . 2008-01-26 12:25 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe 2008-01-25 21:14 . 2008-01-25 21:13 13,312 --a------ C:\WINDOWS\system32\mssrv32.exe 2008-01-24 23:10 . 2008-01-24 23:10 54,764 --a------ C:\WINDOWS\system32\drivers\srtwe.sys 2008-01-24 19:42 . 2008-01-24 19:42 129,792 --a------ C:\WINDOWS\system32\burito57d3-6132.sys 2008-01-24 19:42 . 2008-01-24 19:42 40,845 --a------ C:\WINDOWS\system32\burito.ini 2008-01-24 19:19 . 2008-01-26 13:12 d--hs---- C:\WINDOWS\system32\wsnpoem 2008-01-23 22:44 . 2008-01-23 22:44 d-------- C:\Program Files\Dot1XCfg 2008-01-23 22:41 . 2008-01-24 23:11 36,864 --a------ C:\WINDOWS\mrofinu1148.exe.tmp 2008-01-23 22:40 . 2008-01-23 22:40 54,764 --a------ C:\WINDOWS\system32\jecsst.sys 2008-01-23 22:40 . 2004-08-05 14:00 25,088 --a------ C:\WINDOWS\system32\userini.exe 2008-01-23 22:40 . 2008-01-23 22:40 11,063 --a--c--- C:\bhij.exe 2008-01-23 22:40 . 2008-01-24 23:10 3,584 --a--c--- C:\tuwwp.exe 2008-01-23 18:14 . 2008-01-23 18:14 54,764 --a------ C:\WINDOWS\system32\nested.sys 2008-01-23 13:06 . 2008-01-23 13:06 54,764 --a------ C:\WINDOWS\system32\fvelwow.sys 2008-01-23 13:06 . 2008-01-23 13:06 29,184 --a--c--- C:\hkdjqaxv.exe 2008-01-23 07:18 . 2008-01-23 07:18 54,764 --a------ C:\WINDOWS\system32\ztx86.sys 2008-01-22 07:15 . 2008-01-22 07:15 d-------- C:\WINDOWS\leunemdf 2008-01-22 07:14 . 2008-01-22 07:14 89,607 --a------ C:\WINDOWS\wnclmpkx.exe 2008-01-22 07:14 . 2008-01-22 07:14 89,607 --a------ C:\WINDOWS\system32\rxjddnvj.exe 2008-01-22 07:14 . 2008-01-24 23:10 58,368 --a--c--- C:\upaq.exe 2008-01-22 07:14 . 2008-01-22 07:14 46,592 --a------ C:\WINDOWS\vqlizudo.exe 2008-01-22 07:14 . 2008-01-24 23:10 2 --a--c--- C:\143394757 2008-01-20 21:36 . 2008-01-20 21:36 31,232 -r-hs---- C:\WINDOWS\htssv32.exe 2008-01-19 19:34 . 1996-08-20 20:37 15,840 --a------ C:\WINDOWS\system32\Machnm1.exe 2008-01-19 19:34 . 2005-09-25 16:37 5,632 --a------ C:\WINDOWS\system32\Machnm64.sys 2008-01-19 19:34 . 2008-01-19 19:34 3,120 --a------ C:\WINDOWS\system32\118290.54 2008-01-19 19:34 . 2008-01-19 19:34 3,120 --a------ C:\WINDOWS\118294.78 2008-01-19 19:34 . 2003-08-13 00:27 2,304 --a------ C:\WINDOWS\system32\Machnm32.sys 2008-01-17 19:45 . 2008-01-17 19:45 565,248 -r-hs---- C:\WINDOWS\mail.exe 2008-01-10 19:29 . 2008-01-10 19:29 d-------- C:\Program Files\iView Catalog Reader3 . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-26 11:59 98,304 ----a-w C:\WINDOWS\DUMP84c0.tmp 2008-01-25 06:20 98,304 ----a-w C:\WINDOWS\DUMP975e.tmp 2008-01-24 22:10 46,080 ----a-w C:\WINDOWS\system32\ftp.exe 2008-01-24 22:10 17,920 ----a-w C:\WINDOWS\system32\tftp.exe 2008-01-24 21:27 --------- d-----w C:\Program Files\Symantec AntiVirus 2008-01-23 21:40 7,168 --sha-w C:\WINDOWS\system32\userinit.exe 2008-01-20 13:18 --------- d-----w C:\Program Files\MP3 Player Utilities 3.57 2008-01-19 19:24 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-01-18 08:26 --------- d-----w C:\Program Files\eMule 2007-12-02 16:20 --------- d-----w C:\Program Files\Java 2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\system32\lsasrv.dll 2007-11-07 09:28 728,576 ------w C:\WINDOWS\system32\dllcache\lsasrv.dll 2007-11-02 16:31 701,440 ---h--w C:\WINDOWS\system32\wodfamoh.dll 2007-10-30 23:23 3,590,656 ------w C:\WINDOWS\system32\dllcache\mshtml.dll 2007-10-30 17:20 360,064 ------w C:\WINDOWS\system32\dllcache\tcpip.sys 2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll 2007-10-29 22:43 1,293,824 ------w C:\WINDOWS\system32\dllcache\quartz.dll 2006-04-25 17:00 1,694,551 -c--a-w C:\Program Files\aaw6181.exe 2006-04-23 10:55 1,760,378 -c--a-w C:\Program Files\aaw6.exe 2004-08-05 13:00 73,728 -csha-w C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe . ((((((((((((((((((((((((((((( snapshot@2008-01-26_12.38.09.42 ))))))))))))))))))))))))))))))))))))))))) . - 2008-01-26 11:25:43 557,056 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000001\NTUSER.DAT + 2008-01-26 12:57:00 557,056 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000001\NTUSER.DAT - 2008-01-26 11:25:44 331,776 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000002\UsrClass.dat + 2008-01-26 12:57:00 331,776 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000002\UsrClass.dat - 2008-01-26 11:25:44 557,056 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000003\NTUSER.DAT + 2008-01-26 12:57:00 557,056 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000003\NTUSER.DAT - 2008-01-26 11:25:44 331,776 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000004\UsrClass.dat + 2008-01-26 12:57:00 331,776 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000004\UsrClass.dat - 2008-01-26 11:25:44 7,225,344 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000005\NTUSER.DAT + 2008-01-26 12:57:00 7,225,344 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000005\NTUSER.DAT - 2008-01-26 11:25:44 737,280 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000006\UsrClass.dat + 2008-01-26 12:57:00 737,280 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000006\UsrClass.dat - 2008-01-26 11:35:35 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2008-01-26 12:01:57 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat - 2008-01-26 11:35:35 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat + 2008-01-26 12:01:57 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat - 2008-01-26 11:35:35 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat + 2008-01-26 12:01:57 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat + 2008-01-26 12:02:16 59,640 ------w C:\WINDOWS\system32\wsnpoem\video.dll . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "SpybotDeletingB6503"="command /c del C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ] "SpybotDeletingD8956"="cmd /c del C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ] "SpybotDeletingB565"="command /c del C:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" [ ] "SpybotDeletingD4274"="cmd /c del C:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" [ ] "SpybotDeletingB715"="command /c del C:\WINDOWS\system32\m1ax1d12132116143v.exe_tobedeleted" [ ] "SpybotDeletingD1007"="cmd /c del C:\WINDOWS\system32\m1ax1d12132116143v.exe_tobedeleted" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 15:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe] "SoundMan"="SOUNDMAN.EXE" [] "ATIPTA"="C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-12 21:10 339968] "ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 10:31 24576] "ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2004-08-20 15:09 66680] "vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2004-11-24 10:27 161496] "PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-11-10 15:06 406016] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-02-03 07:35 180269] "htssv32.exe"="C:\WINDOWS\htssv32.exe" [2008-01-20 21:36 31232] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "SpybotDeletingA195"="command /c del C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ] "SpybotDeletingC4392"="cmd /c del C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ] "SpybotDeletingA240"="command /c del C:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" [ ] "SpybotDeletingC8515"="cmd /c del C:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" [ ] "SpybotDeletingA2375"="command /c del C:\WINDOWS\system32\m1ax1d12132116143v.exe_tobedeleted" [ ] "SpybotDeletingC2421"="cmd /c del C:\WINDOWS\system32\m1ax1d12132116143v.exe_tobedeleted" [ ] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360] "ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" [2004-03-26 15:26 54384] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HdReg] --a--c--- 2004-08-09 18:45 24576 C:\APPS\HDREG\HDREGAPP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1] --a------ 2004-08-05 14:00 208952 C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService] --a------ 2004-10-08 03:14 81920 c:\Apps\Powercinema\PCMService.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A] --a------ 2004-08-05 14:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync] --a------ 2004-08-05 14:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2007-09-25 01:11 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08] S1 astq;astq;C:\WINDOWS\system32\drivers\astq.tga [] S1 fvelwow;fvelwow;C:\WINDOWS\system32\fvelwow.sys [2008-01-23 13:06] S1 lusbaudio;Microphone USB Logitech;C:\WINDOWS\system32\drivers\OVSound2.sys [2001-08-17 22:05] S1 nested;nested;C:\WINDOWS\system32\nested.sys [2008-01-23 18:14] S1 srtwe;srtwe;C:\WINDOWS\system32\drivers\srtwe.sys [2008-01-24 23:10] S1 ztx86;ztx86;C:\WINDOWS\system32\ztx86.sys [2008-01-23 07:18] S2 Ca533av;Polaroid Digital Cam Video;C:\WINDOWS\system32\Drivers\Ca533av.sys [2002-10-21 11:37] S2 Generic Host Process for Win-32 Service;Generic Host Process for Win-32 Service;"C:\WINDOWS\svchost.exe" [] S2 windows mail service;windows mail service;"C:\WINDOWS\mail.exe" [2008-01-17 19:45] S3 QCEmerald;QuickCam Web Logitech;C:\WINDOWS\system32\DRIVERS\OVCE.sys [2001-08-17 22:05] S3 USBCamera;Icatch(IV) Still Camera Device;C:\WINDOWS\system32\Drivers\Bulk533.sys [2002-07-25 11:19] . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2008-01-21 18:00:00 C:\WINDOWS\Tasks\Norton AntiVirus - Analyser mon ordinateur.job" - C:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exeh/task: . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-26 14:02:09 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... C:\WINDOWS\system32\ntos.exe 247296 bytes executable Scan terminé avec succès Les fichiers cachés: 1 ************************************************************************** . Temps d'accomplissement: 2008-01-26 14:03:32 ComboFix-quarantined-files.txt 2008-01-26 13:03:27 ComboFix2.txt 2008-01-26 11:39:31 . 2008-01-09 18:03:15 --- E O F --- Rapport HiJackThis: Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 14:05:38, on 26/01/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) Boot mode: Safe mode with network support Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\internet explorer\iexplore.exe C:\WINDOWS\explorer.exe C:\Documents and Settings\GIGI et PHIL\Bureau\HiJackThis_v2.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [htssv32.exe] C:\WINDOWS\htssv32.exe O4 - HKLM\..\RunOnce: [SpybotDeletingA195] command /c del "C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingC4392] cmd /c del "C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingA240] command /c del "C:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingC8515] cmd /c del "C:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingA2375] command /c del "C:\WINDOWS\system32\m1ax1d12132116143v.exe_tobedeleted" O4 - HKLM\..\RunOnce: [SpybotDeletingC2421] cmd /c del "C:\WINDOWS\system32\m1ax1d12132116143v.exe_tobedeleted" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [SpybotDeletingB6503] command /c del "C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" O4 - HKCU\..\RunOnce: [SpybotDeletingD8956] cmd /c del "C:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" O4 - HKCU\..\RunOnce: [SpybotDeletingB565] command /c del "C:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" O4 - HKCU\..\RunOnce: [SpybotDeletingD4274] cmd /c del "C:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" O4 - HKCU\..\RunOnce: [SpybotDeletingB715] command /c del "C:\WINDOWS\system32\m1ax1d12132116143v.exe_tobedeleted" O4 - HKCU\..\RunOnce: [SpybotDeletingD1007] cmd /c del "C:\WINDOWS\system32\m1ax1d12132116143v.exe_tobedeleted" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: RegFreeze.lnk = C:\Program Files\RegFreeze\regfreeze.exe O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\microsoft office\Office\OSA.EXE O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\microsoft office\Office\FINDFAST.EXE O8 - Extra context menu item: &Search - http://kx.bar.need2find.com/KX/menusearch.html?p=KX O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - (no file) O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: XenaDot Software - {CD5E2AC9-25CE-A1C5-D1E2-DC6B28A6ED5A} - (no file) O22 - SharedTaskScheduler: {874443fe-aa33-4ebf-a6ac-73208787e62d} - bestreak - (no file) O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: Generic Host Process for Win-32 Service - Unknown owner - C:\WINDOWS\svchost.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe O23 - Service: windows mail service - Unknown owner - C:\WINDOWS\mail.exe O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

g!rly · Answer

re,

on va le refaire, j´ai fais une faute dans le scripte...

a l´aide de hijack this coche ceci :

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32
tos.exe,
O8 - Extra context menu item: &Search - http://kx.bar.need2find.com/KX/menusearch.html?p=KX
O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - (no file)
O22 - SharedTaskScheduler: XenaDot Software - {CD5E2AC9-25CE-A1C5-D1E2-DC6B28A6ED5A} - (no file)
O22 - SharedTaskScheduler: {874443fe-aa33-4ebf-a6ac-73208787e62d} - bestreak - (no file)

comment fixer :

Tutoriel d´utilisation (video) :

-> http://pageperso.aol.fr/balltrap34/demohijack.htm

Copie le texte ci-dessous :

File::
C:\WINDOWS\htssv32.exe
C:\WINDOWS\system32
tos.exe
C:\WINDOWS\system32\drivers\astq.tga

Folder::

Driver::
astq

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingB6503"=-
"SpybotDeletingD8956"=-
"SpybotDeletingB565"=-
"SpybotDeletingD4274"=-
"SpybotDeletingB715"=-
"SpybotDeletingD1007"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingA195"=-
"SpybotDeletingC4392"=-
"SpybotDeletingA240"=-
"SpybotDeletingC8515"=-
"SpybotDeletingA2375"=-
"SpybotDeletingC2421"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"htssv32.exe"=-

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix, 


Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

puis apres avoir redemarrer avant de me poster les nouveaux rapports, fais ceci :

1°- « Démarrer » > « Executer » > taper cmd > valide par ok

sc stop "Generic Host Process for Win-32 Service" ==> [Enter]
sc config "Generic Host Process for Win-32 Service" start= disabled ==> [Enter]

2°- Redémarre MSE (mode sans echec ).Choisis ton compte usuel, et non Administrateur.

3°- « Démarrer » > « Executer » > taper cmd > valide par ok

sc delete "Generic Host Process for Win-32 Service" ==> [Enter] 

comment redemarrer en mode sans echec :

Tu redemarre le pc et tapote la touche F8 des le début de l allumage sans t´arrêter.
   Une fenêtre sur fond noir va s’ouvrir, tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
   capture d´ecran : http://www.coupdepoucepc.com/images_cdppc4/fichespratiques/windowsxp/modese/modese2.jpg
   Une fois sur le bureau si il n y a pas toutes les couleurs et autres c´est normal!
   Ps : si F8 ne marche pas utilise la touche F5.

@+

nfren · Answer

Je pense avoir tout fait dans l'ordre! Voici le rapport combofix: ComboFix 08-01-23.1C - GIGI et PHIL 2008-01-26 14:36:19.3 - NTFSx86 NETWORK Microsoft Windows XP Édition familiale 5.1.2600.2.1252.34.1036.18.305 [GMT 1:00] Endroit: C:\Documents and Settings\GIGI et PHIL\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\GIGI et PHIL\Bureau\CFScript.txt FILE C:\WINDOWS\htssv32.exe C:\WINDOWS\system32\drivers\astq.tga C:\WINDOWS\system32 tos.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\htssv32.exe . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\astq ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-26 to 2008-01-26 )))))))))))))))))))))))))))))))))))) . 2008-01-26 12:25 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe 2008-01-25 21:14 . 2008-01-25 21:13 13,312 --a------ C:\WINDOWS\system32\mssrv32.exe 2008-01-24 23:10 . 54,764 C:\WINDOWS\system32\drivers\srtwe.sys 2008-01-24 19:42 . 2008-01-24 19:42 129,792 --a------ C:\WINDOWS\system32\burito57d3-6132.sys 2008-01-24 19:42 . 2008-01-24 19:42 40,845 --a------ C:\WINDOWS\system32\burito.ini 2008-01-24 19:19 . 2008-01-26 14:42 d--hs---- C:\WINDOWS\system32\wsnpoem 2008-01-23 22:44 . 2008-01-23 22:44 d-------- C:\Program Files\Dot1XCfg 2008-01-23 22:41 . 2008-01-24 23:11 36,864 --a------ C:\WINDOWS\mrofinu1148.exe.tmp 2008-01-23 22:40 . 2008-01-23 22:40 54,764 --a------ C:\WINDOWS\system32\jecsst.sys 2008-01-23 22:40 . 2004-08-05 14:00 25,088 --a------ C:\WINDOWS\system32\userini.exe 2008-01-23 22:40 . 2008-01-23 22:40 11,063 --a--c--- C:\bhij.exe 2008-01-23 22:40 . 2008-01-24 23:10 3,584 --a--c--- C: uwwp.exe 2008-01-23 18:14 . 54,764 C:\WINDOWS\system32 ested.sys 2008-01-23 13:06 . 54,764 C:\WINDOWS\system32\fvelwow.sys 2008-01-23 13:06 . 2008-01-23 13:06 29,184 --a--c--- C:\hkdjqaxv.exe 2008-01-23 07:18 . 54,764 C:\WINDOWS\system32\ztx86.sys 2008-01-22 07:15 . 2008-01-22 07:15 d-------- C:\WINDOWS\leunemdf 2008-01-22 07:14 . 2008-01-22 07:14 89,607 --a------ C:\WINDOWS\wnclmpkx.exe 2008-01-22 07:14 . 2008-01-22 07:14 89,607 --a------ C:\WINDOWS\system32 xjddnvj.exe 2008-01-22 07:14 . 2008-01-24 23:10 58,368 --a--c--- C:\upaq.exe 2008-01-22 07:14 . 2008-01-22 07:14 46,592 --a------ C:\WINDOWS\vqlizudo.exe 2008-01-22 07:14 . 2008-01-24 23:10 2 --a--c--- C:\143394757 2008-01-19 19:34 . 1996-08-20 20:37 15,840 --a------ C:\WINDOWS\system32\Machnm1.exe 2008-01-19 19:34 . 2005-09-25 16:37 5,632 --a------ C:\WINDOWS\system32\Machnm64.sys 2008-01-19 19:34 . 2008-01-19 19:34 3,120 --a------ C:\WINDOWS\system32\118290.54 2008-01-19 19:34 . 2008-01-19 19:34 3,120 --a------ C:\WINDOWS\118294.78 2008-01-19 19:34 . 2003-08-13 00:27 2,304 --a------ C:\WINDOWS\system32\Machnm32.sys 2008-01-17 19:45 . 2008-01-17 19:45 565,248 -r-hs---- C:\WINDOWS\mail.exe 2008-01-10 19:29 . 2008-01-10 19:29 d-------- C:\Program Files\iView Catalog Reader3 . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-26 13:41 --------- d-----w C:\Program Files\Symantec AntiVirus 2008-01-26 11:59 98,304 ----a-w C:\WINDOWS\DUMP84c0.tmp 2008-01-25 06:20 98,304 ----a-w C:\WINDOWS\DUMP975e.tmp 2008-01-20 13:18 --------- d-----w C:\Program Files\MP3 Player Utilities 3.57 2008-01-19 19:24 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-01-18 08:26 --------- d-----w C:\Program Files\eMule 2007-12-02 16:20 --------- d-----w C:\Program Files\Java 2006-04-25 17:00 1,694,551 -c--a-w C:\Program Files\aaw6181.exe 2006-04-23 10:55 1,760,378 -c--a-w C:\Program Files\aaw6.exe 2004-08-05 13:00 73,728 -csha-w C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe . Et HiJackThis Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 15:11, on 2008-01-26 Platform: Windows XP SP2 (WinNT 5.01.2600) Boot mode: Safe mode with network support Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\internet explorer\iexplore.exe C:\WINDOWS\system32\ctfmon.exe C:\Documents and Settings\GIGI et PHIL\Bureau\HiJackThis_v2.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32 tos.exe, O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe" -osboot O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: RegFreeze.lnk = C:\Program Files\RegFreeze egfreeze.exe O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\microsoft office\Office\OSA.EXE O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\microsoft office\Office\FINDFAST.EXE O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe O23 - Service: windows mail service - Unknown owner - C:\WINDOWS\mail.exe O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

g!rly · Answer

re,

peux tu poster le combofix en entier stp

@+

nfren · Answer

Revoilà le rapport Combofix. ComboFix 08-01-23.1C - GIGI et PHIL 2008-01-26 14:36:19.3 - NTFSx86 NETWORK Microsoft Windows XP Édition familiale 5.1.2600.2.1252.34.1036.18.305 [GMT 1:00] Endroit: C:\Documents and Settings\GIGI et PHIL\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\GIGI et PHIL\Bureau\CFScript.txt FILE C:\WINDOWS\htssv32.exe C:\WINDOWS\system32\drivers\astq.tga C:\WINDOWS\system32 tos.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\htssv32.exe . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\astq ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-26 to 2008-01-26 )))))))))))))))))))))))))))))))))))) . 2008-01-26 12:25 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe 2008-01-25 21:14 . 2008-01-25 21:13 13,312 --a------ C:\WINDOWS\system32\mssrv32.exe 2008-01-24 23:10 . 54,764 C:\WINDOWS\system32\drivers\srtwe.sys 2008-01-24 19:42 . 2008-01-24 19:42 129,792 --a------ C:\WINDOWS\system32\burito57d3-6132.sys 2008-01-24 19:42 . 2008-01-24 19:42 40,845 --a------ C:\WINDOWS\system32\burito.ini 2008-01-24 19:19 . 2008-01-26 14:42 d--hs---- C:\WINDOWS\system32\wsnpoem 2008-01-23 22:44 . 2008-01-23 22:44 d-------- C:\Program Files\Dot1XCfg 2008-01-23 22:41 . 2008-01-24 23:11 36,864 --a------ C:\WINDOWS\mrofinu1148.exe.tmp 2008-01-23 22:40 . 2008-01-23 22:40 54,764 --a------ C:\WINDOWS\system32\jecsst.sys 2008-01-23 22:40 . 2004-08-05 14:00 25,088 --a------ C:\WINDOWS\system32\userini.exe 2008-01-23 22:40 . 2008-01-23 22:40 11,063 --a--c--- C:\bhij.exe 2008-01-23 22:40 . 2008-01-24 23:10 3,584 --a--c--- C: uwwp.exe 2008-01-23 18:14 . 54,764 C:\WINDOWS\system32 ested.sys 2008-01-23 13:06 . 54,764 C:\WINDOWS\system32\fvelwow.sys 2008-01-23 13:06 . 2008-01-23 13:06 29,184 --a--c--- C:\hkdjqaxv.exe 2008-01-23 07:18 . 54,764 C:\WINDOWS\system32\ztx86.sys 2008-01-22 07:15 . 2008-01-22 07:15 d-------- C:\WINDOWS\leunemdf 2008-01-22 07:14 . 2008-01-22 07:14 89,607 --a------ C:\WINDOWS\wnclmpkx.exe 2008-01-22 07:14 . 2008-01-22 07:14 89,607 --a------ C:\WINDOWS\system32 xjddnvj.exe 2008-01-22 07:14 . 2008-01-24 23:10 58,368 --a--c--- C:\upaq.exe 2008-01-22 07:14 . 2008-01-22 07:14 46,592 --a------ C:\WINDOWS\vqlizudo.exe 2008-01-22 07:14 . 2008-01-24 23:10 2 --a--c--- C:\143394757 2008-01-19 19:34 . 1996-08-20 20:37 15,840 --a------ C:\WINDOWS\system32\Machnm1.exe 2008-01-19 19:34 . 2005-09-25 16:37 5,632 --a------ C:\WINDOWS\system32\Machnm64.sys 2008-01-19 19:34 . 2008-01-19 19:34 3,120 --a------ C:\WINDOWS\system32\118290.54 2008-01-19 19:34 . 2008-01-19 19:34 3,120 --a------ C:\WINDOWS\118294.78 2008-01-19 19:34 . 2003-08-13 00:27 2,304 --a------ C:\WINDOWS\system32\Machnm32.sys 2008-01-17 19:45 . 2008-01-17 19:45 565,248 -r-hs---- C:\WINDOWS\mail.exe 2008-01-10 19:29 . 2008-01-10 19:29 d-------- C:\Program Files\iView Catalog Reader3 . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-26 13:41 --------- d-----w C:\Program Files\Symantec AntiVirus 2008-01-26 11:59 98,304 ----a-w C:\WINDOWS\DUMP84c0.tmp 2008-01-25 06:20 98,304 ----a-w C:\WINDOWS\DUMP975e.tmp 2008-01-20 13:18 --------- d-----w C:\Program Files\MP3 Player Utilities 3.57 2008-01-19 19:24 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-01-18 08:26 --------- d-----w C:\Program Files\eMule 2007-12-02 16:20 --------- d-----w C:\Program Files\Java 2006-04-25 17:00 1,694,551 -c--a-w C:\Program Files\aaw6181.exe 2006-04-23 10:55 1,760,378 -c--a-w C:\Program Files\aaw6.exe 2004-08-05 13:00 73,728 -csha-w C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe .

g!rly · Answer

re,

il n´est toujours pas entier...

tu peux comparer avec le premier que tu as posté, tu verras la difference...

@+

nfren · Answer

Désolé, mais c'est bien tout ce qu'il y a dans le fichier combofix.txt!
Aurai-je fait une mauvaise manoeuvre?

g!rly · Answer

salut nfren,

bon passons sur combofix,

peux tu faire ceci :

1
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

2
Télécharge ComboScan sur ton Bureau en bas de cette pae en clickant sur download file

-> http://www.geekstogo.com/forum/files/

Ferme toutes les applications en cours : antivirus, pare-feu, etc ..
Double-clic sur comboscan.exe, dans la fenêtre qui s'affiche, clic sur OK.
Soit patient...
Le rapport Comboscan.txt s'affichera, copie et colle le contenu de ce fichier ici.

Le rapport peut-être long et en deux morceaux vérifie qu'il soit en entier.

@+

nfren · Answer

Salut,
SDFix a l'air d'avoir fait de l'effet!!
DSS (apparemment nouveau nom de comboscan?) m'a donné 2 rapports:
main.txt que voilà (en entier car j'ai fait selectionner tout!!!)

Deckard's System Scanner v20071014.68
Run by GIGI et PHIL on 2008-01-27 18:04:02
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 2 Restore Point(s) --
2: 2008-01-27 17:04:08 UTC - RP2 - Deckard's System Scanner Restore Point
1: 2008-01-26 17:54:41 UTC - RP1 - Point de vérification système


Backed up registry hives.
Performed disk cleanup.



-- HijackThis Clone ------------------------------------------------------------


Emulating logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2008-01-27 18:05:44
Platform: Windows XP Service Pack 2 (5.01.2600)
MSIE: Internet Explorer (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\APPS\ABOARD\ABOARD.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Symantec AntiVirus\VPTray.exe
C:\APPS\ABOARD\AOSD.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\microsoft office\Office\OSA.EXE
C:\Documents and Settings\GIGI et PHIL\Bureau\dss.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.com/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?gws_rd=ssl
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'Default user')
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\microsoft office\Office\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\microsoft office\Office\FINDFAST.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\MSN Messenger\msgrapp.8.1.0178.00.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\MSN Messenger\msgrapp.8.1.0178.00.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MysqlInventime - Unknown owner - C:\mysql\bin\mysqld-nt.exe
O23 - Service: SavRoam - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: SmartLinkService (SLService) - Unknown owner - C:\WINDOWS\system32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

g!rly · Answer

oui ca a l´air beaucoup mieux ;-)

fais ceci maintenant :

Scan en ligne bitdefender :

https://www.bitdefender.com/toolbox/

Clicker sur " I agree " et suivre les indications 

A faire imperativement sous internet explorer, en acceptant l´activ x

tutoriel en image en image

http://pageperso.aol.fr/rginformatique/mapage/defender.htm

pot le rapport ici stp

@+

nfren · Answer

Voici le rapport

g!rly · Answer

re,
oui, ou ca?
@+

nfren · Answer

Oups!
Le rapport est tellement long qu'il n'a pas l'air de vouloir passer! Je l'ai sauvegardé sur le bureau, mais il semble bourré d'indications de mise en forme qui le surcharge. Aurai-je loupé un épisode lors de sa sauvegarde (choix d'un autre format que .txt?)
Merci

nfren · Answer

Bjs,
Je suis obligé de continuer la discussion du boulot car ce matin, je n'ai pas pu redémarrer mon micro!!
En mode normal, le fond de bureau apparaît et une fenêtre s'affiche disant qu'une application demande le transfert d'une clef personnelle. C'est win32/btos.exe. Quand j'annule cette demande (qui me paraît très suspecte!!), plus rien ne se passe. En mode sans échec (avec ou sans connection réseau), même chose sur fond noir!!
Je ne vois vraiment pas quoi faire!!!

g!rly · Answer

salut nfren

peux tu essayer de demarrer comme ceci 

juste avant d´avoir le message appuie simultanement sur ctrl+alt+sup

dis moi quoi

@+

nfren · Answer

Salut,
J'essaie ça ce soir dès que je rentre à la maison!
A+

g!rly · Answer

ok; 

@+

nfren · Answer

Bonsoir, 
J'ai fait ce que tu me propose. Je n'ai pas redémarré, mais une fenetre avec les processus actif s s'est ouverte. A partir de là dans le menu de cette fenetre, j'ai pu lancer IE7. La navigation est très lente mais c'est mieux que rien.Je te liste les processus actif car il y en a peut-etre un qui est la cause de mes ennuis est qu'il faut terminer pour que le démarrage de windows se fasse normalement jusqu'au bout!?
DefWatch.exe
guard.exe
ntos.exe (c'est celui là qui semble vouloir une clef de mes données perso. J'ai essayé de le terminer, mais ça n'a rien fait!)
taskmgr.exe
alg.exe
sploolsv.exe
ccEvtmgr.exe
ccSetMgr.exe
svchost.exe (5 fois)
Isass.exe
services.exe
winlogon.exe
csrss.exe
Rtvscan.exe
svchost.exe (encore une fois!!)
smss.exe
slserv.exe
System
Processus inactif...SYSTEM
J'attends avec impatience tes consignes!!
A+

jimbob · Answer

salut!:
un conseil pour l’avenir su tu es sur XP
Pour ne  pas attraper de virus pas il ne faut jamais  utiliser XP en mode Administrateur
Windows XP crée un compte Administrateur pendant la procédure d'installation. La plupart des utilisateurs se simplifient la vie, croient-ils, en conservant ce compte pour exploiter leur machine. Un virus, un cheval de Troie ou  une fausse manipulation peut donner le contrôle à un attaquant extérieur qui en tant qu'Administrateur aura alors tous pouvoirs pour supprimer des comptes, changer les mots de passe, installer des logiciels, supprimer les fichiers, etc...
En revanche, si vous utilisez votre machine avec des droits réduits, Utilisateur ou Utilisateur avec pouvoir, les dégâts possibles seront très limités. Je vous conseille donc de créer un utilisateur et d'utiliser ce mode pour travailler. Il suffira de repasser en mode Administrateur le temps nécessaire pour installer de nouveaux logiciels ou pour faire des opérations sur le système. Pour ceux qui ont besoin de repasser souvent en mode Administrateur, il existe une commande Exécuter comme... (en faisant clic droit) qui permet d'exécuter un programme en mode administrateur sans changer de session.

Plus de précision ici :
https://www.figer.com/Publications/xpgroupes.htm

g!rly · Answer

salut nfren,

arrives tu as demarrer en mode sans echec et refaire aparaitre le gestionnaire des tache et la, arreter le processus ntos.exe, car je ne voie rien d´autre qui soit alarmant...

@+

nfren · Answer

Re,
Ca rame du tonnerre, mais avec un peu de patience je finis par pouvoir te répondre! Non, je ne suis pas arrive a demarrer en mode sans echec. Ca bloque sur un ecran tout noir et au bout d'un certain temps (pour ne pas dire un temps certain) ca redemarre!
Par contre en mode normal je peux arreter ntos.exe. Je peux accéder par la fenetre aux logiciels installes dans le micro, mais les temps de reaction sont tres longs!!
Demain je dois recuperer aupres d'un ami un CD win XP, j'espère que cela me permettra de démarrer le micro jusqu'au bout!!
Pour ce soir je vais arreter la (la journee demarre tres tot demain!), mais n'hesite pas a me faire des propositions d'actions que j'essaierai de mettre en oeuvre des demain soir!
Encore merci pour ta patience et ton aide
A+

g!rly · Answer

re,

ok si tu arrives a arreter le processus ntos.exe c´est deja ca, c´est une bonne idée que d´essayer de réparer windows grace au cd de ton ami.

bon courrage ;-)

tiens moi au courrant.

@demain, bonne nuit.

nfren · Answer

Salut,
En donnant une dernière chance a mon micro ce matin de demarrer en mode sans échec, et bien il a compris qu'un vol par la fenetre le guettait et il a obei!! Enfin il s'est arrete à l'écran noir, mais a partir de là j'ai pu lancer SDFix qui lui a permis de redémarrer normalement en affichant les icones et tout. Comme dans l'étape où tu me conseillais d'utiliser SDFix, j'ai ensuite fait tourner DSS dont voici le rapport!



Deckard's System Scanner v20071014.68
Run by GIGI et PHIL on 2008-01-30 19:44:17
Computer is in Normal Mode.
--------------------------------------------------------------------------------



-- HijackThis Clone ------------------------------------------------------------


Emulating logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2008-01-30 19:44:19
Platform: Windows XP Service Pack 2 (5.01.2600)
MSIE: Internet Explorer (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\explorer.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\APPS\ABOARD\ABOARD.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Symantec AntiVirus\VPTray.exe
C:\APPS\ABOARD\AOSD.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\microsoft office\Office\OSA.EXE
C:\Documents and Settings\GIGI et PHIL\Bureau\dss.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.com/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?gws_rd=ssl
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'Default user')
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\microsoft office\Office\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\microsoft office\Office\FINDFAST.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\MSN Messenger\msgrapp.8.1.0178.00.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\MSN Messenger\msgrapp.8.1.0178.00.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MysqlInventime - Unknown owner - C:\mysql\bin\mysqld-nt.exe
O23 - Service: SavRoam - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: SmartLinkService (SLService) - Unknown owner - C:\WINDOWS\system32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

g!rly · Answer

salut nfren,

je suis bien contente que tu es réussie a redemarrer ta machine ;-)

on continue :

a l´aide de combofix :

Copie le texte ci-dessous :

File::
C:\found.000
C:	mp3137.exe
C:\hkdjqaxv.exe
C:\WINDOWS\system32\fvelwow.sys
C:\WINDOWS\system32\jecsst.sys
C:\WINDOWS\system32\drivers\srtwe.sys
C:\WINDOWS\vqlizudo.exe
C:\upaq.exe
C:\Documents and Settings\GIGI et PHIL\cokmmp.exe
C:\WINDOWS\system32\Machnm64.sys
C:\WINDOWS\system32\Machnm32.sys
C:\WINDOWS\system32\Machnm1.exe

Folder::
C:\WINDOWS\leunemdf

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix, 

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt

ou un nouveau comboscan.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

@+

nfren · Answer

Voici le rapport qui je l'espère est complet cette fois! Par contre combofix a ouvert une fenêtre IE en me demandant de soumettre le malware à bleping computer pour analyse. Apparemment je doit copier un chemin qu'il me donne dans une case et de lancer. Cela est-il normal? ComboFix 08-01-23.1C - GIGI et PHIL 2008-01-30 22:02:30.4 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.34.1036.18.164 [GMT 1:00] Endroit: C:\Documents and Settings\GIGI et PHIL\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\GIGI et PHIL\Bureau\cfscript.txt * Création d'un nouveau point de restauration FILE C:\Documents and Settings\GIGI et PHIL\cokmmp.exe C:\found.000 C:\hkdjqaxv.exe C:\tmp3137.exe C:\upaq.exe C:\WINDOWS\system32\drivers\srtwe.sys C:\WINDOWS\system32\fvelwow.sys C:\WINDOWS\system32\jecsst.sys C:\WINDOWS\system32\Machnm1.exe C:\WINDOWS\system32\Machnm32.sys C:\WINDOWS\system32\Machnm64.sys C:\WINDOWS\vqlizudo.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat C:\Documents and Settings\GIGI et PHIL\cokmmp.exe C:\hkdjqaxv.exe C:\tmp3137.exe C:\upaq.exe C:\WINDOWS\leunemdf C:\WINDOWS\leunemdf\Thumbs.db C:\WINDOWS\system32\drivers\srtwe.sys C:\WINDOWS\system32\fvelwow.sys C:\WINDOWS\system32\jecsst.sys C:\WINDOWS\system32\Machnm1.exe C:\WINDOWS\system32\Machnm32.sys C:\WINDOWS\system32\Machnm64.sys C:\WINDOWS\vqlizudo.exe . ---- Previous Run ------- . C:\WINDOWS\htssv32.exe ----- BITS: Possible sites infect‚s ----- hxxp://darcks.parfumstudio.com . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\astq ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-28 to 2008-01-30 )))))))))))))))))))))))))))))))))))) . 2008-01-29 22:27 . 2008-01-29 22:27 d--hs---- C:\found.000 2008-01-27 18:54 . 2008-01-27 20:43 d-------- C:\WINDOWS\BDOSCAN8 2008-01-27 18:03 . 2008-01-27 18:03 d----c--- C:\Deckard 2008-01-27 10:36 . 2004-08-05 14:00 46,080 --a------ C:\WINDOWS\system32\dllcache\ftp.exe 2008-01-27 10:36 . 2004-08-05 14:00 17,920 --a------ C:\WINDOWS\system32\dllcache\tftp.exe 2008-01-27 10:35 . 2008-01-27 10:35 d-------- C:\WINDOWS\ERUNT 2008-01-26 12:25 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe 2008-01-23 22:40 . 2004-08-05 14:00 25,088 --a------ C:\WINDOWS\system32\userini.exe 2008-01-22 07:14 . 2008-01-22 07:14 89,607 --a------ C:\WINDOWS\wnclmpkx.exe 2008-01-22 07:14 . 2008-01-22 07:14 89,607 --a------ C:\WINDOWS\system32\rxjddnvj.exe 2008-01-19 19:34 . 2008-01-19 19:34 3,120 --a------ C:\WINDOWS\system32\118290.54 2008-01-19 19:34 . 2008-01-19 19:34 3,120 --a------ C:\WINDOWS\118294.78 2008-01-10 19:29 . 2008-01-10 19:29 d-------- C:\Program Files\iView Catalog Reader3 2008-01-09 15:01 . 2008-01-09 15:01 53,248 --a------ C:\WINDOWS\bdoscandel.exe 2008-01-09 15:01 . 2008-01-09 15:01 453 --a------ C:\WINDOWS\bdoscandellang.ini . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-30 21:08 --------- d-----w C:\Program Files\Symantec AntiVirus 2008-01-26 11:59 98,304 ----a-w C:\WINDOWS\DUMP84c0.tmp 2008-01-25 06:20 98,304 ----a-w C:\WINDOWS\DUMP975e.tmp 2008-01-20 13:18 --------- d-----w C:\Program Files\MP3 Player Utilities 3.57 2008-01-19 19:24 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-01-18 08:26 --------- d-----w C:\Program Files\eMule 2007-12-02 16:20 --------- d-----w C:\Program Files\Java 2006-04-25 17:00 1,694,551 -c--a-w C:\Program Files\aaw6181.exe 2006-04-23 10:55 1,760,378 -c--a-w C:\Program Files\aaw6.exe 2004-08-05 13:00 73,728 -csha-w C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe . ((((((((((((((((((((((((((((( snapshot@2008-01-26_12.38.09.42 ))))))))))))))))))))))))))))))))))))))))) . + 2008-01-27 17:55:10 45,056 ----a-w C:\WINDOWS\BDOSCAN8\avxdisk.dll + 2008-01-27 17:55:11 10,240 ----a-w C:\WINDOWS\BDOSCAN8\avxs.dll + 2008-01-27 17:55:11 27,136 ----a-w C:\WINDOWS\BDOSCAN8\avxt.dll + 2008-01-27 17:55:17 181,760 ----a-w C:\WINDOWS\BDOSCAN8\bdcore.dll + 2008-01-09 14:01:48 118,784 ----a-w C:\WINDOWS\BDOSCAN8\bdupd.dll + 2008-01-09 14:01:48 53,248 ----a-w C:\WINDOWS\BDOSCAN8\ipsupd.dll + 2008-01-27 17:55:18 142,848 ----a-w C:\WINDOWS\BDOSCAN8\libfn.dll + 2008-01-27 17:55:12 86,016 ----a-w C:\WINDOWS\BDOSCAN8\librtvr.dll + 2008-01-09 14:01:48 118,784 ----a-w C:\WINDOWS\Downloaded Program Files\bdupd.dll + 2008-01-09 14:01:48 53,248 ----a-w C:\WINDOWS\Downloaded Program Files\ipsupd.dll - 2008-01-26 11:25:43 557,056 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000001\NTUSER.DAT + 2008-01-30 21:01:44 1,429,504 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000001\NTUSER.DAT - 2008-01-26 11:25:44 331,776 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000002\UsrClass.dat + 2008-01-30 21:01:44 1,200,128 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000002\UsrClass.dat - 2008-01-26 11:25:44 557,056 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000003\NTUSER.DAT + 2008-01-30 21:01:44 1,425,408 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000003\NTUSER.DAT - 2008-01-26 11:25:44 331,776 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000004\UsrClass.dat + 2008-01-30 21:01:44 1,200,128 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000004\UsrClass.dat - 2008-01-26 11:25:44 7,225,344 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000005\NTUSER.DAT + 2008-01-30 21:01:45 8,052,736 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000005\NTUSER.DAT - 2008-01-26 11:25:44 737,280 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000006\UsrClass.dat + 2008-01-30 21:01:45 1,576,960 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000006\UsrClass.dat + 2008-01-24 08:01:35 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE + 2008-01-30 06:09:22 8,052,736 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0/u0000001\NTUSER.DAT + 2008-01-30 06:09:22 1,576,960 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0/u0000002\UsrClass.dat + 2008-01-24 08:01:35 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE + 2008-01-27 09:35:30 8,032,256 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0/u0000001\NTUSER.DAT + 2008-01-27 09:35:30 1,576,960 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0/u0000002\UsrClass.dat - 2008-01-26 11:35:35 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2008-01-30 06:06:16 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat - 2008-01-26 11:35:35 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat + 2008-01-30 06:06:16 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat - 2008-01-26 11:35:35 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat + 2008-01-30 06:06:16 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat + 2004-08-03 23:55:02 25,088 ----a-w C:\WINDOWS\system32\dllcache\userinit.exe - 2008-01-24 22:10:40 46,080 ----a-w C:\WINDOWS\system32\ftp.exe + 2004-08-05 13:00:00 46,080 ----a-w C:\WINDOWS\system32\ftp.exe - 2008-01-24 22:10:40 17,920 ----a-w C:\WINDOWS\system32\tftp.exe + 2004-08-05 13:00:00 17,920 ----a-w C:\WINDOWS\system32\tftp.exe - 2008-01-23 21:40:17 7,168 --sha-w C:\WINDOWS\system32\userinit.exe + 2004-08-03 23:55:02 25,088 ----a-w C:\WINDOWS\system32\userinit.exe . -- Snapshot reset to current date -- . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 15:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe] "ATIPTA"="C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-12 21:10 339968] "ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 10:31 24576] "ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2004-08-20 15:09 66680] "vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2004-11-24 10:27 161496] "PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-11-10 15:06 406016] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-02-03 07:35 180269] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360] "ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" [2004-03-26 15:26 54384] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HdReg] --a--c--- 2004-08-09 18:45 24576 C:\APPS\HDREG\HDREGAPP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1] --a------ 2004-08-05 14:00 208952 C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService] --a------ 2004-10-08 03:14 81920 c:\Apps\Powercinema\PCMService.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A] --a------ 2004-08-05 14:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync] --a------ 2004-08-05 14:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2007-09-25 01:11 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08] S1 fvelwow;fvelwow;C:\WINDOWS\system32\fvelwow.sys [] S1 lusbaudio;Microphone USB Logitech;C:\WINDOWS\system32\drivers\OVSound2.sys [2001-08-17 22:05] S1 nested;nested;C:\WINDOWS\system32\nested.sys [] S1 srtwe;srtwe;C:\WINDOWS\system32\drivers\srtwe.sys [] S2 Ca533av;Polaroid Digital Cam Video;C:\WINDOWS\system32\Drivers\Ca533av.sys [2002-10-21 11:37] S3 QCEmerald;QuickCam Web Logitech;C:\WINDOWS\system32\DRIVERS\OVCE.sys [2001-08-17 22:05] S3 USBCamera;Icatch(IV) Still Camera Device;C:\WINDOWS\system32\Drivers\Bulk533.sys [2002-07-25 11:19] . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2008-01-30 18:00:00 C:\WINDOWS\Tasks\Norton AntiVirus - Analyser mon ordinateur.job" - C:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exeh/task: . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-30 22:09:33 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . Temps d'accomplissement: 2008-01-30 22:11:52 - machine was rebooted [GIGI et PHIL] ComboFix-quarantined-files.txt 2008-01-30 21:11:48 ComboFix2.txt 2008-01-26 13:03:34 ComboFix3.txt 2008-01-26 11:39:31 . 2008-01-09 18:03:15 --- E O F ---

g!rly · Answer

re,

fais ceci :

Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
http://sosvirus.changelog.fr/MSNFix.zip
Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
- Exécutez l'option R.
-- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

@+

nfren · Answer

Apparemment il y avait bien quelque chose!


MSNFix 1.648-1  
 
C:\Documents and Settings\GIGI et PHIL\Bureau\MSNFix 
Fix exécuté le 30/01/2008 - 22:42:52,67 By GIGI et PHIL 
mode normal    
    
************************ Recherche les fichiers présents      
    
... C:\DOCUME~1\ALLUSE~1\MENUDÉ~1\carlton 
 
************************ Recherche les dossiers présents       
 
... C:\Temp\ 
 
 
 
 
************************ Suppression des fichiers       
    
.. OK ... C:\DOCUME~1\ALLUSE~1\MENUDÉ~1\carlton  
 
 
************************ Suppression des dossiers       
 
/!\ ...  C:\Temp\   
 
 
************************ Nettoyage du registre 
 
 
 
************************ Fichiers suspects 
 
/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention 
 
[C:\ac3tools_install.exe] AF7FC69AA3B17ACF28D15C471B0D24EE 

[color=#FF0000][b]==>/b/color SVP merci d'envoyer le fichier  [b] C:\DOCUME~1\GIGIET~1\Bureau\Upload_Me.zip /b sur http://upload.changelog.fr

 
  
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 30012008_22434620.zip
 
 
------------------------------------------------------------------------  
Auteur : !aur3n7                     Contact: https://www.ionos.fr/     
------------------------------------------------------------------------   
 
---------------------------------------------   END   ---------------------------------------------

g!rly · Answer

re,

c´est pas ce que j´esperais y trouver...

tu as une liscence pour norton?  

car il serait bien partique de pouvoir scanner avec un antivirus digne du nom...

genre remplacer norton par antivir... dis moi quoi...

Copie le texte ci-dessous :

File::
C:\WINDOWS\118294.78
C:\WINDOWS\system32\118290.54
C:\WINDOWS\wnclmpkx.exe
C:\WINDOWS\system32xjddnvj.exe
C:\WINDOWS\system32\dllcache\ftp.exe
C:\WINDOWS\system32\dllcache	ftp.exe
C:\WINDOWS\system32\fvelwow.sys
C:\WINDOWS\system32
ested.sys
C:\WINDOWS\system32\drivers\srtwe.sys

Driver::
fvelwow
nested
srtwe

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix, 

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

@+

nfren · Answer

Voici le rapport combfix. Sinon, oui, j'ai Norton antivirus et je pensais que c'était pas mal comme protection puisque jusqu'à là je n'ai pas eu de problème!? A+ ComboFix 08-01-23.1C - GIGI et PHIL 2008-01-30 23:14:43.5 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.34.1036.18.170 [GMT 1:00] Endroit: C:\Documents and Settings\GIGI et PHIL\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\GIGI et PHIL\Bureau\CFScript.txt * Création d'un nouveau point de restauration FILE C:\WINDOWS\118294.78 C:\WINDOWS\system32\118290.54 C:\WINDOWS\system32\dllcache\ftp.exe C:\WINDOWS\system32\dllcache\tftp.exe C:\WINDOWS\system32\drivers\srtwe.sys C:\WINDOWS\system32\fvelwow.sys C:\WINDOWS\system32\nested.sys C:\WINDOWS\system32\rxjddnvj.exe C:\WINDOWS\wnclmpkx.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\118294.78 C:\WINDOWS\system32\118290.54 C:\WINDOWS\system32\dllcache\ftp.exe C:\WINDOWS\system32\dllcache\tftp.exe C:\WINDOWS\system32\rxjddnvj.exe C:\WINDOWS\wnclmpkx.exe . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\fvelwow ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-28 to 2008-01-30 )))))))))))))))))))))))))))))))))))) . 2008-01-29 22:27 . 2008-01-29 22:27 d--hs---- C:\found.000 2008-01-27 18:54 . 2008-01-27 20:43 d-------- C:\WINDOWS\BDOSCAN8 2008-01-27 18:03 . 2008-01-27 18:03 d----c--- C:\Deckard 2008-01-27 10:35 . 2008-01-27 10:35 d-------- C:\WINDOWS\ERUNT 2008-01-26 12:25 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe 2008-01-23 22:40 . 2004-08-05 14:00 25,088 --a------ C:\WINDOWS\system32\userini.exe 2008-01-10 19:29 . 2008-01-10 19:29 d-------- C:\Program Files\iView Catalog Reader3 2008-01-09 15:01 . 2008-01-09 15:01 53,248 --a------ C:\WINDOWS\bdoscandel.exe 2008-01-09 15:01 . 2008-01-09 15:01 453 --a------ C:\WINDOWS\bdoscandellang.ini . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-30 22:17 --------- d-----w C:\Program Files\Symantec AntiVirus 2008-01-26 11:59 98,304 ----a-w C:\WINDOWS\DUMP84c0.tmp 2008-01-25 06:20 98,304 ----a-w C:\WINDOWS\DUMP975e.tmp 2008-01-20 13:18 --------- d-----w C:\Program Files\MP3 Player Utilities 3.57 2008-01-19 19:24 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-01-18 08:26 --------- d-----w C:\Program Files\eMule 2007-12-02 16:20 --------- d-----w C:\Program Files\Java 2006-04-25 17:00 1,694,551 -c--a-w C:\Program Files\aaw6181.exe 2006-04-23 10:55 1,760,378 -c--a-w C:\Program Files\aaw6.exe 2004-08-05 13:00 73,728 -csha-w C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe . ((((((((((((((((((((((((((((( snapshot_2008-01-30_22.11.30.12 ))))))))))))))))))))))))))))))))))))))))) . - 2008-01-30 21:01:44 1,429,504 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000001\NTUSER.DAT + 2008-01-30 22:14:37 1,429,504 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000001\NTUSER.DAT - 2008-01-30 21:01:44 1,200,128 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000002\UsrClass.dat + 2008-01-30 22:14:37 1,200,128 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000002\UsrClass.dat - 2008-01-30 21:01:44 1,425,408 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000003\NTUSER.DAT + 2008-01-30 22:14:37 1,425,408 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000003\NTUSER.DAT - 2008-01-30 21:01:44 1,200,128 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000004\UsrClass.dat + 2008-01-30 22:14:37 1,200,128 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000004\UsrClass.dat - 2008-01-30 21:01:45 8,052,736 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000005\NTUSER.DAT + 2008-01-30 22:14:37 8,060,928 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000005\NTUSER.DAT - 2008-01-30 21:01:45 1,576,960 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000006\UsrClass.dat + 2008-01-30 22:14:37 1,576,960 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000006\UsrClass.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 15:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe] "ATIPTA"="C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-12 21:10 339968] "ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 10:31 24576] "ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2004-08-20 15:09 66680] "vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2004-11-24 10:27 161496] "PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-11-10 15:06 406016] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-02-03 07:35 180269] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360] "ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" [2004-03-26 15:26 54384] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HdReg] --a--c--- 2004-08-09 18:45 24576 C:\APPS\HDREG\HDREGAPP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1] --a------ 2004-08-05 14:00 208952 C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService] --a------ 2004-10-08 03:14 81920 c:\Apps\Powercinema\PCMService.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A] --a------ 2004-08-05 14:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync] --a------ 2004-08-05 14:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2007-09-25 01:11 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08] S1 lusbaudio;Microphone USB Logitech;C:\WINDOWS\system32\drivers\OVSound2.sys [2001-08-17 22:05] S2 Ca533av;Polaroid Digital Cam Video;C:\WINDOWS\system32\Drivers\Ca533av.sys [2002-10-21 11:37] S3 QCEmerald;QuickCam Web Logitech;C:\WINDOWS\system32\DRIVERS\OVCE.sys [2001-08-17 22:05] S3 USBCamera;Icatch(IV) Still Camera Device;C:\WINDOWS\system32\Drivers\Bulk533.sys [2002-07-25 11:19] . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2008-01-30 18:00:00 C:\WINDOWS\Tasks\Norton AntiVirus - Analyser mon ordinateur.job" - C:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exeh/task: . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-30 23:19:04 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . Temps d'accomplissement: 2008-01-30 23:21:49 - machine was rebooted ComboFix-quarantined-files.txt 2008-01-30 22:21:45 ComboFix2.txt 2008-01-30 21:11:52 ComboFix3.txt 2008-01-26 13:03:34 ComboFix4.txt 2008-01-26 11:39:31 . 2008-01-09 18:03:15 --- E O F ---

g!rly · Answer

re,

Norton : est tu pret a t´en defaire?  

ce n´est  vraiment pas une protection efficace;  tu peux en juger par ton infection actuelle ( peux tu me dire ce que tu as fais exactement pour te faire infecter de la sorte?)...

au faite qu´est devenu le fichier ntos.exe? il a été supprimé par sdfix?

petit a petit on va y arriver...

fais encore ceci avec combofix :

File::
C:\WINDOWS\system32\userini.exe
C:\WINDOWS\bdoscandel.exe
C:\WINDOWS\bdoscandellang.ini
C:\WINDOWS\DUMP84c0.tmp
C:\WINDOWS\DUMP975e.tmp
C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$ BACKUP$\System\wmplayer.exe
C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000001\NTUSER.DAT
C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000001\NTUSER.DAT
C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000002\UsrClass.dat
C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000002\UsrClass.dat
C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000003\NTUSER.DAT
C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000003\NTUSER.DAT
C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000004\UsrClass.dat
C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000004\UsrClass.dat
C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000005\NTUSER.DAT
C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000005\NTUSER.DAT
C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000006\UsrClass.dat
C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000006\UsrClass.dat

Folder::
C:\Program Files\aaw6181.exe
C:\Program Files\aaw6.exe
C:\Program Files\MP3 Player Utilities 3.57

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt5

S'il n'y a pas de rédémarrage, poste quand même le rapport.

@+

nfren · Answer

Salut, Je ne suis pas plus attaché à Norton qu'à un autre autre antivirus. J'ai celui là car c'est ce que j'ai au boulot! Quant à savoir ce que nous avons fait sur le micro pour l'infecter ainsi??? Les enfants l'utilisent pour MsN, ils jouent parfois en ligne, sinon nous surfons, enfin rien de spécial me semble-t-il! Tout ce qu'on fait avec un micro "familial! Voici le rapport demandé ComboFix 08-01-23.1C - GIGI et PHIL 2008-01-31 7:06:35.6 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.34.1036.18.237 [GMT 1:00] Endroit: C:\Documents and Settings\GIGI et PHIL\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\GIGI et PHIL\Bureau\cfscript.txt * Création d'un nouveau point de restauration FILE C:\WINDOWS\bdoscandel.exe C:\WINDOWS\bdoscandellang.ini C:\WINDOWS\DUMP84c0.tmp C:\WINDOWS\DUMP975e.tmp C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000001\NTUSER.DAT C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000002\UsrClass.dat C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000003\NTUSER.DAT C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000004\UsrClass.dat C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000005\NTUSER.DAT C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000006\UsrClass.dat C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$ BACKUP$\System\wmplayer.exe C:\WINDOWS\system32\userini.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Program Files\aaw6.exe\ C:\Program Files\aaw6181.exe\ C:\Program Files\MP3 Player Utilities 3.57 C:\Program Files\MP3 Player Utilities 3.57\AMVTools\tranmsg.txt C:\WINDOWS\bdoscandel.exe C:\WINDOWS\bdoscandellang.ini C:\WINDOWS\DUMP84c0.tmp C:\WINDOWS\DUMP975e.tmp C:\WINDOWS\system32\userini.exe . ((((((((((((((((((((((((((((( Fichiers créés 2007-12-28 to 2008-01-31 )))))))))))))))))))))))))))))))))))) . 2008-01-29 22:27 . 2008-01-29 22:27 d--hs---- C:\found.000 2008-01-27 18:54 . 2008-01-27 20:43 d-------- C:\WINDOWS\BDOSCAN8 2008-01-27 18:03 . 2008-01-27 18:03 d----c--- C:\Deckard 2008-01-27 10:35 . 2008-01-27 10:35 d-------- C:\WINDOWS\ERUNT 2008-01-26 12:25 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe 2008-01-10 19:29 . 2008-01-10 19:29 d-------- C:\Program Files\iView Catalog Reader3 . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-30 22:19 --------- d-----w C:\Program Files\Symantec AntiVirus 2008-01-19 19:24 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-01-18 08:26 --------- d-----w C:\Program Files\eMule 2007-12-02 16:20 --------- d-----w C:\Program Files\Java 2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\system32\lsasrv.dll 2007-11-07 09:28 728,576 ------w C:\WINDOWS\system32\dllcache\lsasrv.dll 2007-11-02 16:31 701,440 ---h--w C:\WINDOWS\system32\wodfamoh.dll 2007-10-30 23:23 3,590,656 ------w C:\WINDOWS\system32\dllcache\mshtml.dll 2007-10-30 17:20 360,064 ------w C:\WINDOWS\system32\dllcache\tcpip.sys 2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll 2007-10-29 22:43 1,293,824 ------w C:\WINDOWS\system32\dllcache\quartz.dll 2007-10-25 16:56 8,510,976 ------w C:\WINDOWS\system32\dllcache\shell32.dll 2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll 2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\dllcache\wmasf.dll 2007-10-10 23:49 824,832 ----a-w C:\WINDOWS\system32\wininet.dll 2007-10-10 23:49 824,832 ------w C:\WINDOWS\system32\dllcache\wininet.dll 2007-10-10 23:49 671,232 ------w C:\WINDOWS\system32\dllcache\mstime.dll 2007-10-10 23:49 63,488 ------w C:\WINDOWS\system32\dllcache\icardie.dll 2007-10-10 23:49 6,065,664 ------w C:\WINDOWS\system32\dllcache\ieframe.dll 2007-10-10 23:49 52,224 ------w C:\WINDOWS\system32\dllcache\msfeedsbs.dll 2007-10-10 23:49 478,208 ------w C:\WINDOWS\system32\dllcache\mshtmled.dll 2007-10-10 23:49 459,264 ------w C:\WINDOWS\system32\dllcache\msfeeds.dll 2007-10-10 23:49 44,544 ------w C:\WINDOWS\system32\dllcache\iernonce.dll 2007-10-10 23:49 384,512 ------w C:\WINDOWS\system32\dllcache\iedkcs32.dll 2007-10-10 23:49 383,488 ------w C:\WINDOWS\system32\dllcache\ieapfltr.dll 2007-10-10 23:49 27,648 ------w C:\WINDOWS\system32\dllcache\jsproxy.dll 2007-10-10 23:49 267,776 ------w C:\WINDOWS\system32\dllcache\iertutil.dll 2007-10-10 23:49 232,960 ------w C:\WINDOWS\system32\dllcache\webcheck.dll 2007-10-10 23:49 230,400 ------w C:\WINDOWS\system32\dllcache\ieaksie.dll 2007-10-10 23:49 214,528 ------w C:\WINDOWS\system32\dllcache\dxtrans.dll 2007-10-10 23:49 193,024 ------w C:\WINDOWS\system32\dllcache\msrating.dll 2007-10-10 23:49 153,088 ------w C:\WINDOWS\system32\dllcache\ieakeng.dll 2007-10-10 23:49 132,608 ------w C:\WINDOWS\system32\dllcache\extmgr.dll 2007-10-10 23:49 124,928 ------w C:\WINDOWS\system32\dllcache\advpack.dll 2007-10-10 23:49 105,984 ------w C:\WINDOWS\system32\dllcache\url.dll 2007-10-10 23:49 102,400 ------w C:\WINDOWS\system32\dllcache\occache.dll 2007-10-10 23:49 1,159,680 ------w C:\WINDOWS\system32\dllcache\urlmon.dll 2007-10-10 11:00 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe 2007-10-10 11:00 625,152 ------w C:\WINDOWS\system32\dllcache\iexplore.exe 2007-10-10 10:59 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe 2007-10-10 05:46 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll 2006-04-25 17:00 1,694,551 -c--a-w C:\Program Files\aaw6181.exe 2006-04-23 10:55 1,760,378 -c--a-w C:\Program Files\aaw6.exe 2004-08-05 13:00 73,728 -csha-w C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe . ((((((((((((((((((((((((((((( snapshot_2008-01-30_22.11.30.12 ))))))))))))))))))))))))))))))))))))))))) . - 2008-01-30 21:01:44 1,429,504 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000001\NTUSER.DAT + 2008-01-31 06:06:11 1,429,504 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000001\NTUSER.DAT - 2008-01-30 21:01:44 1,200,128 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000002\UsrClass.dat + 2008-01-31 06:06:11 1,200,128 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000002\UsrClass.dat - 2008-01-30 21:01:44 1,425,408 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000003\NTUSER.DAT + 2008-01-31 06:06:11 1,425,408 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000003\NTUSER.DAT - 2008-01-30 21:01:44 1,200,128 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000004\UsrClass.dat + 2008-01-31 06:06:11 1,200,128 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000004\UsrClass.dat - 2008-01-30 21:01:45 8,052,736 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000005\NTUSER.DAT + 2008-01-31 06:06:12 8,060,928 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000005\NTUSER.DAT - 2008-01-30 21:01:45 1,576,960 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000006\UsrClass.dat + 2008-01-31 06:06:12 1,576,960 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000006\UsrClass.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 15:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe] "ATIPTA"="C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-12 21:10 339968] "ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 10:31 24576] "ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2004-08-20 15:09 66680] "vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2004-11-24 10:27 161496] "PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-11-10 15:06 406016] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-02-03 07:35 180269] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360] "ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" [2004-03-26 15:26 54384] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ D‚marrage d'Office.lnk - C:\Program Files\microsoft office\Office\OSA.EXE [1997-08-29 51984] Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-24 07:05:26 29696] Microsoft Recherche acc‚l‚r‚e.lnk - C:\Program Files\microsoft office\Office\FINDFAST.EXE [1997-08-29 111376] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HdReg] --a--c--- 2004-08-09 18:45 24576 C:\APPS\HDREG\HDREGAPP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1] --a------ 2004-08-05 14:00 208952 C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService] --a------ 2004-10-08 03:14 81920 c:\Apps\Powercinema\PCMService.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A] --a------ 2004-08-05 14:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync] --a------ 2004-08-05 14:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2007-09-25 01:11 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08] S1 lusbaudio;Microphone USB Logitech;C:\WINDOWS\system32\drivers\OVSound2.sys [2001-08-17 22:05] S2 Ca533av;Polaroid Digital Cam Video;C:\WINDOWS\system32\Drivers\Ca533av.sys [2002-10-21 11:37] S3 QCEmerald;QuickCam Web Logitech;C:\WINDOWS\system32\DRIVERS\OVCE.sys [2001-08-17 22:05] S3 USBCamera;Icatch(IV) Still Camera Device;C:\WINDOWS\system32\Drivers\Bulk533.sys [2002-07-25 11:19] . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2008-01-30 18:00:00 C:\WINDOWS\Tasks\Norton AntiVirus - Analyser mon ordinateur.job" - C:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-31 07:09:22 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-01-31 7:09:59 ComboFix-quarantined-files.txt 2008-01-31 06:09:51 ComboFix2.txt 2008-01-30 22:21:50 ComboFix3.txt 2008-01-30 21:11:52 ComboFix4.txt 2008-01-26 13:03:34 ComboFix5.txt 2008-01-26 11:39:31 . 2008-01-09 18:03:15 --- E O F ---

nfren · Answer

Re, Dans le message précédent j'ai oublé de te répondre pour ntos.exe.
Lorsque je suis parvenu à redémarrer sans échec le matin, il ne paraissait plus dans la liste des processus actif, donc je n'ai pas eu à le terminer. Comme j'ai fait tourner sdfix ensuite, il se peut qu'il ait été éliminé!!???
A+

g!rly · Answer

salut nfren,

ok pour ntos.exe.

pour la suite,on va desinstaller norton :

Desinstalleur Norton:
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

puis instales :

par feu : kerio

http://www.malekal.com/kerio_firewall.php#mozTocId721480

https://www.vulgarisation-informatique.com/kerio.php

https://kerio.probb.fr/f2-sunbelt-kerio-personal-firewall

ou zone alarm plus facil a configurer mais moins performant

https://www.malekal.com/tutoriel-zonealarm-firewall/

et

Telecharge et instal l'antivirus Antivir Personal Edition Classic :

->https://www.malekal.com/avira-free-security-antivirus-gratuit/

https://www.avira.com/en/prime

http://mickael.barroux.free.fr/securite/antivir.php 
http://speedweb1.free.fr/frames2.php?page=tuto5
<- tutoriel configuration du scanner...

une fois antivir ouvert click surconfiguration et coche la case "expert mode" puis sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur
puis click sur configuration en haut a droite; dans la nouvelle fenetre a gauche >scanner > coche "scan all files" et en dessous >scanner priority = High
coche : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir.
puis sur la droite coche les case suivantes : 
scan boot sectors of selected drives
scan master boot sectors
scan memory
search foe rootkit before scan
decoche :
ignore off line files
toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level

et performe un scan complet a l´aide d´antivir avec les reglages stipulés ci dessus et post le rapport ici 

ajoute aussi cet antispyware resident :

spywareblaster :

http://www.brightfort.com/spywareblaster.html

c´est un resident, il suffit de le mettre a jour de temps en temps car la version gratuite ne le fait pas toute seul , une fois installé et mis a jour tu mets toutes les protections sur "enable"

tuto : http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/question-spywareblaser-sujet_174747_1.htm

post le rapport d´antivir stp

@+

nfren · Answer

Salut,
J'ai essayé de faire le plus rapidement possible tout ce que tu m'a proposé, mais y'en avait!! Je ne suis pas encore au top pour le pare feu, car il m'envoie sans cesse des message quand je lance une application pour savoir si j'accepte le lancement. Il y en a pour lesquelles je n'ai pas de doute, mais notamment au démarrage de windows je suis incapable de dire si je doit accepter ou pas le lancement! Mais il faut que je prenne le temps de lire le tutoriel!
Voici le scan d'antivir
A+

AntiVir PersonalEdition Classic
Report file date: jeudi 31 janvier 2008  21:48

Scanning for 835736 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Username:         GIGI et PHIL
Computer name:    Ordinateur

Version information:
BUILD.DAT    : 270           15603 Bytes    19/09/07 13:32:00
AVSCAN.EXE   : 7.0.6.1      290856 Bytes    23/08/07 13:16:29
AVSCAN.DLL   : 7.0.6.0       49192 Bytes    16/08/07 12:23:51
LUKE.DLL     : 7.0.5.3      147496 Bytes    14/08/07 15:32:47
LUKERES.DLL  : 7.0.6.1       10280 Bytes    21/08/07 12:35:20
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes    18/07/07 14:27:15
ANTIVIR1.VDF : 7.0.0.0     1640448 Bytes    13/09/07 14:26:55
ANTIVIR2.VDF : 7.0.0.1        2048 Bytes    13/09/07 14:27:04
ANTIVIR3.VDF : 7.0.0.2        2048 Bytes    13/09/07 14:27:13
AVEWIN32.DLL : 7.6.0.15    2806272 Bytes    17/09/07 17:43:56
AVWINLL.DLL  : 1.0.0.7       14376 Bytes    26/02/07 10:36:26
AVPREF.DLL   : 7.0.2.2       25640 Bytes    18/07/07 07:39:17
AVREP.DLL    : 7.0.0.1      155688 Bytes    16/04/07 13:16:24
AVPACK32.DLL : 7.3.0.15     360488 Bytes    03/08/07 08:46:00
AVREG.DLL    : 7.0.1.6       30760 Bytes    18/07/07 07:17:06
AVARKT.DLL   : 1.0.0.20     278568 Bytes    28/08/07 12:26:33
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes    18/07/07 07:10:18
NETNT.DLL    : 7.0.0.0        7720 Bytes    08/03/07 11:09:42
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes    07/08/07 12:38:13
RCTEXT.DLL   : 7.0.62.0      86056 Bytes    21/08/07 12:50:37
SQLITE3.DLL  : 3.3.17.1     339968 Bytes    23/07/07 09:37:21

Configuration settings for the scan:
Jobname..........................: Rootkit search
Configuration file...............: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\rootkit.avp
Logging..........................: high
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Scan memory......................: off
Process scan.....................: off
Scan registry....................: off
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: high
Expanded search settings.........: 0x00300922

Start of the scan: jeudi 31 janvier 2008  21:48

Starting search for hidden objects.
'503485' objects were checked, '0' hidden objects were found.


End of the scan: jeudi 31 janvier 2008  21:52
Used time: 04:30 min

The scan has been done completely.

      0 Scanning directories
      0 Files were scanned
      0 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
      0 files were moved to quarantine
      0 files were renamed
      0 Files cannot be scanned
      0 Files not concerned
      0 Archives were scanned
      0 Warnings
      0 Notes
 503485 Objects were scanned with rootkit scan
      0 Hidden objects were found

g!rly · Answer

re,

bon ca a l´air d´etre ok en tout cas au yeux d´antivir.

pour kerio, oui faut se familiariser au lancement des programmes comme tu dis...

dis moi lequels te posent probleme?

peux tu faire encore ceci :

Redémarre en mode sans échec et effectue ce scan :

A.V.G :

-> Télécharger AVG Anti-Spyware (ewido)

   http://www.commentcamarche.net/telecharger/telecharger 218 avg anti spyware

-> L´installer.

-> lancer AVG Anti-Spyware et clicker sur le bouton Mise à jour. Patienter...
   
   p.s : si les mises a jours ne se font pas, elles sont telechargable ici :

   http://downloads.ewido.net/avgas-signatures-full-current.exe

-> Sur la page "analyse":

   choisir d´abord l'onglet "paramètres".
   
   sous « Comment réagir » clicker sur « Actions recommandées » et dans le menu déroulant, choisir « Supprimer ».

-> Lancer le scan, (c´est long...).

-> A la fin du scan copier Et coller le rapport ici. 

-> Une aide en image au cas ou :

   Tutoriel d´installation et de parametrages :

   http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html   

note : supprime tout ce qu´il trouve a la fin et post le rapport ici 

@+

nfren · Answer

Salut,
J'ai fais tourner AVG et il n'a rien trouvé!
Une question: pourquoi le faire tourner en mode sans échec plutot qu'en mode normal?
Sinon, penses-tu que mes problèmes sont résolus!!?:-b

g!rly · Answer

salut nfren,

en mode sans echec avg peux a sa guise supprimer les fichiers infectés si il en trouve car il ne sont pas utilisés a ce moment la...

de mon coté ca me parait ok...

si tu veux,  tu reviens me dire que du tient tout est ok d´ici quelques jours, ok?!

@+

nfren · Answer

Je viens de faire tourner spybot que j'avais déjà sur mon micro et à ma grande surprise il a détecté Win32.agent!!! Mais il a bien voulu le détruire alors qu'auparavant il ne pouvait pas car il était utilisé!
J'espère que ce n'est rien de grave!!
OK je te tiens au courant dans quelques jours pour te dire si tout semble stable!!
En attendant merci beaucoup pour ton coup de main efficace!
J'espère ne pas avoir à faire appel de si tôt à tes compétences lol
A bientôt

g!rly · Answer

re,

bon on reste sur cette derniere trouvaille de spybot, reviens dans quelques jours pour me dire...

Bon week end ;-)

@ bientot.

nfren · Answer

Salut,
Je viens te donner quelques nouvelles au bout d'une bonne semaien d'utilisation de mon micro. RAS sauf la découverte par spybot de différentes anomalies (microsoft.windowsSecurityCenter.TaskManager; Smitfraud-C; Win32.Agent.qt; win32.Small.azl et Zlob.Dowloader) Tout ça le 04/02/08. Depuis je l'ai refait tourner 2 fois et il n'a rien détecté!
Donc je pense que mon problème n'est plus qu'un mauvais souvenir!! Encore merci beaucoup pour ton aide!!
A+

g!rly · Answer

Salut,

C´est pas terrible toutes ces decouvertes de spybot.

peux tu me montrer un hijack this stp

@+

nfren · Answer

Voilà, j'espère que ça ne sera pas grave!!
A+    

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19:03:14, on 10/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\apps\ABoard\ABoard.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\GIGI et PHIL\Bureau\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\microsoft office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

g!rly · Answer

re,

le hijack this semble propre...

fais ceci :

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe     

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

@+

nfren · Answer

ComboFix 08-02.05.3 - GIGI et PHIL 2008-02-10 19:18:11.7 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.34.1036.18.130 [GMT 1:00] Endroit: C:\Documents and Settings\GIGI et PHIL\Bureau\ComboFix.exe * Création d'un nouveau point de restauration . ((((((((((((((((((((((((((((( Fichiers créés 2008-01-10 to 2008-02-10 )))))))))))))))))))))))))))))))))))) . 2008-02-06 19:23 . 2008-02-06 19:23 d-------- C:\Program Files\CDBurnerXP Pro 3 2008-02-05 19:12 . 2008-02-05 19:13 d-------- C:\WINDOWS\ShellNew 2008-02-03 11:28 . 2008-02-03 18:16 128 --a------ C:\WINDOWS\system32\drivers\fwdrv.err 2008-02-02 11:32 . 2008-02-02 11:32 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-02-02 11:32 . 2008-02-02 11:32 1,409 --a------ C:\WINDOWS\QTFont.for 2008-01-31 22:01 . 2008-02-09 19:41 d-------- C:\Program Files\SpywareBlaster 2008-01-31 22:01 . 2005-08-25 18:19 115,920 --a------ C:\WINDOWS\system32\MSINET.OCX 2008-01-31 21:32 . 2008-01-31 21:32 d-------- C:\Program Files\Sunbelt Software 2008-01-31 21:20 . 2008-01-31 21:20 d-------- C:\Program Files\Avira 2008-01-31 21:20 . 2008-01-31 21:20 d-------- C:\Documents and Settings\All Users\Application Data\Avira 2008-01-29 22:27 . 2008-01-29 22:27 d--hs---- C:\found.000 2008-01-27 18:54 . 2008-01-27 20:43 d-------- C:\WINDOWS\BDOSCAN8 2008-01-27 10:35 . 2008-01-27 10:35 d-------- C:\WINDOWS\ERUNT 2008-01-10 19:29 . 2008-01-10 19:29 d-------- C:\Program Files\iView Catalog Reader3 2008-01-10 19:29 . 2008-01-10 19:29 d-------- C:\Documents and Settings\GIGI et PHIL\Application Data\iView . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-02-10 10:26 --------- d-----w C:\Program Files\eMule 2008-02-09 11:10 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-02-05 18:12 --------- d-----w C:\Program Files\Windows Messaging 2008-02-01 18:21 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-01-31 20:16 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared 2008-01-24 18:23 --------- d-----w C:\Program Files\Spybot - Search & Destroy 2007-10-06 19:58 47,360 ----a-w C:\Documents and Settings\GIGI et PHIL\Application Data\pcouffin.sys 2006-04-25 17:00 1,694,551 -c--a-w C:\Program Files\aaw6181.exe 2006-04-23 10:55 1,760,378 -c--a-w C:\Program Files\aaw6.exe 2004-08-05 13:00 73,728 -csha-w C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 15:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe] "ATIPTA"="C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-12 21:10 339968] "ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 10:31 24576] "PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-11-10 15:06 406016] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-02-03 07:35 180269] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-01 21:27 249896] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360] "ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" [ ] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-24 07:05:26 29696] Microsoft Office.lnk - C:\Program Files\microsoft office\Office10\OSA.EXE [2001-02-13 09:01:04 83360] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HdReg] --a--c--- 2004-08-09 18:45 24576 C:\APPS\HDREG\HDREGAPP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1] --a------ 2004-08-05 14:00 208952 C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService] --a------ 2004-10-08 03:14 81920 c:\Apps\Powercinema\PCMService.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A] --a------ 2004-08-05 14:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync] --a------ 2004-08-05 14:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2007-09-25 01:11 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-04-26 10:21] R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-04-26 10:21] R2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 10:21] R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08] S1 lusbaudio;Microphone USB Logitech;C:\WINDOWS\system32\drivers\OVSound2.sys [2001-08-17 22:05] S2 Ca533av;Polaroid Digital Cam Video;C:\WINDOWS\system32\Drivers\Ca533av.sys [2002-10-21 11:37] S3 QCEmerald;QuickCam Web Logitech;C:\WINDOWS\system32\DRIVERS\OVCE.sys [2001-08-17 22:05] S3 USBCamera;Icatch(IV) Still Camera Device;C:\WINDOWS\system32\Drivers\Bulk533.sys [2002-07-25 11:19] . ************************************************************************** Voici le résultat combofix. Je croise les doigts (mais hélas l'informatique ne fonctionne pas comme ça!!) A+ catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-02-10 19:21:53 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-02-10 19:23:25 ComboFix2.txt 2008-01-31 06:10:00 . 2008-02-06 06:02:50 --- E O F ---

nfren · Answer

Excuse moi j'ai un peu mis tout dans le désordre (mon commentaire est au milieu du rapport Combofix) mais je suppose que tu auras compris!!

g!rly · Answer

Re, 

Je ne voie rien de suspect par la non plus...

desinstales ta version de spybot et prends celle ci : je dis ca car au debut de ce topik ton spybot ne fonctionnait plus a cause des infections et des regles etablies par ces dernieres.

http://www.commentcamarche.net/telecharger/telecharger 122 spybot

fais un scan et dis moi quoi

@+

nfren · Answer

Bonsoir,
Je viens de faire touner spybot et....il n'a rien trouvé du tout!
Peut-on en conclure que tout est OK maintenant!?
A+

g!rly · Answer

Salut nfren,

Oui ;-)

Bonne continuation.

Bye`

nfren · Answer

Merci, merci beaucoup pour ton coup de main!
Bonne continuation!

g!rly · Answer

,-)

g!rly · Answer

;-)

Comment me défaire de win32.Agent.pz

54 réponses

Discussions similaires

Newsletters