Sujet Précédent Sujet Suivant

Win32 ???

Résolu/Fermé
Ocemapydy Messages postés 7 Date d'inscription jeudi 21 février 2008 Statut Membre Dernière intervention 22 mars 2008 - 22 mars 2008 à 13:02
 Utilisateur anonyme - 22 mars 2008 à 22:26
Bonjour,

Zone alarm demande si j'autorise le programme "search setting.exe" à accéder à l'ordi. Maintenant que j'ai coché "refusé", mes icones disparaissent du Bureau, je n'accède plus à mes documents, ni à l'ordi par le biais de l'icone quand j'arrive à les voir.
Win32 rode probablement.
Je ne susi pas assez douée pour faire le ménage moi même.
Voici le rapport Hijack. Merci par avance de votre aide précieuse. Je tourne avec Vista Edition basique.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:57:13, on 22/03/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Programmes ajoutes\AVG antispyware\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Search Settings\SearchSettings.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\IncrediMail\bin\ImApp.exe
C:\Program Files\Crazy Browser\Crazy Browser.exe
C:\Windows\system32\Taskmgr.exe
C:\Users\Mapy\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\G9KNGSHS\HiJackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/defaults/su/*https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb126\SearchSettings.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - (no file)
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb126\SearchSettings.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmes ajoutes\AVG antispyware\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\Mapy\AppData\Local\Temp\mllkj.dll,c
O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\Mapy\AppData\Local\Temp\xxywt.dll,#1
O4 - HKCU\..\Run: [MS Juan] rundll32 "C:\Users\Mapy\AppData\Local\Temp\eeloxrhc.dll",run
O4 - HKCU\..\Run: [2826c118] rundll32.exe "C:\Users\Mapy\AppData\Local\Temp\mkhbjddm.dll",b
O4 - HKCU\..\Run: [BM2b15f284] Rundll32.exe "C:\Users\Mapy\AppData\Local\Temp\naawnsdm.dll",s
O4 - HKUS\S-1-5-18\..\Run: [] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [] (User 'Default user')
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O13 - Gopher Prefix:
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://config.zebulon.fr/plugins/hardwaredetection.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\programmes ajoutes\A2Free\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\programmes ajoutes\Adware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\programmes ajoutes\AVG antispyware\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\programmes ajoutes\Spybot\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

13 réponses

Réponse 1 / 13
Utilisateur anonyme
22 mars 2008 à 13:08

Bonjour/Bonsoir
• Ne pas surfer ailleurs que sur le site
• Couper MSN ou tout autre connexion hormis celle sur le site
• Appliquer exactement et dans l'ordre les procédures indiquées.
• Au cas ou plusieurs intervenants se manifestent, en choisir un et un seul.

• Rester devant la machine en rafraichissant souvent le forum pour voir les nouvelles réponses.
• Répondre sans attendre à toutes les questions posées dans l'ordre ou elles ont étés posées
• Soyez précis dans vos réponses. Tenez vous en au sujet et rien qu'au sujet.
• A proscrire : le language SMS.

• Ne pas quitter tant qu'il n'est pas dit explicitement que le problème est résolu ou qu'il
dépasse les compétences de celui ou ceux qui vous aident.
• N'ouvrez pas plusieurs discussions sur le même sujet sauf si on vous le demande
(Problème non résolu. Ca arrive)

• Ne pas s'impatienter. L'analyse d'un rapport et la recherche de solutions
appropriées prends un certain temps.
Inutile donc de reposter le même message. Nous ne vous oublions pas,
nous vous cherchons une solution

• Ne pas oublier : nous sommes bénévoles.
Nous mangeons, nous dormons, nous travaillons, nous avons une vie de famille aussi.


Préalable
• Vider la corbeille
• Fermer toutes les applications

================ PareFeu XP - Vista ===================
• Si un autre pare-feu que celui de windows est installé, vérifier qu'il est actif et passer à l'étape CCleaner

• Sinon

pour activer/désactiver le Pare-feu Vista
pour activer/désactiver le Pare-feu Xp le Pare-feu Vista

• Activer le pare-Feu si ce n'est déjà fait

===================== CCLEANER ========================

Nettoyage avec CCleaner
On va commencer par faire un peu le ménage

• Télécharger CCLeaner et l'installer sur le bureau en refusant l'installation de la barre Yahoo.

• Fermer toutes les applications
• Lancer CCLeaner
S'il n'est pas en Français cliquer sur Options, Setting, Language
et sélectionner Français
• cocher dans le menu Nettoyeur - onglet Windows :
Internet Explorer: Fichiers Internet Temporaires, Cookies
• Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
• Avancé: Vieilles données du Prefetch
• Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
• Cocher dans le menu Nettoyeur - onglet Applications : Internet: Sun Java
• Cocher , si cela est possible, dans le menu Nettoyeur - onglet Applications :
Firefox/Mozilla: Cache Internet, Cookies
• Click sur Analyse
• Click sur le bouton Lancer le nettoyage dans le menu Nettoyeur.
• Click sur Registre
• Sélectionner tout
• Click sur Chercher des erreurs (En bas)

Une fois le scan terminé sélectionner tout
• Click sur Réparer les erreurs sélectionnées

======================= BT Fix ==========================

• Téléchargez BTFix (par bibi26)
• Décompresser l'archive (clique droit sur l'archive -> extraire tout) sur le Bureau.
Il doit y avoir maintenant un dossier du nom de BTFix.
• Sur le Bureau, ouvrir le dossier BTFix.
• Double-click sur le fichier BTFix.exe.
• Click sur Rechercher
• En fin de procédure il affiche le rapport.
• Copier/Coller le rapport dans le prochain message

-------- Désinfection

• Ouvrir BTFix.
• Cliquer sur Nettoyer.
• Un rapport va apparaitre, le copier/coller dans la prochaine réponse.

===================== COMBOFIX ========================

Combofix

Installer ComboFix sur le bureau
Note :
Le serveur de téléchargement peut être en surcharge et renvoyer une page d'erreur. Il faut insister.

• Se déconnecter d'internet
• Désactiver seulement pendant l'utilisation de ComboFix, la protection de l'antivirus et de l'antispyware ceux-ci pouvant entraver le bon fonctionnement de combofix
• Fermer toutes les applications en cours
• Double-click sur l'icône qui s'est installé sur le bureau
• Appuyer sur la touche 1 puis sur entrée:
• Laisser Combofix travailler sans se servir de la machine.
• Si ComboFix a besoin de redémarrer la machine, laisser faire.
• Réactiver la protection de l'antivirus et de l'antispyware

• Copier/Coller le rapport généré dans le bloc-note dans le prochain message
(Ce fichier est automatiquement généré et enregistré sous C:\Combofix.txt)


==================== HIJACKTHIS ======================

• Fermer toutes les applications
• Se débrancher d'Internet (Enlever le cable, c'est encore la meilleure solution)
• Lancer hitjackthis
• Click sur Do a system scan and save a logfile
• Copier/Coller le rapport dans le prochain message puis
• Attendre la suite

(Une belle collection ma foi)
_
0
Réponse 2 / 13
Ocemapydy Messages postés 7 Date d'inscription jeudi 21 février 2008 Statut Membre Dernière intervention 22 mars 2008
22 mars 2008 à 18:25
Alors voici tous les rapports demandés.

Btfix

BTFix 1.090 (par bibi26) - 22/03/2008 16:48:04 - Analyse
Lancé depuis C:\Users\Mapy\Desktop\BTFix\BTFix.exe

---> Fichiers/Dossiers trouvés

- [Heuristique : Search Settings] C:\Windows\Installer\8b4bbe.msi
- C:\Program Files\Search Settings\

---> Analyse terminée

BTFix 1.090 (par bibi26) - 22/03/2008 16:52:06 - Nettoyage - Mode normal
Lancé depuis C:\Users\Mapy\Desktop\BTFix\BTFix.exe

---> Fichiers/dossiers supprimés (Première passe)

- Fichiers temporaires effacés
- [Heuristique : Search Settings] C:\Windows\Installer\8b4bbe.msi
- C:\Program Files\Search Settings\kb126\res\
- C:\Program Files\Search Settings\kb126\temp\
- C:\Program Files\Search Settings\kb126\
- C:\Program Files\Search Settings\

---> Nettoyage terminé
____________________________________________________________________

ComboFix

ComboFix 08-03-22.1 - Mapy 2008-03-22 17:01:20.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6000.0.1252.1.1036.18.274 [GMT 1:00]
Endroit: C:\Users\Mapy\Desktop\ComboFix.exe
* Création d'un nouveau point de restauration
.

((((((((((((((((((((((((((((( Fichiers créés 2008-02-22 to 2008-03-22 ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans cet espace de temps

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-22 14:57 352,614 ---ha-w C:\Windows\system32\drivers\vsconfig.xml
2008-03-22 11:50 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-03-22 10:36 895,016 ----a-w C:\Users\Mapy\WGAPluginInstall.exe
2008-03-18 21:03 --------- d-----w C:\ProgramData\Avira
2008-03-18 08:02 --------- d-----w C:\Users\Mapy\AppData\Roaming\Canon
2008-03-18 06:43 --------- d-----w C:\Program Files\IncrediMail
2008-03-15 20:42 --------- d-----w C:\Users\Mapy\AppData\Roaming\Talkback
2008-03-13 21:21 0 ----a-w C:\ntuser.dat
2008-03-13 06:12 --------- d-----w C:\Program Files\Windows Mail
2008-03-12 06:01 --------- d-----w C:\Users\Mapy\AppData\Roaming\PeerNetworking
2008-03-11 20:31 --------- d-----w C:\Program Files\Free.fr
2008-03-09 20:08 141,312 ----a-w C:\Windows\Internet Logs\xDB7D97.tmp
2008-03-09 13:07 --------- d-----w C:\ProgramData\Spybot - Search & Destroy
2008-03-09 13:03 691,545 ----a-w C:\Windows\unins000.exe
2008-03-09 10:31 --------- d-----w C:\ProgramData\DVD Shrink
2008-03-08 17:50 72,024 ----a-w C:\Users\Mapy\AppData\Roaming\GDIPFONTCACHEV1.DAT
2008-03-08 17:20 --------- d-----w C:\Users\Mapy\AppData\Roaming\CyberLink
2008-03-08 17:20 --------- d-----w C:\ProgramData\CyberLink
2008-03-08 16:16 --------- d-----w C:\Users\Mapy\AppData\Roaming\.ABC
2008-03-07 18:12 2,048,000 ----a-w C:\Windows\Internet Logs\xDB734B.tmp
2008-03-03 13:06 279,440 ----a-w C:\Windows\system32\drivers\vsdatant.sys
2008-03-03 13:05 54,672 ----a-w C:\Windows\System32\vsutil_loc040c.dll
2008-03-03 13:05 1,086,952 ----a-w C:\Windows\System32\zpeng24.dll
2008-03-01 13:10 --------- d-----w C:\Users\Mapy\AppData\Roaming\Grisoft
2008-02-29 12:00 --------- d-----w C:\Program Files\Common Files\Adobe
2008-02-29 11:46 --------- d-----w C:\Users\Mapy\AppData\Roaming\AdobeUM
2008-02-28 13:54 --------- d-----w C:\Users\Mapy\AppData\Roaming\BitTorrent
2008-02-24 17:09 --------- d-----w C:\ProgramData\Grisoft
2008-02-23 21:59 1,378,816 ----a-w C:\Windows\Internet Logs\xDB7C6F.tmp
2008-02-20 18:59 --------- d-----w C:\Users\Mapy\AppData\Roaming\ma-config.com
2008-02-19 11:59 --------- d-----w C:\Program Files\Canon
2008-02-18 11:54 --------- d-----w C:\ProgramData\IM
2008-02-18 07:24 --------- d-----w C:\ProgramData\IncrediMail
2008-02-17 15:06 --------- d-----w C:\Program Files\Crazy Browser
2008-02-17 07:44 194,560 ----a-w C:\Windows\System32\WebClnt.dll
2008-02-17 07:44 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys
2008-02-17 07:41 806,400 ----a-w C:\Windows\system32\drivers\tcpip.sys
2008-02-17 07:41 45,112 ----a-w C:\Windows\system32\drivers\pciidex.sys
2008-02-17 07:41 3,504,696 ----a-w C:\Windows\System32\ntkrnlpa.exe
2008-02-17 07:41 3,470,392 ----a-w C:\Windows\System32\ntoskrnl.exe
2008-02-17 07:41 24,064 ----a-w C:\Windows\System32\netcfg.exe
2008-02-17 07:41 22,016 ----a-w C:\Windows\System32\netiougc.exe
2008-02-17 07:41 217,144 ----a-w C:\Windows\system32\drivers\netio.sys
2008-02-17 07:41 211,000 ----a-w C:\Windows\system32\drivers\volsnap.sys
2008-02-17 07:41 21,560 ----a-w C:\Windows\system32\drivers\atapi.sys
2008-02-17 07:41 167,424 ----a-w C:\Windows\System32\tcpipcfg.dll
2008-02-17 07:41 154,624 ----a-w C:\Windows\system32\drivers\nwifi.sys
2008-02-17 07:41 15,928 ----a-w C:\Windows\system32\drivers\pciide.sys
2008-02-17 07:41 109,624 ----a-w C:\Windows\system32\drivers\ataport.sys
2008-02-17 07:40 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-02-17 07:40 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-02-17 07:40 4,247,552 ----a-w C:\Windows\System32\GameUXLegacyGDFs.dll
2008-02-17 07:40 2,144,256 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-02-17 07:40 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-02-17 07:40 1,686,528 ----a-w C:\Windows\System32\gameux.dll
2008-02-17 07:38 824,832 ----a-w C:\Windows\System32\wininet.dll
2008-02-17 07:38 56,320 ----a-w C:\Windows\System32\iesetup.dll
2008-02-17 07:38 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-02-17 07:38 26,624 ----a-w C:\Windows\System32\ieUnatt.exe
2008-02-17 07:33 --------- d-----w C:\Program Files\Google
2008-02-16 16:56 --------- d-----w C:\Program Files\Yahoo!
2008-02-15 12:27 --------- d-----w C:\ProgramData\Yahoo!
2008-02-10 14:37 --------- d-----w C:\ProgramData\Lavasoft
2008-02-10 14:32 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-02-09 19:58 --------- d-----w C:\Users\Mapy\AppData\Roaming\FileZilla
2008-02-09 19:40 --------- d-----w C:\ProgramData\Nero
2008-02-09 18:10 --------- d-----w C:\Program Files\FileZilla FTP Client
2008-02-09 17:33 --------- d-----w C:\Program Files\K-Lite Codec Pack
2008-02-09 17:21 --------- d-----w C:\ProgramData\LightScribe
2008-02-09 15:21 --------- d-----w C:\ProgramData\CheckPoint
2008-02-09 15:21 --------- d-----w C:\Program Files\Zone Labs
2008-02-09 15:07 --------- d-----w C:\Users\Mapy\AppData\Roaming\Nero
2008-02-09 15:03 --------- d-----w C:\Program Files\Nero
2008-02-09 14:51 174 --sha-w C:\Program Files\desktop.ini
2008-02-09 14:47 --------- d-----w C:\Program Files\Windows Defender
2008-02-09 14:47 --------- d-----w C:\Program Files\Windows Calendar
2008-02-09 14:46 --------- d-----w C:\Program Files\Windows Sidebar
2008-02-09 14:20 87,040 ----a-w C:\Windows\System32\msoert2.dll
2008-02-09 14:18 49,664 ----a-w C:\Windows\System32\csrsrv.dll
2008-02-09 14:18 376,320 ----a-w C:\Windows\System32\winsrv.dll
2008-02-09 14:18 --------- d-----w C:\Program Files\DNA
2008-02-09 14:15 8,147,968 ----a-w C:\Windows\System32\wmploc.DLL
2008-02-09 14:15 7,680 ----a-w C:\Windows\System32\spwmp.dll
2008-02-09 14:15 414,208 ----a-w C:\Windows\System32\msscp.dll
2008-02-09 14:15 4,096 ----a-w C:\Windows\System32\dxmasf.dll
2008-02-09 14:15 356,864 ----a-w C:\Windows\System32\MediaMetadataHandler.dll
2008-02-09 14:14 86,016 ----a-w C:\Windows\System32\icfupgd.dll
2008-02-09 14:14 63,488 ----a-w C:\Windows\system32\drivers\mpsdrv.sys
2008-02-09 14:14 61,952 ----a-w C:\Windows\System32\cmifw.dll
2008-02-09 14:14 396,800 ----a-w C:\Windows\System32\MPSSVC.dll
2008-02-09 14:14 392,192 ----a-w C:\Windows\System32\FirewallAPI.dll
2008-02-09 14:14 23,040 ----a-w C:\Windows\system32\drivers\tunnel.sys
2008-02-09 14:14 178,688 ----a-w C:\Windows\System32\iphlpsvc.dll
2008-02-09 14:14 16,896 ----a-w C:\Windows\System32\wfapigp.dll
2008-02-09 14:14 15,360 ----a-w C:\Windows\system32\drivers\TUNMP.SYS
2008-02-09 14:12 8,704 ----a-w C:\Windows\System32\hcrstco.dll
2008-02-09 14:12 8,704 ----a-w C:\Windows\System32\hccoin.dll
2008-02-09 14:12 5,888 ----a-w C:\Windows\system32\drivers\usbd.sys
2008-02-09 14:12 38,400 ----a-w C:\Windows\system32\drivers\usbehci.sys
2008-02-09 14:12 224,768 ----a-w C:\Windows\system32\drivers\usbport.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-02-09 15:07 1232896]
"IncrediMail"="C:\Program Files\IncrediMail\bin\IncMail.exe" [2008-02-06 08:13 243072]
"cmds"="C:\Users\Mapy\AppData\Local\Temp\mllkj.dll" [2008-03-13 21:19 292352]
"2826c118"="C:\Users\Mapy\AppData\Local\Temp\mkhbjddm.dll" [2008-03-22 10:45 86592]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2008-02-09 15:17 1006264]
"RtHDVCpl"="RtHDVCpl.exe" [2007-03-23 12:04 4423680 C:\Windows\RtHDVCpl.exe]
"WarReg_PopUp"="C:\Acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 20:48 57344]
"eRecoveryService"="" []
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"!AVG Anti-Spyware"="C:\Programmes ajoutes\AVG antispyware\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-03-03 14:05 959976]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 11:35 90112]
"Acer Tour Reminder"="C:\Acer\AcerTour\Reminder.exe" [ ]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Empowering Technology Launcher.lnk - C:\Acer\Empowering Technology\eAPLauncher.exe [2007-05-06 22:22:26 528384]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{659FA9FA-CA84-43CF-99B5-825B88704A4B}"= UDP:C:\Program Files\DNA\btdna.exe:DNA
"{658F52E2-24D2-4DDC-BBF3-F80935440CDD}"= TCP:C:\Program Files\DNA\btdna.exe:DNA
"{E8778D89-889B-4723-AA2C-EF2FAB0D7644}"= UDP:C:\programmes ajoutes\Bit Torrent\BitTorrent\bittorrent.exe:BitTorrent
"{B1A94764-A6C4-47B0-A060-032E4AF5BE35}"= TCP:C:\programmes ajoutes\Bit Torrent\BitTorrent\bittorrent.exe:BitTorrent
"{0045D2DA-8DCB-456A-8E5A-BB1C0399065C}"= UDP:C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe:Yahoo! Messenger
"{17C81865-1843-4E7E-87E9-3BF03901B2EC}"= TCP:C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe:Yahoo! Messenger
"{B7FD03A5-4184-408C-8DE8-580E2E8B6A5C}"= UDP:C:\Program Files\Yahoo!\Messenger\YServer.exe:Yahoo! FT Server
"{24488E3B-693E-42C0-ADDF-F0DC46041BDE}"= TCP:C:\Program Files\Yahoo!\Messenger\YServer.exe:Yahoo! FT Server
"{79691C26-66EF-4374-A7AC-F78BC2E29C38}"= Disabled:UDP:C:\Program Files\IncrediMail\bin\IncMail.exe:IncrediMail
"{0B634E7C-8B6B-4C0B-A3A8-61D119FA80E5}"= Disabled:TCP:C:\Program Files\IncrediMail\bin\IncMail.exe:IncrediMail
"{8C8A0D02-BB77-49B5-8E3B-D5988C2ADD73}"= Disabled:UDP:C:\Program Files\IncrediMail\bin\ImApp.exe:IncrediMail
"{175DF812-822A-46DC-84C4-607EAEBFF06E}"= Disabled:TCP:C:\Program Files\IncrediMail\bin\ImApp.exe:IncrediMail
"{F03E9911-B701-4060-BA99-BB6BFC098683}"= Disabled:UDP:C:\Program Files\IncrediMail\bin\ImpCnt.exe:IncrediMail
"{CE547F23-8CA4-4E14-98F3-51904EFFEC3C}"= Disabled:TCP:C:\Program Files\IncrediMail\bin\ImpCnt.exe:IncrediMail

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"C:\\programmes ajoutes\\Bit Torrent\\BitTorrent\\bittorrent.exe"= C:\programmes ajoutes\Bit Torrent\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent

R0 AtiPcie;ATI PCI Express (3GIO) Filter;C:\Windows\system32\DRIVERS\AtiPcie.sys [2006-10-30 04:22]
R2 aswMonFlt;aswMonFlt;C:\Windows\system32\DRIVERS\aswMonFlt.sys [2007-12-04 15:52]
R2 SBSDWSCService;SBSD Security Center Service;C:\programmes ajoutes\Spybot\Spybot - Search & Destroy\SDWinSec.exe [2008-01-28 11:43]
R3 atikmdag;atikmdag;C:\Windows\system32\DRIVERS\atikmdag.sys [2007-03-14 15:04]
R3 yukonwlh;NDIS6.0 Miniport Driver for Marvell Yukon Ethernet Controller;C:\Windows\system32\DRIVERS\yk60x86.sys [2007-03-23 03:12]
S3 fbxusb;FreeBox USB Network Adapter;C:\Windows\system32\DRIVERS\fbxusb.sys [2002-12-11 14:25]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-22 17:04:10
Windows 6.0.6000 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------

PROCESS: C:\Windows\Explorer.exe
-> C:\Users\Mapy\AppData\Local\Temp\mkhbjddm.dll
-> C:\Users\Mapy\AppData\Local\Temp\mllkj.dll
.
Temps d'accomplissement: 2008-03-22 17:04:48
ComboFix-quarantined-files.txt 2008-03-22 16:04:39
.
2008-03-22 09:48:32 --- E O F ---

____________________________________________________________________________________

HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:49:40, on 22/03/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Programmes ajoutes\AVG antispyware\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\System32\rundll32.exe
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\IncrediMail\bin\ImApp.exe
C:\Program Files\IncrediMail\bin\IncMail.exe
C:\Windows\system32\taskeng.exe
C:\Programmes ajoutes\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmes ajoutes\AVG antispyware\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\Mapy\AppData\Local\Temp\mllkj.dll,c
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (User 'Default user')
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://config.zebulon.fr/plugins/hardwaredetection.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\programmes ajoutes\A2Free\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\programmes ajoutes\Adware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\programmes ajoutes\AVG antispyware\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\programmes ajoutes\Spybot\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe
0
Réponse 3 / 13
Utilisateur anonyme
22 mars 2008 à 18:33
fais ceci :

• Copier le texte ci-dessous :


File::
c:\users\mapy\appdata\local\temp\mllkj.dll

Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"cmds"=-



• Ouvrir le Bloc-Notes puis coller le texte copié. (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
• Sauvegarder ce fichier sous le nom de CFScript.txt.
• Glisser maintenant le fichier CFScript.txt dans Combofix.exe comme montré ici
• Cela va relancer Combofix,
• Une fenêtre bleue va apparaître: un message qui apparait ( Type 1 to continue, or 2 to abort)
• taper 1 puis valider.

• Patienter le temps du scan. Le bureau va disparaitre à plusieurs reprises: c'est normal!
• Ne toucher à rien tant que le scan n'est pas terminé.

• Après redémarrage, copier/coller le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de redémarrage, redémarrer et poster les rapports.

_
0
Réponse 4 / 13
Ocemapydy Messages postés 7 Date d'inscription jeudi 21 février 2008 Statut Membre Dernière intervention 22 mars 2008
22 mars 2008 à 19:08
ComboFix

ComboFix 08-03-22.1 - Mapy 2008-03-22 18:47:36.2 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6000.0.1252.1.1036.18.229 [GMT 1:00]
Endroit: C:\Users\Mapy\Desktop\ComboFix.exe
Command switches used :: C:\Users\Mapy\Desktop\CFScript.txt
* Création d'un nouveau point de restauration

FILE ::
c:\users\mapy\appdata\local\temp\mllkj.dll
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\mapy\appdata\local\temp\mllkj.dll

.
((((((((((((((((((((((((( Files Created from 2008-02-22 to 2008-03-22 )))))))))))))))))))))))))))))))
.

No new files created in this timespan

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-22 17:53 352,614 ---ha-w C:\Windows\system32\drivers\vsconfig.xml
2008-03-22 11:50 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-03-22 10:36 895,016 ----a-w C:\Users\Mapy\WGAPluginInstall.exe
2008-03-18 21:03 --------- d-----w C:\ProgramData\Avira
2008-03-18 08:02 --------- d-----w C:\Users\Mapy\AppData\Roaming\Canon
2008-03-18 06:43 --------- d-----w C:\Program Files\IncrediMail
2008-03-15 20:42 --------- d-----w C:\Users\Mapy\AppData\Roaming\Talkback
2008-03-13 21:21 0 ----a-w C:\ntuser.dat
2008-03-13 06:12 --------- d-----w C:\Program Files\Windows Mail
2008-03-12 06:01 --------- d-----w C:\Users\Mapy\AppData\Roaming\PeerNetworking
2008-03-11 20:31 --------- d-----w C:\Program Files\Free.fr
2008-03-09 20:08 141,312 ----a-w C:\Windows\Internet Logs\xDB7D97.tmp
2008-03-09 13:07 --------- d-----w C:\ProgramData\Spybot - Search & Destroy
2008-03-09 13:03 691,545 ----a-w C:\Windows\unins000.exe
2008-03-09 10:31 --------- d-----w C:\ProgramData\DVD Shrink
2008-03-08 17:50 72,024 ----a-w C:\Users\Mapy\AppData\Roaming\GDIPFONTCACHEV1.DAT
2008-03-08 17:20 --------- d-----w C:\Users\Mapy\AppData\Roaming\CyberLink
2008-03-08 17:20 --------- d-----w C:\ProgramData\CyberLink
2008-03-08 16:16 --------- d-----w C:\Users\Mapy\AppData\Roaming\.ABC
2008-03-07 18:12 2,048,000 ----a-w C:\Windows\Internet Logs\xDB734B.tmp
2008-03-03 13:06 279,440 ----a-w C:\Windows\system32\drivers\vsdatant.sys
2008-03-03 13:05 54,672 ----a-w C:\Windows\System32\vsutil_loc040c.dll
2008-03-03 13:05 1,086,952 ----a-w C:\Windows\System32\zpeng24.dll
2008-03-01 13:10 --------- d-----w C:\Users\Mapy\AppData\Roaming\Grisoft
2008-02-29 12:00 --------- d-----w C:\Program Files\Common Files\Adobe
2008-02-29 11:46 --------- d-----w C:\Users\Mapy\AppData\Roaming\AdobeUM
2008-02-28 13:54 --------- d-----w C:\Users\Mapy\AppData\Roaming\BitTorrent
2008-02-24 17:09 --------- d-----w C:\ProgramData\Grisoft
2008-02-23 21:59 1,378,816 ----a-w C:\Windows\Internet Logs\xDB7C6F.tmp
2008-02-20 18:59 --------- d-----w C:\Users\Mapy\AppData\Roaming\ma-config.com
2008-02-19 11:59 --------- d-----w C:\Program Files\Canon
2008-02-18 11:54 --------- d-----w C:\ProgramData\IM
2008-02-18 07:24 --------- d-----w C:\ProgramData\IncrediMail
2008-02-17 15:06 --------- d-----w C:\Program Files\Crazy Browser
2008-02-17 07:44 194,560 ----a-w C:\Windows\System32\WebClnt.dll
2008-02-17 07:44 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys
2008-02-17 07:41 806,400 ----a-w C:\Windows\system32\drivers\tcpip.sys
2008-02-17 07:41 45,112 ----a-w C:\Windows\system32\drivers\pciidex.sys
2008-02-17 07:41 3,504,696 ----a-w C:\Windows\System32\ntkrnlpa.exe
2008-02-17 07:41 3,470,392 ----a-w C:\Windows\System32\ntoskrnl.exe
2008-02-17 07:41 24,064 ----a-w C:\Windows\System32\netcfg.exe
2008-02-17 07:41 22,016 ----a-w C:\Windows\System32\netiougc.exe
2008-02-17 07:41 217,144 ----a-w C:\Windows\system32\drivers\netio.sys
2008-02-17 07:41 211,000 ----a-w C:\Windows\system32\drivers\volsnap.sys
2008-02-17 07:41 21,560 ----a-w C:\Windows\system32\drivers\atapi.sys
2008-02-17 07:41 167,424 ----a-w C:\Windows\System32\tcpipcfg.dll
2008-02-17 07:41 154,624 ----a-w C:\Windows\system32\drivers\nwifi.sys
2008-02-17 07:41 15,928 ----a-w C:\Windows\system32\drivers\pciide.sys
2008-02-17 07:41 109,624 ----a-w C:\Windows\system32\drivers\ataport.sys
2008-02-17 07:40 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-02-17 07:40 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-02-17 07:40 4,247,552 ----a-w C:\Windows\System32\GameUXLegacyGDFs.dll
2008-02-17 07:40 2,144,256 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-02-17 07:40 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-02-17 07:40 1,686,528 ----a-w C:\Windows\System32\gameux.dll
2008-02-17 07:38 824,832 ----a-w C:\Windows\System32\wininet.dll
2008-02-17 07:38 56,320 ----a-w C:\Windows\System32\iesetup.dll
2008-02-17 07:38 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-02-17 07:38 26,624 ----a-w C:\Windows\System32\ieUnatt.exe
2008-02-17 07:33 --------- d-----w C:\Program Files\Google
2008-02-16 16:56 --------- d-----w C:\Program Files\Yahoo!
2008-02-15 12:27 --------- d-----w C:\ProgramData\Yahoo!
2008-02-10 14:37 --------- d-----w C:\ProgramData\Lavasoft
2008-02-10 14:32 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard
2008-02-09 19:58 --------- d-----w C:\Users\Mapy\AppData\Roaming\FileZilla
2008-02-09 19:40 --------- d-----w C:\ProgramData\Nero
2008-02-09 18:10 --------- d-----w C:\Program Files\FileZilla FTP Client
2008-02-09 17:33 --------- d-----w C:\Program Files\K-Lite Codec Pack
2008-02-09 17:21 --------- d-----w C:\ProgramData\LightScribe
2008-02-09 15:21 --------- d-----w C:\ProgramData\CheckPoint
2008-02-09 15:21 --------- d-----w C:\Program Files\Zone Labs
2008-02-09 15:07 --------- d-----w C:\Users\Mapy\AppData\Roaming\Nero
2008-02-09 15:03 --------- d-----w C:\Program Files\Nero
2008-02-09 14:51 174 --sha-w C:\Program Files\desktop.ini
2008-02-09 14:47 --------- d-----w C:\Program Files\Windows Defender
2008-02-09 14:47 --------- d-----w C:\Program Files\Windows Calendar
2008-02-09 14:46 --------- d-----w C:\Program Files\Windows Sidebar
2008-02-09 14:20 87,040 ----a-w C:\Windows\System32\msoert2.dll
2008-02-09 14:18 49,664 ----a-w C:\Windows\System32\csrsrv.dll
2008-02-09 14:18 376,320 ----a-w C:\Windows\System32\winsrv.dll
2008-02-09 14:18 --------- d-----w C:\Program Files\DNA
2008-02-09 14:15 8,147,968 ----a-w C:\Windows\System32\wmploc.DLL
2008-02-09 14:15 7,680 ----a-w C:\Windows\System32\spwmp.dll
2008-02-09 14:15 414,208 ----a-w C:\Windows\System32\msscp.dll
2008-02-09 14:15 4,096 ----a-w C:\Windows\System32\dxmasf.dll
2008-02-09 14:15 356,864 ----a-w C:\Windows\System32\MediaMetadataHandler.dll
2008-02-09 14:14 86,016 ----a-w C:\Windows\System32\icfupgd.dll
2008-02-09 14:14 63,488 ----a-w C:\Windows\system32\drivers\mpsdrv.sys
2008-02-09 14:14 61,952 ----a-w C:\Windows\System32\cmifw.dll
2008-02-09 14:14 396,800 ----a-w C:\Windows\System32\MPSSVC.dll
2008-02-09 14:14 392,192 ----a-w C:\Windows\System32\FirewallAPI.dll
2008-02-09 14:14 23,040 ----a-w C:\Windows\system32\drivers\tunnel.sys
2008-02-09 14:14 178,688 ----a-w C:\Windows\System32\iphlpsvc.dll
2008-02-09 14:14 16,896 ----a-w C:\Windows\System32\wfapigp.dll
2008-02-09 14:14 15,360 ----a-w C:\Windows\system32\drivers\TUNMP.SYS
2008-02-09 14:12 8,704 ----a-w C:\Windows\System32\hcrstco.dll
2008-02-09 14:12 8,704 ----a-w C:\Windows\System32\hccoin.dll
2008-02-09 14:12 5,888 ----a-w C:\Windows\system32\drivers\usbd.sys
2008-02-09 14:12 38,400 ----a-w C:\Windows\system32\drivers\usbehci.sys
2008-02-09 14:12 224,768 ----a-w C:\Windows\system32\drivers\usbport.sys
.

((((((((((((((((((((((((((((( snapshot@2008-03-22_17.04.32,67 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-03-22 14:57:24 67,584 --s-a-w C:\Windows\bootstat.dat
+ 2008-03-22 17:53:19 67,584 --s-a-w C:\Windows\bootstat.dat
- 2008-03-22 15:12:46 262,144 ----a-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\usrclass.dat
+ 2008-03-22 17:18:57 262,144 ----a-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\usrclass.dat
- 2008-03-22 14:59:23 262,144 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
+ 2008-03-22 17:54:09 262,144 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
+ 2008-03-22 17:54:09 262,144 ---ha-w C:\Windows\ServiceProfiles\LocalService\ntuser.dat.LOG1
- 2008-03-22 16:00:43 262,144 ----a-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\usrclass.dat
+ 2008-03-22 17:46:51 262,144 ----a-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\usrclass.dat
- 2008-03-22 15:52:35 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
+ 2008-03-22 17:54:09 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
+ 2008-03-22 17:54:09 262,144 ---ha-w C:\Windows\ServiceProfiles\NetworkService\ntuser.dat.LOG1
- 2008-03-22 14:57:42 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2008-03-22 17:53:36 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2008-03-22 14:57:42 32,768 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2008-03-22 17:53:36 32,768 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2008-03-22 14:57:42 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2008-03-22 17:53:36 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2008-03-22 15:05:02 103,726 ----a-w C:\Windows\System32\perfc009.dat
+ 2008-03-22 17:08:35 103,726 ----a-w C:\Windows\System32\perfc009.dat
- 2008-03-22 15:05:02 117,366 ----a-w C:\Windows\System32\perfc00C.dat
+ 2008-03-22 17:08:35 117,366 ----a-w C:\Windows\System32\perfc00C.dat
- 2008-03-22 15:05:02 609,944 ----a-w C:\Windows\System32\perfh009.dat
+ 2008-03-22 17:08:35 609,944 ----a-w C:\Windows\System32\perfh009.dat
- 2008-03-22 15:05:02 690,594 ----a-w C:\Windows\System32\perfh00C.dat
+ 2008-03-22 17:08:35 690,594 ----a-w C:\Windows\System32\perfh00C.dat
- 2008-03-22 14:59:51 6,638 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-2446360138-2577251249-3362226069-1000_UserData.bin
+ 2008-03-22 17:06:00 6,638 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-2446360138-2577251249-3362226069-1000_UserData.bin
- 2008-03-22 14:59:51 68,988 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2008-03-22 17:06:00 69,656 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2008-03-22 16:41:10 3,178 ----a-w C:\Windows\System32\WDI\ERCQueuedResolutions.dat
- 2008-03-22 14:59:44 47,472 ----a-w C:\Windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2008-03-22 17:05:50 47,660 ----a-w C:\Windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
- 2008-03-03 07:34:16 170,024 ----a-w C:\Windows\System32\WDI\SuspendPerformanceDiagnostics_SystemData_FastS4.bin
+ 2008-03-22 16:40:44 188,276 ----a-w C:\Windows\System32\WDI\SuspendPerformanceDiagnostics_SystemData_FastS4.bin
.
-- Snapshot reset to current date --
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-02-09 15:07 1232896]
"IncrediMail"="C:\Program Files\IncrediMail\bin\IncMail.exe" [2008-02-06 08:13 243072]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2008-02-09 15:17 1006264]
"RtHDVCpl"="RtHDVCpl.exe" [2007-03-23 12:04 4423680 C:\Windows\RtHDVCpl.exe]
"WarReg_PopUp"="C:\Acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 20:48 57344]
"eRecoveryService"="" []
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"!AVG Anti-Spyware"="C:\Programmes ajoutes\AVG antispyware\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-03-03 14:05 959976]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 11:35 90112]
"Acer Tour Reminder"="C:\Acer\AcerTour\Reminder.exe" [ ]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Empowering Technology Launcher.lnk - C:\Acer\Empowering Technology\eAPLauncher.exe [2007-05-06 22:22:26 528384]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{659FA9FA-CA84-43CF-99B5-825B88704A4B}"= UDP:C:\Program Files\DNA\btdna.exe:DNA
"{658F52E2-24D2-4DDC-BBF3-F80935440CDD}"= TCP:C:\Program Files\DNA\btdna.exe:DNA
"{E8778D89-889B-4723-AA2C-EF2FAB0D7644}"= UDP:C:\programmes ajoutes\Bit Torrent\BitTorrent\bittorrent.exe:BitTorrent
"{B1A94764-A6C4-47B0-A060-032E4AF5BE35}"= TCP:C:\programmes ajoutes\Bit Torrent\BitTorrent\bittorrent.exe:BitTorrent
"{0045D2DA-8DCB-456A-8E5A-BB1C0399065C}"= UDP:C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe:Yahoo! Messenger
"{17C81865-1843-4E7E-87E9-3BF03901B2EC}"= TCP:C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe:Yahoo! Messenger
"{B7FD03A5-4184-408C-8DE8-580E2E8B6A5C}"= UDP:C:\Program Files\Yahoo!\Messenger\YServer.exe:Yahoo! FT Server
"{24488E3B-693E-42C0-ADDF-F0DC46041BDE}"= TCP:C:\Program Files\Yahoo!\Messenger\YServer.exe:Yahoo! FT Server
"{79691C26-66EF-4374-A7AC-F78BC2E29C38}"= Disabled:UDP:C:\Program Files\IncrediMail\bin\IncMail.exe:IncrediMail
"{0B634E7C-8B6B-4C0B-A3A8-61D119FA80E5}"= Disabled:TCP:C:\Program Files\IncrediMail\bin\IncMail.exe:IncrediMail
"{8C8A0D02-BB77-49B5-8E3B-D5988C2ADD73}"= Disabled:UDP:C:\Program Files\IncrediMail\bin\ImApp.exe:IncrediMail
"{175DF812-822A-46DC-84C4-607EAEBFF06E}"= Disabled:TCP:C:\Program Files\IncrediMail\bin\ImApp.exe:IncrediMail
"{F03E9911-B701-4060-BA99-BB6BFC098683}"= Disabled:UDP:C:\Program Files\IncrediMail\bin\ImpCnt.exe:IncrediMail
"{CE547F23-8CA4-4E14-98F3-51904EFFEC3C}"= Disabled:TCP:C:\Program Files\IncrediMail\bin\ImpCnt.exe:IncrediMail

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"C:\\programmes ajoutes\\Bit Torrent\\BitTorrent\\bittorrent.exe"= C:\programmes ajoutes\Bit Torrent\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent

R0 AtiPcie;ATI PCI Express (3GIO) Filter;C:\Windows\system32\DRIVERS\AtiPcie.sys [2006-10-30 04:22]
R2 aswMonFlt;aswMonFlt;C:\Windows\system32\DRIVERS\aswMonFlt.sys [2007-12-04 15:52]
R2 SBSDWSCService;SBSD Security Center Service;C:\programmes ajoutes\Spybot\Spybot - Search & Destroy\SDWinSec.exe [2008-01-28 11:43]
R3 atikmdag;atikmdag;C:\Windows\system32\DRIVERS\atikmdag.sys [2007-03-14 15:04]
R3 yukonwlh;NDIS6.0 Miniport Driver for Marvell Yukon Ethernet Controller;C:\Windows\system32\DRIVERS\yk60x86.sys [2007-03-23 03:12]
S3 fbxusb;FreeBox USB Network Adapter;C:\Windows\system32\DRIVERS\fbxusb.sys [2002-12-11 14:25]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-22 18:54:26
Windows 6.0.6000 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\Ati2evxx.exe
C:\programmes ajoutes\Adware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\programmes ajoutes\A2Free\a-squared Free\a2service.exe
C:\programmes ajoutes\AVG antispyware\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Windows\system32\conime.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
.
**************************************************************************
.
Completion time: 2008-03-22 18:56:20 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-22 17:56:12
ComboFix2.txt 2008-03-22 16:04:49
.
2008-03-22 09:48:32 --- E O F ---
__________________________________________________________

HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:05:14, on 22/03/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Programmes ajoutes\AVG antispyware\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\IncrediMail\bin\ImApp.exe
C:\Program Files\IncrediMail\bin\IncMail.exe
C:\Program Files\Crazy Browser\Crazy Browser.exe
C:\Programmes ajoutes\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmes ajoutes\AVG antispyware\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKUS\S-1-5-18\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (User 'Default user')
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://config.zebulon.fr/plugins/hardwaredetection.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\programmes ajoutes\A2Free\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\programmes ajoutes\Adware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\programmes ajoutes\AVG antispyware\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\programmes ajoutes\Spybot\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 13
Utilisateur anonyme
22 mars 2008 à 19:13
Comment va la machine ?


(Ce n'est pas terminé)

_
0
Réponse 6 / 13
Ocemapydy Messages postés 7 Date d'inscription jeudi 21 février 2008 Statut Membre Dernière intervention 22 mars 2008
22 mars 2008 à 19:23
Visiblement tout est rentré dans l'ordre. Mes icones restent sages à leur place. J'ai à nouveau accès à mes documents.
Un grand merci.
Ce site et ses Forums sont supers et vous êtes des gens formidables de nous aider si gentiment et si efficacement. Encore 1000 mercis.
0
Réponse 7 / 13
Utilisateur anonyme
22 mars 2008 à 19:27
On va terminer proprement. J'arrive avec la suite
0
Réponse 8 / 13
Ocemapydy Messages postés 7 Date d'inscription jeudi 21 février 2008 Statut Membre Dernière intervention 22 mars 2008
22 mars 2008 à 19:31
Ok. J'attends. ;)
0
Réponse 9 / 13
Utilisateur anonyme
22 mars 2008 à 19:33
Supprime Combofix, BTFix et Hijackthis et tous les rapports si tu les a sauvegardé.

===================== CCLEANER ========================
Tu pourras le garder pour faire le ménage de temps en temps. Applique ce qu'il y a ci-dessous

• Fermer toutes les applications
• Lancer CCLeaner
S'il n'est pas en Français cliquer sur Options, Setting, Language
et sélectionner Français
• cocher dans le menu Nettoyeur - onglet Windows :
Internet Explorer: Fichiers Internet Temporaires, Cookies
• Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
• Avancé: Vieilles données du Prefetch
• Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
• Cocher dans le menu Nettoyeur - onglet Applications : Internet: Sun Java
• Cocher , si cela est possible, dans le menu Nettoyeur - onglet Applications :
Firefox/Mozilla: Cache Internet, Cookies
• Click sur Analyse
• Click sur le bouton Lancer le nettoyage dans le menu Nettoyeur.
• Click sur Registre
• Sélectionner tout
• Click sur Chercher des erreurs (En bas)

Une fois le scan terminé sélectionner tout
• Click sur Réparer les erreurs sélectionnées

=============== DESINSTALLER AVAST ==================

desintaller avast qui est une vrai passoire via le lien ci dessous

desintal Avast

===================== ANTIVIR ========================

Télécharger ANTIVIR qui est un antivirus gratuit qui remplacera avantageusement Avast

Suivre la procédure jusqu'au bout. En cas de doute demander

Procédure d'installation

Pour les réglages

------
• Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
• Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes.

• Relancer le Pc et tapoter la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
• Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
-------
• Faire une analyse complète de la machine

En fin de scan ( qui est assez long)
• Clic Sauvegarder REPORT puis Enregistrer sous et choisir bureau
-------
• Relancer la machine en mode normal
• Copier/coller le rapport ici

================ AVG ANTI-SPYWARE ===================
Gratuit le compagnon d'Antivir pour les malwares.
Merci à ep44 pour ce mode explicatif
Télécharger:
AVG-AntiSpyware
• Installer
• Le lancer
• Click : Mise à jour
------
• Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
• Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes.

• Relancer le Pc et tapoter la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
• Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
-------
I M P O R T A N T
• Dans ANALYSE ( en forme de loupe )
• Paramètres ==> sous COMMENT REAGIR==>click sur Actions recommandées ==>Quarantaine
• Click : Analyse complète du système

En fin de scan ( qui est assez long)
• Clic Appliquer toutes les actions <== ceci Très important
• Clic Sauvegarder rapport puis Enregistrer sous et choisir bureau
-------
• Relancer la machine en mode normal
• Copier/coller le rapport ici

=========== POINT DE RESTAURATION SYSTEME =============

Pour désactiver et réactiver sur Vista


Tu en as pour un petit moment mais après tu auras une machine bien protégée.
0
Réponse 10 / 13
Ocemapydy Messages postés 7 Date d'inscription jeudi 21 février 2008 Statut Membre Dernière intervention 22 mars 2008
22 mars 2008 à 22:04
Alors verdict ?

Antivir


AntiVir PersonalEdition Classic
Report file date: samedi 22 mars 2008 20:45

Scanning for 1161960 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows Vista
Windows version: (plain) [6.0.6000]
Username: Mapy
Computer name: PC-DE-MAPY

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 19:32:31
ANTIVIR2.VDF : 7.0.3.62 337408 Bytes 21/03/2008 19:32:31
ANTIVIR3.VDF : 7.0.3.64 16384 Bytes 22/03/2008 19:32:31
AVEWIN32.DLL : 7.6.0.75 3334656 Bytes 22/03/2008 19:32:31
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 22/03/2008 19:32:32
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: D:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: samedi 22 mars 2008 20:45

Starting search for hidden objects.
The driver could not be initialized.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'userinit.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '1' Module(s) have been scanned
Scan process 'aawservice.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsm.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'wininit.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
20 processes with 20 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[NOTE] No virus was found!
Master boot sector HD1
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015
[NOTE] Please restart the search with Administrator rights
Master boot sector HD2
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015
[NOTE] Please restart the search with Administrator rights
Master boot sector HD3
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015
[NOTE] Please restart the search with Administrator rights
Master boot sector HD4
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015
[NOTE] Please restart the search with Administrator rights

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'D:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '10' files ).


Starting the file scan:

Begin scan in 'C:\' <ACER>
C:\pagefile.sys
[WARNING] The file could not be opened!
Begin scan in 'D:\' <DATA>


End of the scan: samedi 22 mars 2008 21:02
Used time: 17:16 min

The scan has been done completely.

11253 Scanning directories
139941 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
139941 Files not concerned
2077 Archives were scanned
31 Warnings
0 Notes

_________________________________________________________________________________
AVG Antispyware

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 21:55:48 22/03/2008

+ Résultat de l'analyse:



Rien à signaler.



Fin du rapport

________________________________________________________________________________

0
Réponse 11 / 13
Utilisateur anonyme
22 mars 2008 à 22:09
Good.

Dans 30 jours, AVG ne surveillera plus en arrière plan ta machine (gratuit) Mais tu pourras le conserver pour, après l'avoir mis à jour, scanner de temps en temps ta machine en mode sans échec. Ou pour scanner un fichier téléchargé (Click droit sur le fichier et vérifier avec AVG)

Antivir idem que ci-dessus sauf que lui restera actif.

Bonne continuation....
0
Réponse 12 / 13
Ocemapydy Messages postés 7 Date d'inscription jeudi 21 février 2008 Statut Membre Dernière intervention 22 mars 2008
22 mars 2008 à 22:24
Merci.
0
Réponse 13 / 13
Utilisateur anonyme
22 mars 2008 à 22:26
;)
0

Discussions similaires

Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Menaces HackTool:Win32
LeMax5993 -
lisa4777 -

4 réponses
PUABundler:Win32/CandyOpen : dangereux ?
joubine -
bazfile -

2 réponses
Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
win32:malware-gen bloqué par avast
ikkual -
Utilisateur anonyme -

69 réponses