Supprimer un Rootkit Résolu/Fermé

Question

Bonjour,
depuis quelques jours avast me dit qu'un Rootkit à été détecté , j'essaye de le supprimer mais rien à faire ! Même avec les anti -rootkit ! A chaque fois que j'ouvre internet avast s'ouvre et me dit que le virus : "Podnuha-R" a été détecté .
Pouvez-vous m'aider ???

fiat500 · Answer

salut

télécharge hijackthis fais un scan et colle moi le log ici stp

https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html

tuto hijackthis :

https://forums.cnetfrance.fr

ep44 · Answer

Bonsoir lorientu,


Télécharge sur le Bureau

ftp://ftp.commentcamarche.com/download/HJTInstall.exe

= Double-clic dessus pour l'installer 
= Clic Do a system scan and save the log
=coller le rapport
si problème voir l'aide
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 

@+

lorientu · Answer

Salut j'ai fait le scan et il me donne le rapport suivant:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:05:09, on 31/05/2008
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\u775p6y.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {063D51A7-270B-4394-8921-72A8E2AA0215} - c:\windows\system32\ciadminq.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {84FF6B48-1B44-4078-9F22-116187AF106E} - C:\WINDOWS\System32\dfrgresc.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [u775p6y] C:\WINDOWS\system32\u775p6y.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\System32\service\services.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [u775p6y] C:\WINDOWS\system32\u775p6y.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin3.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxmultijoueurs.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O20 - Winlogon Notify: pgeipapu - C:\WINDOWS\SYSTEM32\ciadminq.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
O23 - Service: useriniti - Unknown owner - C:\WINDOWS\System32\service\services.exe (file missing)

fiat500 · Answer

Fais un clic droit sur ce lien : (IL-MAFIOSO)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

lorientu · Answer

voila : 

Search Navipromo version 3.5.7 commencé le 31/05/2008 à 12:11:36,49

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "ROBINET" 

Mise à jour le 11.05.2008 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2600.0000 
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\ROBINET\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\ROBINET\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\ROBINET\menudm~1\progra~1" *** 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\ROBINET\locals~1\applic~1" * 



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

Google Updater.exe trouvé !

* Dans "C:\Documents and Settings\ROBINET\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 31/05/2008 à 12:14:33,10 ***

fiat500 · Answer

lance l'option 2 de navilog

lorientu · Answer

voila le rapport : 

Clean Navipromo version 3.5.7 commencé le 31/05/2008 à 12:18:09,07

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "ROBINET" 

Mise à jour le 11.05.2008 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2600.0000
Système de fichiers : NTFS

Mode suppression automatique 
avec prise en charge résultats Catchme et GNS


Nettoyage exécuté au redémarrage de l'ordinateur


 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *


* Suppression dans "C:\Documents and Settings\ROBINET\locals~1\applic~1" * 



*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\ROBINET\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\ROBINET\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\ROBINET\menudm~1\progra~1" *** 



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\ROBINET\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *

Google trouvé !
Echec Copie Google vers dossier Backupnavi  
Google non supprimé !  


* Dans "C:\Documents and Settings\ROBINET\locals~1\applic~1" * 


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 31/05/2008 à 12:21:12,73 ***

fiat500 · Answer

relance l'option 2 en mode sans echec!

lorientu · Answer

comment je fais ?

fiat500 · Answer

tu redemare l'ordi tu appuis sur f8 puis tu choisi mode sans echec avec prise en charge du reseau

puis

Fais un clic droit sur ce lien : (IL-MAFIOSO)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt) 

et tu lance l'option 2

lorientu · Answer

j'ai refais l'option 1 en mode sans échec : 

Search Navipromo version 3.5.7 commencé le 31/05/2008 à 12:31:34,35

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "ROBINET" 

Mise à jour le 11.05.2008 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2600.0000 
Système de fichiers : NTFS

Recherche executé en mode sans échec

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\ROBINET\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\ROBINET\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\ROBINET\menudm~1\progra~1" *** 

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\ROBINET\locals~1\applic~1" * 



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

Google Updater.exe trouvé !

* Dans "C:\Documents and Settings\ROBINET\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 31/05/2008 à 12:34:35,71 ***


je lance maintenant l'option 2

lorientu · Answer

voila l'option 2 :

Clean Navipromo version 3.5.7 commencé le 31/05/2008 à 12:36:25,85

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "ROBINET" 

Mise à jour le 11.05.2008 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2600.0000
Système de fichiers : NTFS

Mode suppression automatique 
avec prise en charge résultats Catchme et GNS


Nettoyage executé en mode sans échec

 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "C:\WINDOWS\System32" *


* Suppression dans "C:\Documents and Settings\ROBINET\locals~1\applic~1" * 



*** Suppression dossiers dans "C:\WINDOWS" ***


*** Suppression dossiers dans "C:\Program Files" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\ROBINET\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\ROBINET\locals~1\applic~1" *** 


*** Suppression dossiers dans "C:\Documents and Settings\ROBINET\menudm~1\progra~1" *** 



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\ROBINET\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "C:\WINDOWS\system32" *

Google trouvé !
Echec Copie Google vers dossier Backupnavi  
Google non supprimé !  


* Dans "C:\Documents and Settings\ROBINET\locals~1\applic~1" * 


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 31/05/2008 à 12:37:01,53 ***

fiat500 · Answer

oui lance l'option 2 toujours en mode sans echec

fiat500 · Answer

desinstalle Google Updater

puis reposte moi un log hiackthis

fiat500 · Answer

comment je vais quoi?

desinstaller google updater?

va dans panneaux de configuration ajouter supp des programmes tu cherche google uptater et tu clic dessus puis désinstaller

fiat500 · Answer

va voir dans poste de travaille c programme file est cherche le dossier google uptater

lorientu · Answer

sa y est j'ai supprimer le fichier

fiat500 · Answer

ok 

recolle moi un log hijackthis

lorientu · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:52:30, on 31/05/2008
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {063D51A7-270B-4394-8921-72A8E2AA0215} - c:\windows\system32\ciadminq.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {84FF6B48-1B44-4078-9F22-116187AF106E} - C:\WINDOWS\System32\dfrgresc.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [u775p6y] C:\WINDOWS\system32\u775p6y.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\System32\service\services.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [u775p6y] C:\WINDOWS\system32\u775p6y.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin3.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxmultijoueurs.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O20 - Winlogon Notify: pgeipapu - C:\WINDOWS\SYSTEM32\ciadminq.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
O23 - Service: useriniti - Unknown owner - C:\WINDOWS\System32\service\services.exe (file missing)

fiat500 · Answer

https://leblogdeclaude.blogspot.com/2007/10/procdure-btfix.html

ep44 · Answer

Bonjour lorientu, fiat500,

Infections MSN!!!

1/ Télécharge sur le bureau
http://sosvirus.changelog.fr/MSNFix.zip
= Clic-Droit sur MSNFix.zip
= Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
= Double-Clic sur le dossier MSNfix qui vient de se créer
= Double-Clic MSNfix ==> Symbole roue dentée
= Choisir R
= Choisir ensuite N ( si infection)
= Enregistre le rapport
redémarre le PC et relancer MSN tu sauras ainsi si tout est supprimé


2/  Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec 

------
= Redémarre en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistre ou imprime les consignes.

Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel
-------

= Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
= Appuie sur Y pour commencer le processus de nettoyage.
= Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
= Appuie sur une touche pour redémarrer le PC.
= Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
= Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
= Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
= Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
= Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse
@+

fiat500 · Answer

avec btfix clic sur nettoyer comme c'est marquer dans le lien :

https://leblogdeclaude.blogspot.com/2007/10/procdure-btfix.html

lorientu · Answer

C'est fait le rapport : 

BTFix 1.098 (par bibi26) - 31/05/2008 13:57:20 - Nettoyage - Mode sans échec avec réseau
Lancé depuis C:\Documents and Settings\ROBINET\Bureau\BTFix\BTFix.exe

---> Fichiers/dossiers supprimés (Première passe)

 - Fichiers temporaires effacés

---> Nettoyage terminé le 31/05/2008 13:57:24

fiat500 · Answer

reposte moi un log hijackthis

lorientu · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:00:28, on 31/05/2008
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {063D51A7-270B-4394-8921-72A8E2AA0215} - c:\windows\system32\ciadminq.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {84FF6B48-1B44-4078-9F22-116187AF106E} - C:\WINDOWS\System32\dfrgresc.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [u775p6y] C:\WINDOWS\system32\u775p6y.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\System32\service\services.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [u775p6y] C:\WINDOWS\system32\u775p6y.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin3.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxmultijoueurs.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O20 - Winlogon Notify: pgeipapu - C:\WINDOWS\SYSTEM32\ciadminq.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
O23 - Service: useriniti - Unknown owner - C:\WINDOWS\System32\service\services.exe (file missing)

fiat500 · Answer

http://sosvirus.changelog.fr/

lorientu · Answer

MSNFix 1.719  
 
C:\Documents and Settings\ROBINET\Bureau\MSNFix 
Fix exécuté le 31/05/2008 - 14:07:49,31 By ROBINET 
mode sans échec           
    
************************ Recherche les fichiers présents      
    
Aucun Fichier trouvé 
 
************************ Recherche les dossiers présents       
 
Aucun dossier trouvé 
 
 
************************ Fichiers suspects 
 
/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention 
 
[C:\WINDOWS\system32\winhttp.zip] 3F518C387E14F7AC840DA7ACC99EA2CD 

[color=#FF0000][b]==>[/b][/color] SVP merci d'envoyer le fichier  [b] C:\DOCUME~1\ROBINET\Bureau\Upload_Me.zip [/b] sur http://upload.changelog.fr

 
  
************************ HKLM\...\Winlogon\Userinit 
 
Userinit = userinit.exe 

Important : http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte


------------------------------------------------------------------------  
Auteur : !aur3n7                     Contact: https://www.ionos.fr/     
------------------------------------------------------------------------   
 
---------------------------------------------   END   ---------------------------------------------

fiat500 · Answer

poste moi un nouveau log hijackthis

ep44 · Answer

fiat500,

Il faut expliquer 
tu donne des liens et c'est tout ????

Pourquoi MSN ???
Quel ligne dans hijack te fait dire ça ???

ou est-ce tout simplement parce que je viens de le dire ??

et si jamais je disais des conneries ??

lorientu · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:14:21, on 31/05/2008
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Dofus\Dofus.exe
C:\Program Files\Dofus\dofus.dll
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {063D51A7-270B-4394-8921-72A8E2AA0215} - c:\windows\system32\ciadminq.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {84FF6B48-1B44-4078-9F22-116187AF106E} - C:\WINDOWS\System32\dfrgresc.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [u775p6y] C:\WINDOWS\system32\u775p6y.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\System32\service\services.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [u775p6y] C:\WINDOWS\system32\u775p6y.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin3.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxmultijoueurs.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O20 - Winlogon Notify: pgeipapu - C:\WINDOWS\SYSTEM32\ciadminq.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
O23 - Service: useriniti - Unknown owner - C:\WINDOWS\System32\service\services.exe (file missing)

fiat500 · Answer

ep44 je fais se que tu as dit parce que ce problème me surpasse je ne sais vraiment pas quoi faire je te passe la main

ep44 · Answer

Non garde la main ;-)

je regarde et intervient si il le faut 


@+:-)

fiat500 · Answer

ben la je ne sais pas cois faire c'est ça le problème!

si je lui dit de telecharger malwarebytes de le mettre a jour et de faire un scan complet et de supprimer tous se qu'il va trouver

lorientu · Answer

je fait quoi alors ???

fiat500 · Answer

coche la case :

O4 - HKLM\..\Run: [Windows UDP Control Center] winudpmgr.exe 
 
puis clic sur fixcheked

lorientu · Answer

faut que je télecharge malwarebytes ?

fiat500 · Answer

oui mes avant ca tu coche la case que je t'ai dit et tu clic sur fixcheked

lorientu · Answer

je la coche où la case ?

fiat500 · Answer

dans hijackthis

ep44 · Answer

1/ Relance hijack et clique sur "Do a system scan only"
Ensuite recherche ces lignes et coches les cases 

O4 - HKLM\..\Run: [Windows UDP Control Center] winudpmgr.exe  

Ensuite clique sur "Fix checked"

Suit las instructions au poste 23
http://www.commentcamarche.net/forum/affich 6655683 supprimer un rootkit?page=2#23

lorientu · Answer

il n' y a pas "O4 - HKLM\..\Run: [Windows UDP Control Center] winudpmgr.exe"  dans la liste !

lorientu · Answer

il n' y a pas "O4 - HKLM\..\Run: [Windows UDP Control Center] winudpmgr.exe" dans la liste !!!

fiat500 · Answer

Suit las instructions au poste 23
http://www.commentcamarche.net/forum/affich 6655683 supprimer un rootkit?page=2#23

lorientu · Answer

quand j'ouvre la page sa me met :

La page demandée ne se trouve plus à l'emplacement indiqué !

fiat500 · Answer

http://www.commentcamarche.net/forum/affich 6655683 supprimer un rootkit?page=2#23

lorientu · Answer

le rapport de SDfix :


[b]SDFix: Version 1.187 [/b]
Run by ROBINET on 31/05/2008 at 15:36

Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\ROBINET\Bureau\SDFix

[b]Checking Services [/b]:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


[b]Checking Files [/b]: 

Trojan Files Found:

C:\WINDOWS\SYSTEM32\DFRGRESC.DLL - Deleted





Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-31 15:40:59
Windows 5.1.2600  NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:0000004b
"TracesSuccessful"=dword:00000004

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[b]Remaining Files [/b]:


File Backups: - C:\DOCUME~1\ROBINET\Bureau\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Mon 28 Jan 2008     1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008     5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008     2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Wed 30 Jan 2008             9 A..H. --- "C:\WINDOWS\system32\wxmmin.dll"
Tue 19 Feb 2008         4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Mon 12 May 2008        19,456 ...H. --- "C:\Documents and Settings\ROBINET\Application Data\Microsoft\Word\~WRL0004.tmp"
Mon 12 May 2008        19,456 ...H. --- "C:\Documents and Settings\ROBINET\Application Data\Microsoft\Word\~WRL1195.tmp"

[b]Finished![/b]

fiat500 · Answer

poste un nouveau log hijackthis

lorientu · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:49:06, on 31/05/2008
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\UAService7.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\u775p6y.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {063D51A7-270B-4394-8921-72A8E2AA0215} - c:\windows\system32\ciadminq.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {84FF6B48-1B44-4078-9F22-116187AF106E} - C:\WINDOWS\System32\dfrgresc.dll (file missing)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [u775p6y] C:\WINDOWS\system32\u775p6y.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [u775p6y] C:\WINDOWS\system32\u775p6y.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin3.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxmultijoueurs.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O20 - Winlogon Notify: pgeipapu - C:\WINDOWS\SYSTEM32\ciadminq.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
O23 - Service: useriniti - Unknown owner - C:\WINDOWS\System32\service\services.exe (file missing)

fiat500 · Answer

coche les cases la en mode sans echec :


C:\WINDOWS\system32\u775p6y.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: (no name) - {063D51A7-270B-4394-8921-72A8E2AA0215} - c:\windows\system32\ciadminq.dll

O20 - Winlogon Notify: pgeipapu - C:\WINDOWS\SYSTEM32\ciadminq.dll

O23 - Service: useriniti - Unknown owner - C:\WINDOWS\System32\service\services.exe (file missing)


puis clic sur fix cheked puis tu me reposte un nouveau log hijackthis

ep44 · Answer

Infection vundo 

O2 - BHO: (no name) - {063D51A7-270B-4394-8921-72A8E2AA0215} - c:\windows\system32\ciadminq.dll

O20 - Winlogon Notify: pgeipapu - C:\WINDOWS\SYSTEM32\ciadminq.dll 


=======================================================

Télécharge malwarebytes
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

=> Installe le 
=> Ensuite va en mode sans echec 


   Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
   Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel


=> Lance malwarebytes
=> Coche "Executer un examen complet"
=> Si tu es en présence d'une infection à la fin de l'examen clique sur "ok"
=> Clique sur Supprimer la sélection
=> Pour poster le rapport Clique sur l'onglet Rapports/Logs, sélectionne celui t'intéresse et clique sur Ouvrir
=> Fait copier coller et poste le rapport 

@+

lorientu · Answer

Malwarebytes' Anti-Malware 1.14
Version de la base de données: 808

19:11:33 31/05/2008
mbam-log-5-31-2008 (19-11-33).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 77319
Temps écoulé: 10 minute(s), 30 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\useriniti (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\{c95fe080-8f5d-11d2-a20b-00aa003c157a} (Trojan.BHO) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\WINDOWS\system32\AppCert (Trojan.Downloader) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\AppCert\options.dat (Trojan.Downloader) -> Quarantined and deleted successfully.

ep44 · Answer

ok 

Télécharge Combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!
=> déconnecte toi d'internet et ferme toutes tes applications.
=> désactive tes protections (antivirus, parefeu,antispyware)
=> Double-clic sur combofix,
=> Ne touche à rien tant que le scan n'est pas terminé.Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
=> Attends que combofix ait terminé, un rapport sera créé. 
=> réactive ton parefeu, ton antivirus, la garde de ton antispyware
=> copie/colle le rapport C:\ComboFix.txt 

@+

lorientu · Answer

voila le log :

ComboFix 08-05-29.1 - ROBINET 2008-05-31 19:36:51.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.730 [GMT 2:00]
Endroit: C:\Documents and Settings\ROBINET\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\oledb32.dll
C:\WINDOWS\system32\ciadminq.dll . . . . Echec de suppression

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_USERINITI
-------\Legacy_YWSKRXSL
-------\Service_ywskrxsl

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-28 to 2008-05-31 ))))))))))))))))))))))))))))))))))))
.

2008-05-31 18:53 . 2008-05-31 18:53 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-31 18:53 . 2008-05-31 18:53 <REP> d-------- C:\Documents and Settings\ROBINET\Application Data\Malwarebytes
2008-05-31 18:53 . 2008-05-31 18:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-31 18:53 . 2008-05-30 01:06 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-31 18:53 . 2008-05-30 01:06 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-31 15:34 . 2008-05-31 15:34 <REP> d-------- C:\WINDOWS\ERUNT
2008-05-31 15:01 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-05-31 15:01 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-05-31 12:10 . 2008-05-31 12:37 <REP> d-------- C:\Program Files\Navilog1
2008-05-31 12:04 . 2008-05-31 12:04 <REP> d-------- C:\Program Files\Trend Micro
2008-05-27 22:23 . 2008-05-27 22:23 <REP> d-------- C:\Deckard
2008-05-26 20:37 . 2008-05-26 20:37 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-26 20:37 . 2008-05-26 20:37 1,409 --a------ C:\WINDOWS\QTFont.for
2008-05-22 00:40 . 2007-01-18 14:00 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys
2008-05-21 16:24 . 2008-05-21 16:24 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-05-21 16:24 . 2008-05-21 16:51 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-05-12 17:37 . 2008-05-12 17:37 244 --ah----- C:\sqmnoopt04.sqm
2008-05-12 17:37 . 2008-05-12 17:37 232 --ah----- C:\sqmdata04.sqm
2008-05-12 09:59 . 2008-05-12 09:59 244 --ah----- C:\sqmnoopt03.sqm
2008-05-12 09:59 . 2008-05-12 09:59 232 --ah----- C:\sqmdata03.sqm
2008-04-25 22:10 . 2008-04-25 22:10 268 --ah----- C:\sqmdata02.sqm
2008-04-25 22:10 . 2008-04-25 22:10 244 --ah----- C:\sqmnoopt02.sqm
2008-04-25 21:09 . 2008-04-25 21:09 244 --ah----- C:\sqmnoopt01.sqm
2008-04-25 21:09 . 2008-04-25 21:09 232 --ah----- C:\sqmdata01.sqm
2008-04-25 00:52 . 2008-04-25 00:52 244 --ah----- C:\sqmnoopt00.sqm
2008-04-25 00:52 . 2008-04-25 00:52 232 --ah----- C:\sqmdata00.sqm
2008-04-23 16:19 . 2008-04-24 23:10 110 --a------ C:\WINDOWS\GMouse.ini
2008-04-15 19:46 . 2008-04-15 19:49 <REP> d-------- C:\Program Files\Dofus
2008-04-01 19:58 . 2008-04-03 15:58 <REP> d-------- C:\Program Files\Fichiers communs\Mozilla Shared
2008-04-01 19:58 . 2008-04-12 15:51 6,490,880 --a------ C:\WINDOWS\system32\uugyftou.dat
2008-04-01 19:58 . 2008-04-01 19:58 1,015,808 --a------ C:\WINDOWS\system32\libeay32.dll
2008-04-01 19:58 . 2008-04-01 19:58 196,608 --a------ C:\WINDOWS\system32\libssl32.dll
2008-04-01 19:58 . 2008-04-13 16:03 36,608 --a------ C:\WINDOWS\system32\xswfnuzk.dat
2008-04-01 19:58 . 2008-04-12 15:51 35,584 --a------ C:\WINDOWS\system32\ewwgwlke.dat

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-31 12:59 --------- d-----w C:\Program Files\Google
2008-05-25 20:51 --------- d-----w C:\Program Files\eMule
2008-04-05 07:03 --------- d-----w C:\Program Files\iTunes
2008-04-05 07:03 --------- d-----w C:\Program Files\iPod
2008-04-05 07:01 --------- d-----w C:\Program Files\QuickTime
2008-04-05 07:00 --------- d-----w C:\Program Files\DivX
2008-04-03 19:02 56,832 --sha-w C:\Program Files\Thumbs.db
2008-03-31 18:12 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-03-31 18:11 --------- d-----w C:\Program Files\Lavasoft
2008-03-31 18:11 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-03-30 20:15 --------- d-----w C:\Program Files\Real Alternative
2008-03-30 20:15 --------- d-----w C:\Program Files\Media Player Classic
2007-12-25 11:24 0 ---h--w C:\Documents and Settings\All Users\Application Data\PKP_DLds.DAT
2007-07-23 17:59 20 -c-h--w C:\Documents and Settings\All Users\Application Data\PKP_DLec.DAT
.

------- Sigcheck -------

2004-08-04 08:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\SoftwareDistribution\Download\70ccc3de7e94865059fbcf2f809c03b1\ip6fw.sys
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{063D51A7-270B-4394-8921-72A8E2AA0215}]
2001-08-28 14:00 81920 --a------ c:\windows\system32\ciadminq.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{84FF6B48-1B44-4078-9F22-116187AF106E}]
C:\WINDOWS\System32\dfrgresc.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-28 14:00 13312]
"u775p6y"="C:\WINDOWS\system32\u775p6y.exe" [2006-11-10 15:27 15872]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 06:24 286720]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-09-14 10:00 267064]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 04:06 40048]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"u775p6y"="C:\WINDOWS\system32\u775p6y.exe" [2006-11-10 15:27 15872]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-28 14:00 13312]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv41"= ir41_32.dll

R0 konchyaa;konchyaa;C:\WINDOWS\System32\drivers\konchyaa.sys [2001-08-28 14:00]
R1 aswSP;avast! Self Protection;C:\WINDOWS\System32\drivers\aswSP.sys [2008-05-16 01:20]
R3 ES1370;Creative AudioPCI (ES1370), SB PCI 64/128 (WDM);C:\WINDOWS\System32\drivers\ES1370MP.sys [2001-08-17 21:19]
S3 MBAMCatchMe;MBAMCatchMe;C:\WINDOWS\System32\drivers\mbamcatchme.sys [2008-05-30 01:06]

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-09-22 13:52:44 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-31 19:48:40
Windows 5.1.2600 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-31 19:51:35 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-31 17:51:28

Pre-Run: 113,973,485,568 octets libres
Post-Run: 113,974,063,104 octets libres

132

ep44 · Answer

J'analyse ce rapport et je te donne une réponse tout à l'heure dans la soirée 

@+

lorientu · Answer

d'accord merci beaucoup !

ep44 · Answer

re,

1/ sélectionne ceci


Driver::
konchyaa


registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{063D51A7-270B-4394-8921-72A8E2AA0215}]
 
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{84FF6B48-1B44-4078-9F22-116187AF106E}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"u775p6y"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"u775p6y"=-



File::
C:\WINDOWS\system32\ciadminq.dll
C:\WINDOWS\system32\uugyftou.dat
C:\WINDOWS\system32\xswfnuzk.dat
C:\WINDOWS\system32\ewwgwlke.dat 





* Copie le texte sélectionné (CTRL+C).
* Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
* Veille à ce que Retour à la ligne ne soit pas coché dans Format. 
* Colle le texte copié dans ce bloc-notes (CTRL+V).
* Sauvegarde ce fichier sous le nom de CFScript.txt
* Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme ceci 
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
* Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt



2/ Télécharge DiagHelp.zip sur ton bureau http://www.malekal.com/download/DiagHelp.zip
==> Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
==> Un nouveau dossier chercher va être créé DiagHelp
==> Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
==> Une fenêtre va s'ouvrir, choisis l'option 1
==> L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
==> Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :
==> Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout
==> A nouveau menu Edition / copier
==> Dans un nouveau message ici, faire un clic droit / coller
@+

lorientu · Answer

voila :

DiagHelp version v1.4 - http://www.malekal.com
excute le 31/05/2008 à 21:59:16,24

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->31/05/2008 21:58:55
C:\WINDOWS\prefetch\WINRAR.EXE-39C6DAD9.pf -->31/05/2008 21:58:15
C:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->31/05/2008 21:57:11
C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->31/05/2008 21:56:39
C:\WINDOWS\prefetch\EXPLORER.EXE-082F38A9.pf -->31/05/2008 21:56:36
C:\WINDOWS\prefetch\WMIPRVSE.EXE-28F301A9.pf -->31/05/2008 21:56:24
C:\WINDOWS\prefetch\CSCRIPT.EXE-1C26180C.pf -->31/05/2008 21:56:17
C:\WINDOWS\prefetch\FINDSTR.EXE-0CA6274B.pf -->31/05/2008 21:56:12
C:\WINDOWS\prefetch\SORT.EXE-194AE83C.pf -->31/05/2008 21:56:11
C:\WINDOWS\prefetch\WUAUCLT.EXE-399A8E72.pf -->31/05/2008 21:54:43

C:\WINDOWS\System32\drivers\mbamcatchme.sys -->30/05/2008 01:06:40
C:\WINDOWS\System32\drivers\mbam.sys -->30/05/2008 01:06:36
C:\WINDOWS\System32\drivers\aswSP.sys -->16/05/2008 01:20:32
C:\WINDOWS\System32\drivers\aswmon2.sys -->16/05/2008 01:18:33
C:\WINDOWS\System32\drivers\aswRdr.sys -->16/05/2008 01:15:29
C:\WINDOWS\System32\drivers\aswTdi.sys -->16/05/2008 01:14:11
C:\WINDOWS\System32\drivers\aavmker4.sys -->16/05/2008 01:13:26

C:\WINDOWS\System32\perfh00C.dat -->31/05/2008 15:44:04
C:\WINDOWS\System32\perfh009.dat -->31/05/2008 15:44:04
C:\WINDOWS\System32\perfc00C.dat -->31/05/2008 15:44:04
C:\WINDOWS\System32\perfc009.dat -->31/05/2008 15:44:04
C:\WINDOWS\System32\PerfStringBackup.INI -->31/05/2008 15:44:02
C:\WINDOWS\System32\wpa.dbl -->27/05/2008 12:16:22
C:\WINDOWS\System32\FNTCACHE.DAT -->21/05/2008 19:39:49
C:\WINDOWS\System32\CONFIG.NT -->21/05/2008 17:00:16
C:\WINDOWS\System32\d3d8caps.dat -->21/05/2008 11:46:04
C:\WINDOWS\System32\aswBoot.exe -->16/05/2008 01:24:43
C:\WINDOWS\System32\AvastSS.scr -->16/05/2008 01:12:36
C:\WINDOWS\System32\libssl32.dll -->01/04/2008 19:58:47
C:\WINDOWS\System32\libeay32.dll -->01/04/2008 19:58:47
C:\WINDOWS\System32\d3d9caps.dat -->31/03/2008 16:34:55
C:\WINDOWS\System32\zllictbl.dat -->25/03/2008 17:29:59
C:\WINDOWS\System32\spupdsvc.inf -->25/03/2008 13:48:28
C:\WINDOWS\System32\spdwnwxp.log -->25/03/2008 13:48:11
C:\WINDOWS\System32\LegitCheckControl.DLL -->20/03/2008 18:06:36
C:\WINDOWS\System32\jupdate-1.6.0_05-b13.log -->09/03/2008 22:31:15
C:\WINDOWS\System32\d3dx9_36.dll -->29/02/2008 18:48:35
C:\WINDOWS\System32\qtplugin.log -->25/02/2008 14:49:25
C:\WINDOWS\System32\javaws.exe -->22/02/2008 03:33:32
C:\WINDOWS\System32\javacpl.cpl -->22/02/2008 03:33:31
C:\WINDOWS\System32\javaw.exe -->22/02/2008 02:23:39
C:\WINDOWS\System32\java.exe -->22/02/2008 02:23:35

C:\WINDOWS\wiadebug.log -->31/05/2008 21:53:30
C:\WINDOWS\system.ini -->31/05/2008 21:53:30
C:\WINDOWS\wiaservc.log -->31/05/2008 21:53:29
C:\WINDOWS\0.log -->31/05/2008 21:53:03
C:\WINDOWS\WindowsUpdate.log -->31/05/2008 21:53:00
C:\WINDOWS\bootstat.dat -->31/05/2008 21:52:41
C:\WINDOWS\SchedLgU.Txt -->31/05/2008 21:51:22
C:\WINDOWS\ntbtlog.txt -->31/05/2008 19:04:42
C:\WINDOWS\svcpack.log -->31/05/2008 16:51:04
C:\WINDOWS\setupapi.log -->31/05/2008 15:45:43
C:\WINDOWS\msnfix.txt -->31/05/2008 14:57:23
C:\WINDOWS\QTFont.qfn -->26/05/2008 20:37:12
C:\WINDOWS\QTFont.for -->26/05/2008 20:37:12
C:\WINDOWS\GMouse.ini -->24/04/2008 23:10:00
C:\WINDOWS\Thumbs.db -->25/03/2008 17:19:20

winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 2604
Command line: C:\WINDOWS\explorer.exe

Base Size Version Path
0x01000000 0xf8000 6.00.2600.0000 C:\WINDOWS\explorer.exe
0x77be0000 0x53000 7.00.2600.0000 C:\WINDOWS\system32\msvcrt.dll
0x77290000 0x63000 6.00.2600.0000 C:\WINDOWS\system32\SHLWAPI.dll
0x77390000 0x802000 6.00.2600.0000 C:\WINDOWS\system32\SHELL32.dll
0x770e0000 0x8b000 3.50.5014.0000 C:\WINDOWS\system32\OLEAUT32.dll
0x75f10000 0xfc000 6.00.2600.0000 C:\WINDOWS\System32\BROWSEUI.dll
0x76960000 0x149000 6.00.2600.0000 C:\WINDOWS\System32\SHDOCVW.dll
0x5b090000 0x34000 6.00.2600.0000 C:\WINDOWS\System32\UxTheme.dll
0x71950000 0xe4000 6.00.2600.0000 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
0x77300000 0x8b000 5.82.2600.0000 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x78000 2001.12.4414.0042 C:\WINDOWS\System32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0042 C:\WINDOWS\System32\COMRes.dll
0x5b950000 0x71000 6.00.2600.0000 C:\WINDOWS\System32\themeui.dll
0x71ca0000 0x1b000 6.00.2600.0000 C:\WINDOWS\System32\actxprxy.dll
0x76ac0000 0x15000 3.00.9238.0000 C:\WINDOWS\System32\ATL.DLL
0x01150000 0x2c6000 3.01.4000.2435 C:\WINDOWS\System32\msi.dll
0x76250000 0x8c000 5.131.2600.0000 C:\WINDOWS\system32\CRYPT32.dll
0x74aa0000 0x43000 6.00.2600.0000 C:\WINDOWS\System32\webcheck.dll
0x74a60000 0x9000 6.00.2600.0000 C:\WINDOWS\System32\BatMeter.dll
0x74a40000 0x7000 6.00.2600.0000 C:\WINDOWS\System32\POWRPROF.dll
*** Loaded c:\windows\system32\ciadminq.dll differs from file image:
*** File timestamp: Tue Oct 15 06:38:22 1996
*** Loaded image timestamp: Sat Jun 20 00:22:17 1992
0x76190000 0x98000 6.00.2600.0000 C:\WINDOWS\system32\wininet.dll
0x76100000 0x8e000 6.00.2600.0000 C:\WINDOWS\System32\shdoclc.dll
0x01470000 0x2e000 C:\Program Files\WinRAR\rarext.dll
0x10000000 0x8000 1.00.0000.0000 C:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll
0x64f00000 0x12000 4.08.1201.0000 C:\Program Files\Alwil Software\Avast4\ashShell.dll
0x723a0000 0x13000 6.00.2600.0000 C:\WINDOWS\System32\browselc.dll
0x026a0000 0x185000 1.05.0000.0011 C:\PROGRA~1\SPYBOT~1\SDHelper.dll
0x76340000 0x46000 6.00.2600.0000 C:\WINDOWS\system32\comdlg32.dll
0x5f140000 0x1a000 5.00.5014.0000 C:\WINDOWS\System32\olepro32.dll
0x746e0000 0x8f000 6.00.2600.0000 C:\WINDOWS\System32\MLANG.dll
0x65f00000 0x7000 6.00.2600.0000 C:\WINDOWS\System32\jsproxy.dll
0x76080000 0x78000 6.00.2600.0000 C:\WINDOWS\system32\urlmon.dll
0x02e20000 0x5b000 8.01.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
0x78130000 0x9b000 8.00.50727.0163 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\MSVCR80.dll
0x02e80000 0x4c000 8.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
0x76be0000 0x2b000 5.131.2600.0000 C:\WINDOWS\System32\WINTRUST.dll
0x0ffd0000 0x22000 5.01.2518.0000 C:\WINDOWS\System32\rsaenh.dll
0x02c60000 0x30000 0.09.0008.0007 C:\WINDOWS\system32\libssl32.dll
0x02d10000 0xfb000 0.09.0008.0007 C:\WINDOWS\System32\LIBEAY32.dll
0x7c340000 0x56000 7.10.3052.0004 C:\WINDOWS\System32\MSVCR71.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 824
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x6f000 \??\C:\WINDOWS\system32\winlogon.exe
0x77be0000 0x53000 7.00.2600.0000 C:\WINDOWS\system32\msvcrt.dll
0x76250000 0x8c000 5.131.2600.0000 C:\WINDOWS\system32\CRYPT32.dll
0x76be0000 0x2b000 5.131.2600.0000 C:\WINDOWS\system32\WINTRUST.dll
0x77390000 0x802000 6.00.2600.0000 C:\WINDOWS\system32\SHELL32.dll
0x77290000 0x63000 6.00.2600.0000 C:\WINDOWS\system32\SHLWAPI.dll
0x77300000 0x8b000 5.82.2600.0000 C:\WINDOWS\system32\COMCTL32.dll
0x1f7b0000 0x31000 3.520.7713.0000 C:\WINDOWS\system32\ODBC32.dll
0x76340000 0x46000 6.00.2600.0000 C:\WINDOWS\system32\comdlg32.dll
0x008f0000 0xe4000 6.00.2600.0000 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
0x1f850000 0x18000 3.520.7713.0000 C:\WINDOWS\system32\odbcint.dll
0x76b70000 0x1f000 6.00.2600.0000 C:\WINDOWS\system32\SHSVCS.dll
0x5b090000 0x34000 6.00.2600.0000 C:\WINDOWS\system32\uxtheme.dll
0x0ffd0000 0x22000 5.01.2518.0000 C:\WINDOWS\System32\rsaenh.dll
0x77000000 0xd4000 2001.12.4414.0042 C:\WINDOWS\system32\COMRes.dll
0x770e0000 0x8b000 3.50.5014.0000 C:\WINDOWS\system32\OLEAUT32.dll
0x76f80000 0x78000 2001.12.4414.0042 C:\WINDOWS\system32\CLBCATQ.DLL

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est C475-F9F2

Répertoire de C:\WINDOWS\system32

28/08/2001 14:00 4 096 csrss.exe
1 fichier(s) 4 096 octets
0 Rép(s) 114 028 404 736 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est C475-F9F2

Répertoire de C:\WINDOWS\Downloaded Program Files

29/05/2008 19:52 <REP> .
29/05/2008 19:52 <REP> ..
28/03/2007 15:31 65 desktop.ini
24/03/2008 19:33 1 527 056 FP_AX_CAB_INSTALLER.exe
22/02/2008 05:50 1 060 jinstall-6u5.inf
20/03/2008 15:10 367 LegitCheckControl.inf
11/09/2006 07:51 231 mjolauncher.inf
30/07/2007 20:24 295 muweb.inf
15/06/2007 10:01 332 OberonGameHost_dbg.inf
24/03/2008 19:18 247 swflash.inf
29/08/2003 16:55 2 136 WMAVAX.inf
30/06/2003 23:41 1 689 WMV9VCM.inf
30/07/2007 20:24 293 wuweb.inf
11 fichier(s) 1 533 771 octets

Total des fichiers listés :
11 fichier(s) 1 533 771 octets
2 Rép(s) 114 028 404 736 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"DisableRegistryTools"=dword:00000000
"HideLegacyLogonScripts"=dword:00000000
"HideLogoffScripts"=dword:00000000
"RunLogonScriptSync"=dword:00000001
"RunStartupScriptSync"=dword:00000000
"HideStartupScripts"=dword:00000000

Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-31 21:59:40
Windows 5.1.2600 NTFS

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000384

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
732 - NkbMonitor.exe
740 - svchost.exe
764 - ctfmon.exe
800 - csrss.exe
824 - winlogon.exe
868 - services.exe
880 - lsass.exe
1064 - svchost.exe
1212 - svchost.exe
1296 - svchost.exe
1328 - svchost.exe
1408 - ashWebSv.exe
1596 - aawservice.exe
1664 - ashServ.exe
2040 - alg.exe
2604 - explorer.exe
3220 - iexplore.exe
3520 - cmd.exe

Total number of processes = 19
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D0000 - \WINDOWS\system32\ntoskrnl.exe
806B5000 - \WINDOWS\system32\hal.dll
F7D37000 - \WINDOWS\system32\KDCOM.DLL
F7C47000 - \WINDOWS\system32\BOOTVID.dll
F77EA000 - ACPI.sys
F7D39000 - \WINDOWS\System32\DRIVERS\WMILIB.SYS
F7837000 - pci.sys
F7847000 - isapnp.sys
F7D3B000 - avgarkt.sys
F7AB7000 - konchyaa.sys
F7DFF000 - pciide.sys
F7ABF000 - \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
F7857000 - MountMgr.sys
F77CB000 - ftdisk.sys
F7D3D000 - dmload.sys
F77A7000 - dmio.sys
F7AC7000 - PartMgr.sys
F7867000 - VolSnap.sys
F7791000 - atapi.sys
F7877000 - disk.sys
F7887000 - \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
F777F000 - sr.sys
F776B000 - KSecDD.sys
F76E8000 - Ntfs.sys
F76C0000 - NDIS.sys
F7897000 - Combo-Fix.sys
F76A6000 - Mup.sys
F79E7000 - \SystemRoot\System32\DRIVERS\processr.sys
F79F7000 - \SystemRoot\system32\drivers\ES1370MP.sys
F763D000 - \SystemRoot\system32\drivers\portcls.sys
F7A07000 - \SystemRoot\system32\drivers\drmk.sys
F761D000 - \SystemRoot\system32\drivers\ks.sys
F760A000 - \SystemRoot\System32\DRIVERS\atimpae.sys
F7A17000 - \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS
F75ED000 - \SystemRoot\System32\DRIVERS\e100b325.sys
F7A27000 - \SystemRoot\System32\DRIVERS\i8042prt.sys
F7B2F000 - \SystemRoot\System32\DRIVERS\mouclass.sys
F7B37000 - \SystemRoot\System32\DRIVERS\kbdclass.sys
F7B3F000 - \SystemRoot\System32\DRIVERS\fdc.sys
F7A37000 - \SystemRoot\System32\DRIVERS\serial.sys
F7CF3000 - \SystemRoot\System32\DRIVERS\serenum.sys
F75DA000 - \SystemRoot\System32\DRIVERS\parport.sys
F7A47000 - \SystemRoot\System32\DRIVERS\cdrom.sys
F7A57000 - \SystemRoot\System32\DRIVERS\redbook.sys
F7B47000 - \SystemRoot\System32\Drivers\GEARAspiWDM.sys
F7CFB000 - \SystemRoot\System32\DRIVERS\usbohci.sys
F75AA000 - \SystemRoot\System32\DRIVERS\USBPORT.SYS
F757F000 - \SystemRoot\System32\DRIVERS\e1000325.sys
F7EB2000 - \SystemRoot\System32\DRIVERS\audstub.sys
F7A67000 - \SystemRoot\System32\DRIVERS\rasl2tp.sys
F7CFF000 - \SystemRoot\System32\DRIVERS\ndistapi.sys
F7569000 - \SystemRoot\System32\DRIVERS\ndiswan.sys
F7A77000 - \SystemRoot\System32\DRIVERS\raspppoe.sys
F7A87000 - \SystemRoot\System32\DRIVERS\raspptp.sys
F7D03000 - \SystemRoot\System32\DRIVERS\TDI.SYS
F7558000 - \SystemRoot\System32\DRIVERS\psched.sys
F7A97000 - \SystemRoot\System32\DRIVERS\msgpc.sys
F7B4F000 - \SystemRoot\System32\DRIVERS\ptilink.sys
F7B57000 - \SystemRoot\System32\DRIVERS\raspti.sys
F7471000 - \SystemRoot\System32\DRIVERS\rdpdr.sys
F78C7000 - \SystemRoot\System32\DRIVERS\termdd.sys
F7EC8000 - \SystemRoot\System32\DRIVERS\swenum.sys
F7427000 - \SystemRoot\System32\DRIVERS\update.sys
F78D7000 - \SystemRoot\System32\Drivers\NDProxy.SYS
F7672000 - \SystemRoot\System32\DRIVERS\gameenum.sys
F78F7000 - \SystemRoot\System32\DRIVERS\usbhub.sys
F7D67000 - \SystemRoot\System32\DRIVERS\USBD.SYS
F7D6B000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
F7F71000 - \SystemRoot\System32\Drivers\Null.SYS
F7D6D000 - \SystemRoot\System32\Drivers\Beep.SYS
F7F72000 - \SystemRoot\System32\DRIVERS\AvgArCln.sys
F7B7F000 - \SystemRoot\System32\DRIVERS\HIDPARSE.SYS
F7B87000 - \SystemRoot\System32\drivers\vga.sys
F7D6F000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F7D71000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F7B8F000 - \SystemRoot\System32\Drivers\Msfs.SYS
F7B97000 - \SystemRoot\System32\Drivers\Npfs.SYS
F7662000 - \SystemRoot\System32\DRIVERS\rasacd.sys
F7907000 - \SystemRoot\System32\DRIVERS\ipsec.sys
F6A4F000 - \SystemRoot\System32\DRIVERS\tcpip.sys
F7917000 - \SystemRoot\System32\Drivers\aswTdi.SYS
F6A2A000 - \SystemRoot\System32\DRIVERS\netbt.sys
F7927000 - \SystemRoot\System32\DRIVERS\netbios.sys
F6A02000 - \SystemRoot\System32\DRIVERS\rdbss.sys
F699E000 - \SystemRoot\System32\DRIVERS\mrxsmb.sys
F7947000 - \SystemRoot\System32\Drivers\Fips.SYS
F7957000 - \SystemRoot\System32\DRIVERS\wanarp.sys
F68E7000 - \SystemRoot\System32\Drivers\aswSP.SYS
F7BAF000 - \SystemRoot\System32\Drivers\Aavmker4.SYS
F7987000 - \SystemRoot\System32\Drivers\Cdfs.SYS
F68D1000 - \SystemRoot\System32\Drivers\dump_atapi.sys
F7D75000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \??\C:\WINDOWS\system32\win32k.sys
F7CEF000 - \??\C:\WINDOWS\system32\watchdog.sys
BFF80000 - \SystemRoot\System32\drivers\dxg.sys
F7E7E000 - \SystemRoot\System32\drivers\dxgthk.sys
BFF50000 - \SystemRoot\System32\atidrae.dll
F5F49000 - \SystemRoot\System32\drivers\afd.sys
F6081000 - \SystemRoot\System32\DRIVERS\ndisuio.sys
F5E1B000 - \SystemRoot\System32\Drivers\aswMon2.SYS
F5C88000 - \SystemRoot\System32\DRIVERS\mrxdav.sys
F7DBD000 - \SystemRoot\System32\Drivers\ParVdm.SYS
F5DBF000 - \SystemRoot\System32\DRIVERS\secdrv.sys
F5AF7000 - \SystemRoot\System32\DRIVERS\srv.sys
F59F4000 - \SystemRoot\System32\DRIVERS\ipnat.sys
F59B8000 - \SystemRoot\system32\drivers\wdmaud.sys
F5B70000 - \SystemRoot\system32\drivers\sysaudio.sys
F57E1000 - \SystemRoot\System32\Drivers\aswRdr.SYS
F7BB7000 - \??\C:\ComboFix\catchme.sys
F7D3F000 - \??\C:\WINDOWS\System32\Drivers\PROCEXP90.SYS
F541E000 - \SystemRoot\system32\drivers\kmixer.sys
F7F19000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 112

Liste des programmes installes

Ad-Aware 2007
Adobe Flash Player ActiveX
Adobe Reader 8.1.0 - Français
AnumanLive
Apple Software Update
Archiveur WinRAR
avast! Antivirus
AVG Anti-Rootkit Free
CCleaner (remove only)
CM4
CM4
Commander - Europe At War 1.04
Correctif Windows XP - KB842773
Dofus 1.23.0
eMule
Harry Potter Order of the Phoenix Screen Saver
HijackThis 2.0.2
Intel(R) PRO Network Connections Drivers
iTunes
Java(TM) 6 Update 5
LeTraducteur
Macromedia Flash Player 8
Malwarebytes' Anti-Malware
Messenger Plus! Live
Microsoft Office 2000 CD-ROM 2
Microsoft Office 2000 Small Business
Microsoft Office PowerPoint Viewer 2003
MSXML 4.0 SP2 Parser and SDK
MSXML4 Parser
Navilog1 3.5.7
PictureProject
QuickTime
Real Alternative 1.51
Spybot - Search & Destroy
WebFldrs XP
Windows Installer 3.1 (KB893803)
Windows Live Messenger

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est C475-F9F2

Répertoire de C:\Program Files

31/05/2008 18:53 <REP> .
31/05/2008 18:53 <REP> ..
23/01/2008 17:36 <REP> Adobe
24/03/2008 23:45 <REP> Alwil Software
27/12/2007 21:28 <REP> Anuman Interactive
22/09/2007 15:52 <REP> Apple Software Update
02/03/2008 00:51 <REP> AviSynth 2.5
29/02/2008 14:49 <REP> CCleaner
28/03/2007 15:30 <REP> ComPlus Applications
29/02/2008 18:34 <REP> directx
05/04/2008 09:00 <REP> DivX
15/04/2008 19:49 <REP> Dofus
25/04/2007 19:13 <REP> Eidos Interactive
25/05/2008 22:51 <REP> eMule
15/05/2008 16:59 <REP> Fichiers communs
31/05/2008 14:59 <REP> Google
25/12/2007 21:07 <REP> Gost In Game
22/05/2008 00:40 <REP> GRISOFT
02/11/2007 17:43 <REP> Hewlett-Packard
24/03/2008 23:47 <REP> Image-Line
25/03/2008 14:05 <REP> Internet Explorer
05/04/2008 09:03 <REP> iPod
05/04/2008 09:03 <REP> iTunes
09/03/2008 22:31 <REP> Java
31/03/2008 20:11 <REP> Lavasoft
31/05/2008 18:53 <REP> Malwarebytes' Anti-Malware
30/03/2008 22:15 <REP> Media Player Classic
25/03/2008 13:45 <REP> Messenger
01/03/2008 14:34 <REP> Messenger Plus! Live
30/01/2008 18:31 <REP> microsoft frontpage
06/04/2008 19:29 <REP> Microsoft Office
25/03/2008 13:45 <REP> Movie Maker
26/02/2008 00:07 <REP> Mozilla Firefox
28/03/2007 15:29 <REP> MSN
28/03/2007 15:29 <REP> MSN Gaming Zone
25/03/2008 18:24 <REP> MSN Messenger
18/07/2007 22:17 <REP> MSXML 4.0
31/05/2008 12:37 <REP> Navilog1
25/03/2008 13:45 <REP> NetMeeting
25/12/2007 20:19 <REP> Nikon
25/03/2008 13:45 <REP> Outlook Express
05/04/2008 09:01 <REP> QuickTime
26/02/2008 00:00 <REP> QuickTime(2)
30/03/2008 22:15 <REP> Real Alternative
28/03/2007 15:29 <REP> Services en ligne
30/01/2008 18:32 <REP> Snapshot Viewer
21/05/2008 16:24 <REP> Spybot - Search & Destroy
31/05/2008 12:04 <REP> Trend Micro
24/03/2008 23:47 <REP> VstPlugins
16/06/2007 23:36 <REP> WebPod Studio
25/03/2008 13:00 <REP> Windows Live
30/03/2008 22:20 <REP> Windows Media Player
25/03/2008 13:45 <REP> Windows NT
30/01/2008 15:16 <REP> winhttp
29/02/2008 18:31 <REP> WinRAR
28/03/2007 15:32 <REP> xerox
0 fichier(s) 0 octets
56 Rép(s) 114 017 153 024 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est C475-F9F2

Répertoire de C:\Program Files\fichiers communs

15/05/2008 16:59 <REP> .
15/05/2008 16:59 <REP> ..
23/01/2008 17:36 <REP> Adobe
30/01/2008 18:28 <REP> Designer
25/03/2008 18:18 <REP> GTK
03/07/2007 13:58 <REP> InstallShield
09/03/2008 22:30 <REP> Java
25/03/2008 17:07 <REP> Microsoft Shared
03/04/2008 15:58 <REP> Mozilla Shared
28/03/2007 15:30 <REP> MSSoap
25/12/2007 20:11 <REP> muvee Technologies
25/12/2007 13:24 <REP> Nikon
28/03/2007 15:27 <REP> ODBC
28/03/2007 15:30 <REP> Services
28/03/2007 15:27 <REP> SpeechEngines
25/03/2008 13:45 <REP> System
31/03/2008 20:11 <REP> Wise Installation Wizard
0 fichier(s) 0 octets
17 Rép(s) 114 017 153 024 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est C475-F9F2

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

28/03/2007 15:39 <REP> .
28/03/2007 15:39 <REP> ..
18/05/2001 17:57 561 209 MSONSEXT.DLL
03/06/1999 14:09 122 937 MSOWS409.DLL
07/03/2001 09:00 127 033 MSOWS40c.DLL
18/03/1999 06:37 593 977 RAGENT.DLL
4 fichier(s) 1 405 156 octets
2 Rép(s) 114 017 153 024 octets libres

c:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 7.4.2.4\iTunesSetupAdmin.exe
c:\Documents and Settings\ROBINET\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe
c:\Documents and Settings\ROBINET\Application Data\Microsoft\Installer\{6815FCDD-401D-481E-BA88-31B4754C2B46}\ARPPRODUCTICON.exe
c:\Documents and Settings\ROBINET\Bureau\ComboFix.exe
c:\Documents and Settings\ROBINET\Bureau\HJTInstall.exe
c:\Documents and Settings\ROBINET\Bureau\mbam-setup.exe
c:\Documents and Settings\ROBINET\Bureau\Navilog1.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix.exe
c:\Documents and Settings\ROBINET\Bureau\Bilou\Bretagne\wps_french_esd.exe
c:\Documents and Settings\ROBINET\Bureau\Bilou\doudouda\avg-anti-rootkit_avg_anti-rootkit_1.1.0.42_anglais_34515.exe
c:\Documents and Settings\ROBINET\Bureau\Bilou\doudouda\DofusInstaller_v1_23_0.exe
c:\Documents and Settings\ROBINET\Bureau\Bilou\doudouda\DofusPatch_v1_22_0_to_v1_23_0.exe
c:\Documents and Settings\ROBINET\Bureau\Bilou\doudouda\iTunes742Setup.exe
c:\Documents and Settings\ROBINET\Bureau\Bilou\doudouda\mplayerc.exe
c:\Documents and Settings\ROBINET\Bureau\Bilou\doudouda\setupfre.exe
c:\Documents and Settings\ROBINET\Bureau\Bilou\doudouda\spybotsd152.exe
c:\Documents and Settings\ROBINET\Bureau\Bilou\doudouda\Tri_GPS\Tri_GPS.exe
c:\Documents and Settings\ROBINET\Bureau\BTFix\BTFix.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\catchme.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\diff.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\dumphive.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\find2.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\Fport.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\grep.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\gzip.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\KProcCheck.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\LFiles.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\md5sums.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\pslist.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\sigcheck.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\streams.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\swreg.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\tar.exe
c:\Documents and Settings\ROBINET\Bureau\MSNFix\incl\catchme.exe
c:\Documents and Settings\ROBINET\Bureau\MSNFix\incl\MD5File.exe
c:\Documents and Settings\ROBINET\Bureau\MSNFix\incl\Process.exe
c:\Documents and Settings\ROBINET\Bureau\MSNFix\incl\setpath.exe
c:\Documents and Settings\ROBINET\Bureau\MSNFix\incl\swreg.exe
c:\Documents and Settings\ROBINET\Bureau\MSNFix\incl\zip.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\catchme.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\cliptext.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\download.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\ERUNT.EXE
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\FixPath.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\grep.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\isadmin.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\LS.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\MD5File.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\Process.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\procs.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\psservice.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\RestartIt!.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\sc.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\sed.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\SF.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\shutdown.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\swreg.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\swsc.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\unzip.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\vfind.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\WINMSG.EXE
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\zip.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\Replace\regedit.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\Replace\W2K.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\Replace\XP.exe
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

****** Fin du rapport DiagHelp
Veuillez svp envoyer le fichier C:\upload_moi_ROBINET-WIAW76Q.tar.gz a l'adresse http://upload.malekal.com

lorientu · Answer

voila :

DiagHelp version v1.4 - http://www.malekal.com
excute le 31/05/2008 à 21:59:16,24

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->31/05/2008 21:58:55
C:\WINDOWS\prefetch\WINRAR.EXE-39C6DAD9.pf -->31/05/2008 21:58:15
C:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->31/05/2008 21:57:11
C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->31/05/2008 21:56:39
C:\WINDOWS\prefetch\EXPLORER.EXE-082F38A9.pf -->31/05/2008 21:56:36
C:\WINDOWS\prefetch\WMIPRVSE.EXE-28F301A9.pf -->31/05/2008 21:56:24
C:\WINDOWS\prefetch\CSCRIPT.EXE-1C26180C.pf -->31/05/2008 21:56:17
C:\WINDOWS\prefetch\FINDSTR.EXE-0CA6274B.pf -->31/05/2008 21:56:12
C:\WINDOWS\prefetch\SORT.EXE-194AE83C.pf -->31/05/2008 21:56:11
C:\WINDOWS\prefetch\WUAUCLT.EXE-399A8E72.pf -->31/05/2008 21:54:43

C:\WINDOWS\System32\drivers\mbamcatchme.sys -->30/05/2008 01:06:40
C:\WINDOWS\System32\drivers\mbam.sys -->30/05/2008 01:06:36
C:\WINDOWS\System32\drivers\aswSP.sys -->16/05/2008 01:20:32
C:\WINDOWS\System32\drivers\aswmon2.sys -->16/05/2008 01:18:33
C:\WINDOWS\System32\drivers\aswRdr.sys -->16/05/2008 01:15:29
C:\WINDOWS\System32\drivers\aswTdi.sys -->16/05/2008 01:14:11
C:\WINDOWS\System32\drivers\aavmker4.sys -->16/05/2008 01:13:26

C:\WINDOWS\System32\perfh00C.dat -->31/05/2008 15:44:04
C:\WINDOWS\System32\perfh009.dat -->31/05/2008 15:44:04
C:\WINDOWS\System32\perfc00C.dat -->31/05/2008 15:44:04
C:\WINDOWS\System32\perfc009.dat -->31/05/2008 15:44:04
C:\WINDOWS\System32\PerfStringBackup.INI -->31/05/2008 15:44:02
C:\WINDOWS\System32\wpa.dbl -->27/05/2008 12:16:22
C:\WINDOWS\System32\FNTCACHE.DAT -->21/05/2008 19:39:49
C:\WINDOWS\System32\CONFIG.NT -->21/05/2008 17:00:16
C:\WINDOWS\System32\d3d8caps.dat -->21/05/2008 11:46:04
C:\WINDOWS\System32\aswBoot.exe -->16/05/2008 01:24:43
C:\WINDOWS\System32\AvastSS.scr -->16/05/2008 01:12:36
C:\WINDOWS\System32\libssl32.dll -->01/04/2008 19:58:47
C:\WINDOWS\System32\libeay32.dll -->01/04/2008 19:58:47
C:\WINDOWS\System32\d3d9caps.dat -->31/03/2008 16:34:55
C:\WINDOWS\System32\zllictbl.dat -->25/03/2008 17:29:59
C:\WINDOWS\System32\spupdsvc.inf -->25/03/2008 13:48:28
C:\WINDOWS\System32\spdwnwxp.log -->25/03/2008 13:48:11
C:\WINDOWS\System32\LegitCheckControl.DLL -->20/03/2008 18:06:36
C:\WINDOWS\System32\jupdate-1.6.0_05-b13.log -->09/03/2008 22:31:15
C:\WINDOWS\System32\d3dx9_36.dll -->29/02/2008 18:48:35
C:\WINDOWS\System32\qtplugin.log -->25/02/2008 14:49:25
C:\WINDOWS\System32\javaws.exe -->22/02/2008 03:33:32
C:\WINDOWS\System32\javacpl.cpl -->22/02/2008 03:33:31
C:\WINDOWS\System32\javaw.exe -->22/02/2008 02:23:39
C:\WINDOWS\System32\java.exe -->22/02/2008 02:23:35

C:\WINDOWS\wiadebug.log -->31/05/2008 21:53:30
C:\WINDOWS\system.ini -->31/05/2008 21:53:30
C:\WINDOWS\wiaservc.log -->31/05/2008 21:53:29
C:\WINDOWS\0.log -->31/05/2008 21:53:03
C:\WINDOWS\WindowsUpdate.log -->31/05/2008 21:53:00
C:\WINDOWS\bootstat.dat -->31/05/2008 21:52:41
C:\WINDOWS\SchedLgU.Txt -->31/05/2008 21:51:22
C:\WINDOWS\ntbtlog.txt -->31/05/2008 19:04:42
C:\WINDOWS\svcpack.log -->31/05/2008 16:51:04
C:\WINDOWS\setupapi.log -->31/05/2008 15:45:43
C:\WINDOWS\msnfix.txt -->31/05/2008 14:57:23
C:\WINDOWS\QTFont.qfn -->26/05/2008 20:37:12
C:\WINDOWS\QTFont.for -->26/05/2008 20:37:12
C:\WINDOWS\GMouse.ini -->24/04/2008 23:10:00
C:\WINDOWS\Thumbs.db -->25/03/2008 17:19:20

winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 2604
Command line: C:\WINDOWS\explorer.exe

Base Size Version Path
0x01000000 0xf8000 6.00.2600.0000 C:\WINDOWS\explorer.exe
0x77be0000 0x53000 7.00.2600.0000 C:\WINDOWS\system32\msvcrt.dll
0x77290000 0x63000 6.00.2600.0000 C:\WINDOWS\system32\SHLWAPI.dll
0x77390000 0x802000 6.00.2600.0000 C:\WINDOWS\system32\SHELL32.dll
0x770e0000 0x8b000 3.50.5014.0000 C:\WINDOWS\system32\OLEAUT32.dll
0x75f10000 0xfc000 6.00.2600.0000 C:\WINDOWS\System32\BROWSEUI.dll
0x76960000 0x149000 6.00.2600.0000 C:\WINDOWS\System32\SHDOCVW.dll
0x5b090000 0x34000 6.00.2600.0000 C:\WINDOWS\System32\UxTheme.dll
0x71950000 0xe4000 6.00.2600.0000 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
0x77300000 0x8b000 5.82.2600.0000 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x78000 2001.12.4414.0042 C:\WINDOWS\System32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0042 C:\WINDOWS\System32\COMRes.dll
0x5b950000 0x71000 6.00.2600.0000 C:\WINDOWS\System32\themeui.dll
0x71ca0000 0x1b000 6.00.2600.0000 C:\WINDOWS\System32\actxprxy.dll
0x76ac0000 0x15000 3.00.9238.0000 C:\WINDOWS\System32\ATL.DLL
0x01150000 0x2c6000 3.01.4000.2435 C:\WINDOWS\System32\msi.dll
0x76250000 0x8c000 5.131.2600.0000 C:\WINDOWS\system32\CRYPT32.dll
0x74aa0000 0x43000 6.00.2600.0000 C:\WINDOWS\System32\webcheck.dll
0x74a60000 0x9000 6.00.2600.0000 C:\WINDOWS\System32\BatMeter.dll
0x74a40000 0x7000 6.00.2600.0000 C:\WINDOWS\System32\POWRPROF.dll
*** Loaded c:\windows\system32\ciadminq.dll differs from file image:
*** File timestamp: Tue Oct 15 06:38:22 1996
*** Loaded image timestamp: Sat Jun 20 00:22:17 1992
0x76190000 0x98000 6.00.2600.0000 C:\WINDOWS\system32\wininet.dll
0x76100000 0x8e000 6.00.2600.0000 C:\WINDOWS\System32\shdoclc.dll
0x01470000 0x2e000 C:\Program Files\WinRAR\rarext.dll
0x10000000 0x8000 1.00.0000.0000 C:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll
0x64f00000 0x12000 4.08.1201.0000 C:\Program Files\Alwil Software\Avast4\ashShell.dll
0x723a0000 0x13000 6.00.2600.0000 C:\WINDOWS\System32\browselc.dll
0x026a0000 0x185000 1.05.0000.0011 C:\PROGRA~1\SPYBOT~1\SDHelper.dll
0x76340000 0x46000 6.00.2600.0000 C:\WINDOWS\system32\comdlg32.dll
0x5f140000 0x1a000 5.00.5014.0000 C:\WINDOWS\System32\olepro32.dll
0x746e0000 0x8f000 6.00.2600.0000 C:\WINDOWS\System32\MLANG.dll
0x65f00000 0x7000 6.00.2600.0000 C:\WINDOWS\System32\jsproxy.dll
0x76080000 0x78000 6.00.2600.0000 C:\WINDOWS\system32\urlmon.dll
0x02e20000 0x5b000 8.01.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
0x78130000 0x9b000 8.00.50727.0163 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\MSVCR80.dll
0x02e80000 0x4c000 8.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
0x76be0000 0x2b000 5.131.2600.0000 C:\WINDOWS\System32\WINTRUST.dll
0x0ffd0000 0x22000 5.01.2518.0000 C:\WINDOWS\System32\rsaenh.dll
0x02c60000 0x30000 0.09.0008.0007 C:\WINDOWS\system32\libssl32.dll
0x02d10000 0xfb000 0.09.0008.0007 C:\WINDOWS\System32\LIBEAY32.dll
0x7c340000 0x56000 7.10.3052.0004 C:\WINDOWS\System32\MSVCR71.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 824
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x6f000 \??\C:\WINDOWS\system32\winlogon.exe
0x77be0000 0x53000 7.00.2600.0000 C:\WINDOWS\system32\msvcrt.dll
0x76250000 0x8c000 5.131.2600.0000 C:\WINDOWS\system32\CRYPT32.dll
0x76be0000 0x2b000 5.131.2600.0000 C:\WINDOWS\system32\WINTRUST.dll
0x77390000 0x802000 6.00.2600.0000 C:\WINDOWS\system32\SHELL32.dll
0x77290000 0x63000 6.00.2600.0000 C:\WINDOWS\system32\SHLWAPI.dll
0x77300000 0x8b000 5.82.2600.0000 C:\WINDOWS\system32\COMCTL32.dll
0x1f7b0000 0x31000 3.520.7713.0000 C:\WINDOWS\system32\ODBC32.dll
0x76340000 0x46000 6.00.2600.0000 C:\WINDOWS\system32\comdlg32.dll
0x008f0000 0xe4000 6.00.2600.0000 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
0x1f850000 0x18000 3.520.7713.0000 C:\WINDOWS\system32\odbcint.dll
0x76b70000 0x1f000 6.00.2600.0000 C:\WINDOWS\system32\SHSVCS.dll
0x5b090000 0x34000 6.00.2600.0000 C:\WINDOWS\system32\uxtheme.dll
0x0ffd0000 0x22000 5.01.2518.0000 C:\WINDOWS\System32\rsaenh.dll
0x77000000 0xd4000 2001.12.4414.0042 C:\WINDOWS\system32\COMRes.dll
0x770e0000 0x8b000 3.50.5014.0000 C:\WINDOWS\system32\OLEAUT32.dll
0x76f80000 0x78000 2001.12.4414.0042 C:\WINDOWS\system32\CLBCATQ.DLL

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est C475-F9F2

Répertoire de C:\WINDOWS\system32

28/08/2001 14:00 4 096 csrss.exe
1 fichier(s) 4 096 octets
0 Rép(s) 114 028 404 736 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est C475-F9F2

Répertoire de C:\WINDOWS\Downloaded Program Files

29/05/2008 19:52 <REP> .
29/05/2008 19:52 <REP> ..
28/03/2007 15:31 65 desktop.ini
24/03/2008 19:33 1 527 056 FP_AX_CAB_INSTALLER.exe
22/02/2008 05:50 1 060 jinstall-6u5.inf
20/03/2008 15:10 367 LegitCheckControl.inf
11/09/2006 07:51 231 mjolauncher.inf
30/07/2007 20:24 295 muweb.inf
15/06/2007 10:01 332 OberonGameHost_dbg.inf
24/03/2008 19:18 247 swflash.inf
29/08/2003 16:55 2 136 WMAVAX.inf
30/06/2003 23:41 1 689 WMV9VCM.inf
30/07/2007 20:24 293 wuweb.inf
11 fichier(s) 1 533 771 octets

Total des fichiers listés :
11 fichier(s) 1 533 771 octets
2 Rép(s) 114 028 404 736 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"DisableRegistryTools"=dword:00000000
"HideLegacyLogonScripts"=dword:00000000
"HideLogoffScripts"=dword:00000000
"RunLogonScriptSync"=dword:00000001
"RunStartupScriptSync"=dword:00000000
"HideStartupScripts"=dword:00000000

Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-31 21:59:40
Windows 5.1.2600 NTFS

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000384

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
732 - NkbMonitor.exe
740 - svchost.exe
764 - ctfmon.exe
800 - csrss.exe
824 - winlogon.exe
868 - services.exe
880 - lsass.exe
1064 - svchost.exe
1212 - svchost.exe
1296 - svchost.exe
1328 - svchost.exe
1408 - ashWebSv.exe
1596 - aawservice.exe
1664 - ashServ.exe
2040 - alg.exe
2604 - explorer.exe
3220 - iexplore.exe
3520 - cmd.exe

Total number of processes = 19
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D0000 - \WINDOWS\system32\ntoskrnl.exe
806B5000 - \WINDOWS\system32\hal.dll
F7D37000 - \WINDOWS\system32\KDCOM.DLL
F7C47000 - \WINDOWS\system32\BOOTVID.dll
F77EA000 - ACPI.sys
F7D39000 - \WINDOWS\System32\DRIVERS\WMILIB.SYS
F7837000 - pci.sys
F7847000 - isapnp.sys
F7D3B000 - avgarkt.sys
F7AB7000 - konchyaa.sys
F7DFF000 - pciide.sys
F7ABF000 - \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
F7857000 - MountMgr.sys
F77CB000 - ftdisk.sys
F7D3D000 - dmload.sys
F77A7000 - dmio.sys
F7AC7000 - PartMgr.sys
F7867000 - VolSnap.sys
F7791000 - atapi.sys
F7877000 - disk.sys
F7887000 - \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
F777F000 - sr.sys
F776B000 - KSecDD.sys
F76E8000 - Ntfs.sys
F76C0000 - NDIS.sys
F7897000 - Combo-Fix.sys
F76A6000 - Mup.sys
F79E7000 - \SystemRoot\System32\DRIVERS\processr.sys
F79F7000 - \SystemRoot\system32\drivers\ES1370MP.sys
F763D000 - \SystemRoot\system32\drivers\portcls.sys
F7A07000 - \SystemRoot\system32\drivers\drmk.sys
F761D000 - \SystemRoot\system32\drivers\ks.sys
F760A000 - \SystemRoot\System32\DRIVERS\atimpae.sys
F7A17000 - \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS
F75ED000 - \SystemRoot\System32\DRIVERS\e100b325.sys
F7A27000 - \SystemRoot\System32\DRIVERS\i8042prt.sys
F7B2F000 - \SystemRoot\System32\DRIVERS\mouclass.sys
F7B37000 - \SystemRoot\System32\DRIVERS\kbdclass.sys
F7B3F000 - \SystemRoot\System32\DRIVERS\fdc.sys
F7A37000 - \SystemRoot\System32\DRIVERS\serial.sys
F7CF3000 - \SystemRoot\System32\DRIVERS\serenum.sys
F75DA000 - \SystemRoot\System32\DRIVERS\parport.sys
F7A47000 - \SystemRoot\System32\DRIVERS\cdrom.sys
F7A57000 - \SystemRoot\System32\DRIVERS\redbook.sys
F7B47000 - \SystemRoot\System32\Drivers\GEARAspiWDM.sys
F7CFB000 - \SystemRoot\System32\DRIVERS\usbohci.sys
F75AA000 - \SystemRoot\System32\DRIVERS\USBPORT.SYS
F757F000 - \SystemRoot\System32\DRIVERS\e1000325.sys
F7EB2000 - \SystemRoot\System32\DRIVERS\audstub.sys
F7A67000 - \SystemRoot\System32\DRIVERS\rasl2tp.sys
F7CFF000 - \SystemRoot\System32\DRIVERS\ndistapi.sys
F7569000 - \SystemRoot\System32\DRIVERS\ndiswan.sys
F7A77000 - \SystemRoot\System32\DRIVERS\raspppoe.sys
F7A87000 - \SystemRoot\System32\DRIVERS\raspptp.sys
F7D03000 - \SystemRoot\System32\DRIVERS\TDI.SYS
F7558000 - \SystemRoot\System32\DRIVERS\psched.sys
F7A97000 - \SystemRoot\System32\DRIVERS\msgpc.sys
F7B4F000 - \SystemRoot\System32\DRIVERS\ptilink.sys
F7B57000 - \SystemRoot\System32\DRIVERS\raspti.sys
F7471000 - \SystemRoot\System32\DRIVERS\rdpdr.sys
F78C7000 - \SystemRoot\System32\DRIVERS\termdd.sys
F7EC8000 - \SystemRoot\System32\DRIVERS\swenum.sys
F7427000 - \SystemRoot\System32\DRIVERS\update.sys
F78D7000 - \SystemRoot\System32\Drivers\NDProxy.SYS
F7672000 - \SystemRoot\System32\DRIVERS\gameenum.sys
F78F7000 - \SystemRoot\System32\DRIVERS\usbhub.sys
F7D67000 - \SystemRoot\System32\DRIVERS\USBD.SYS
F7D6B000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
F7F71000 - \SystemRoot\System32\Drivers\Null.SYS
F7D6D000 - \SystemRoot\System32\Drivers\Beep.SYS
F7F72000 - \SystemRoot\System32\DRIVERS\AvgArCln.sys
F7B7F000 - \SystemRoot\System32\DRIVERS\HIDPARSE.SYS
F7B87000 - \SystemRoot\System32\drivers\vga.sys
F7D6F000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F7D71000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F7B8F000 - \SystemRoot\System32\Drivers\Msfs.SYS
F7B97000 - \SystemRoot\System32\Drivers\Npfs.SYS
F7662000 - \SystemRoot\System32\DRIVERS\rasacd.sys
F7907000 - \SystemRoot\System32\DRIVERS\ipsec.sys
F6A4F000 - \SystemRoot\System32\DRIVERS\tcpip.sys
F7917000 - \SystemRoot\System32\Drivers\aswTdi.SYS
F6A2A000 - \SystemRoot\System32\DRIVERS\netbt.sys
F7927000 - \SystemRoot\System32\DRIVERS\netbios.sys
F6A02000 - \SystemRoot\System32\DRIVERS\rdbss.sys
F699E000 - \SystemRoot\System32\DRIVERS\mrxsmb.sys
F7947000 - \SystemRoot\System32\Drivers\Fips.SYS
F7957000 - \SystemRoot\System32\DRIVERS\wanarp.sys
F68E7000 - \SystemRoot\System32\Drivers\aswSP.SYS
F7BAF000 - \SystemRoot\System32\Drivers\Aavmker4.SYS
F7987000 - \SystemRoot\System32\Drivers\Cdfs.SYS
F68D1000 - \SystemRoot\System32\Drivers\dump_atapi.sys
F7D75000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \??\C:\WINDOWS\system32\win32k.sys
F7CEF000 - \??\C:\WINDOWS\system32\watchdog.sys
BFF80000 - \SystemRoot\System32\drivers\dxg.sys
F7E7E000 - \SystemRoot\System32\drivers\dxgthk.sys
BFF50000 - \SystemRoot\System32\atidrae.dll
F5F49000 - \SystemRoot\System32\drivers\afd.sys
F6081000 - \SystemRoot\System32\DRIVERS\ndisuio.sys
F5E1B000 - \SystemRoot\System32\Drivers\aswMon2.SYS
F5C88000 - \SystemRoot\System32\DRIVERS\mrxdav.sys
F7DBD000 - \SystemRoot\System32\Drivers\ParVdm.SYS
F5DBF000 - \SystemRoot\System32\DRIVERS\secdrv.sys
F5AF7000 - \SystemRoot\System32\DRIVERS\srv.sys
F59F4000 - \SystemRoot\System32\DRIVERS\ipnat.sys
F59B8000 - \SystemRoot\system32\drivers\wdmaud.sys
F5B70000 - \SystemRoot\system32\drivers\sysaudio.sys
F57E1000 - \SystemRoot\System32\Drivers\aswRdr.SYS
F7BB7000 - \??\C:\ComboFix\catchme.sys
F7D3F000 - \??\C:\WINDOWS\System32\Drivers\PROCEXP90.SYS
F541E000 - \SystemRoot\system32\drivers\kmixer.sys
F7F19000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 112

Liste des programmes installes

Ad-Aware 2007
Adobe Flash Player ActiveX
Adobe Reader 8.1.0 - Français
AnumanLive
Apple Software Update
Archiveur WinRAR
avast! Antivirus
AVG Anti-Rootkit Free
CCleaner (remove only)
CM4
CM4
Commander - Europe At War 1.04
Correctif Windows XP - KB842773
Dofus 1.23.0
eMule
Harry Potter Order of the Phoenix Screen Saver
HijackThis 2.0.2
Intel(R) PRO Network Connections Drivers
iTunes
Java(TM) 6 Update 5
LeTraducteur
Macromedia Flash Player 8
Malwarebytes' Anti-Malware
Messenger Plus! Live
Microsoft Office 2000 CD-ROM 2
Microsoft Office 2000 Small Business
Microsoft Office PowerPoint Viewer 2003
MSXML 4.0 SP2 Parser and SDK
MSXML4 Parser
Navilog1 3.5.7
PictureProject
QuickTime
Real Alternative 1.51
Spybot - Search & Destroy
WebFldrs XP
Windows Installer 3.1 (KB893803)
Windows Live Messenger

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est C475-F9F2

Répertoire de C:\Program Files

31/05/2008 18:53 <REP> .
31/05/2008 18:53 <REP> ..
23/01/2008 17:36 <REP> Adobe
24/03/2008 23:45 <REP> Alwil Software
27/12/2007 21:28 <REP> Anuman Interactive
22/09/2007 15:52 <REP> Apple Software Update
02/03/2008 00:51 <REP> AviSynth 2.5
29/02/2008 14:49 <REP> CCleaner
28/03/2007 15:30 <REP> ComPlus Applications
29/02/2008 18:34 <REP> directx
05/04/2008 09:00 <REP> DivX
15/04/2008 19:49 <REP> Dofus
25/04/2007 19:13 <REP> Eidos Interactive
25/05/2008 22:51 <REP> eMule
15/05/2008 16:59 <REP> Fichiers communs
31/05/2008 14:59 <REP> Google
25/12/2007 21:07 <REP> Gost In Game
22/05/2008 00:40 <REP> GRISOFT
02/11/2007 17:43 <REP> Hewlett-Packard
24/03/2008 23:47 <REP> Image-Line
25/03/2008 14:05 <REP> Internet Explorer
05/04/2008 09:03 <REP> iPod
05/04/2008 09:03 <REP> iTunes
09/03/2008 22:31 <REP> Java
31/03/2008 20:11 <REP> Lavasoft
31/05/2008 18:53 <REP> Malwarebytes' Anti-Malware
30/03/2008 22:15 <REP> Media Player Classic
25/03/2008 13:45 <REP> Messenger
01/03/2008 14:34 <REP> Messenger Plus! Live
30/01/2008 18:31 <REP> microsoft frontpage
06/04/2008 19:29 <REP> Microsoft Office
25/03/2008 13:45 <REP> Movie Maker
26/02/2008 00:07 <REP> Mozilla Firefox
28/03/2007 15:29 <REP> MSN
28/03/2007 15:29 <REP> MSN Gaming Zone
25/03/2008 18:24 <REP> MSN Messenger
18/07/2007 22:17 <REP> MSXML 4.0
31/05/2008 12:37 <REP> Navilog1
25/03/2008 13:45 <REP> NetMeeting
25/12/2007 20:19 <REP> Nikon
25/03/2008 13:45 <REP> Outlook Express
05/04/2008 09:01 <REP> QuickTime
26/02/2008 00:00 <REP> QuickTime(2)
30/03/2008 22:15 <REP> Real Alternative
28/03/2007 15:29 <REP> Services en ligne
30/01/2008 18:32 <REP> Snapshot Viewer
21/05/2008 16:24 <REP> Spybot - Search & Destroy
31/05/2008 12:04 <REP> Trend Micro
24/03/2008 23:47 <REP> VstPlugins
16/06/2007 23:36 <REP> WebPod Studio
25/03/2008 13:00 <REP> Windows Live
30/03/2008 22:20 <REP> Windows Media Player
25/03/2008 13:45 <REP> Windows NT
30/01/2008 15:16 <REP> winhttp
29/02/2008 18:31 <REP> WinRAR
28/03/2007 15:32 <REP> xerox
0 fichier(s) 0 octets
56 Rép(s) 114 017 153 024 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est C475-F9F2

Répertoire de C:\Program Files\fichiers communs

15/05/2008 16:59 <REP> .
15/05/2008 16:59 <REP> ..
23/01/2008 17:36 <REP> Adobe
30/01/2008 18:28 <REP> Designer
25/03/2008 18:18 <REP> GTK
03/07/2007 13:58 <REP> InstallShield
09/03/2008 22:30 <REP> Java
25/03/2008 17:07 <REP> Microsoft Shared
03/04/2008 15:58 <REP> Mozilla Shared
28/03/2007 15:30 <REP> MSSoap
25/12/2007 20:11 <REP> muvee Technologies
25/12/2007 13:24 <REP> Nikon
28/03/2007 15:27 <REP> ODBC
28/03/2007 15:30 <REP> Services
28/03/2007 15:27 <REP> SpeechEngines
25/03/2008 13:45 <REP> System
31/03/2008 20:11 <REP> Wise Installation Wizard
0 fichier(s) 0 octets
17 Rép(s) 114 017 153 024 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est C475-F9F2

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

28/03/2007 15:39 <REP> .
28/03/2007 15:39 <REP> ..
18/05/2001 17:57 561 209 MSONSEXT.DLL
03/06/1999 14:09 122 937 MSOWS409.DLL
07/03/2001 09:00 127 033 MSOWS40c.DLL
18/03/1999 06:37 593 977 RAGENT.DLL
4 fichier(s) 1 405 156 octets
2 Rép(s) 114 017 153 024 octets libres

c:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 7.4.2.4\iTunesSetupAdmin.exe
c:\Documents and Settings\ROBINET\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe
c:\Documents and Settings\ROBINET\Application Data\Microsoft\Installer\{6815FCDD-401D-481E-BA88-31B4754C2B46}\ARPPRODUCTICON.exe
c:\Documents and Settings\ROBINET\Bureau\ComboFix.exe
c:\Documents and Settings\ROBINET\Bureau\HJTInstall.exe
c:\Documents and Settings\ROBINET\Bureau\mbam-setup.exe
c:\Documents and Settings\ROBINET\Bureau\Navilog1.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix.exe
c:\Documents and Settings\ROBINET\Bureau\Bilou\Bretagne\wps_french_esd.exe
c:\Documents and Settings\ROBINET\Bureau\Bilou\doudouda\avg-anti-rootkit_avg_anti-rootkit_1.1.0.42_anglais_34515.exe
c:\Documents and Settings\ROBINET\Bureau\Bilou\doudouda\DofusInstaller_v1_23_0.exe
c:\Documents and Settings\ROBINET\Bureau\Bilou\doudouda\DofusPatch_v1_22_0_to_v1_23_0.exe
c:\Documents and Settings\ROBINET\Bureau\Bilou\doudouda\iTunes742Setup.exe
c:\Documents and Settings\ROBINET\Bureau\Bilou\doudouda\mplayerc.exe
c:\Documents and Settings\ROBINET\Bureau\Bilou\doudouda\setupfre.exe
c:\Documents and Settings\ROBINET\Bureau\Bilou\doudouda\spybotsd152.exe
c:\Documents and Settings\ROBINET\Bureau\Bilou\doudouda\Tri_GPS\Tri_GPS.exe
c:\Documents and Settings\ROBINET\Bureau\BTFix\BTFix.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\catchme.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\diff.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\dumphive.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\find2.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\Fport.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\grep.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\gzip.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\KProcCheck.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\LFiles.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\md5sums.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\pslist.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\sigcheck.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\streams.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\swreg.exe
c:\Documents and Settings\ROBINET\Bureau\DiagHelp\tar.exe
c:\Documents and Settings\ROBINET\Bureau\MSNFix\incl\catchme.exe
c:\Documents and Settings\ROBINET\Bureau\MSNFix\incl\MD5File.exe
c:\Documents and Settings\ROBINET\Bureau\MSNFix\incl\Process.exe
c:\Documents and Settings\ROBINET\Bureau\MSNFix\incl\setpath.exe
c:\Documents and Settings\ROBINET\Bureau\MSNFix\incl\swreg.exe
c:\Documents and Settings\ROBINET\Bureau\MSNFix\incl\zip.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\catchme.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\cliptext.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\download.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\ERUNT.EXE
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\FixPath.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\grep.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\isadmin.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\LS.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\MD5File.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\Process.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\procs.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\psservice.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\RestartIt!.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\sc.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\sed.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\SF.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\shutdown.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\swreg.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\swsc.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\unzip.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\vfind.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\WINMSG.EXE
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\zip.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\Replace\regedit.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\Replace\W2K.exe
c:\Documents and Settings\ROBINET\Bureau\SDFix\apps\Replace\XP.exe
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

****** Fin du rapport DiagHelp
Veuillez svp envoyer le fichier C:\upload_moi_ROBINET-WIAW76Q.tar.gz a l'adresse http://upload.malekal.com

ep44 · Answer

tu ne ma pas poster le résultat de combofix ;-)

poste le stp 

1/Télécharge ATF Cleaner par Atribune.
http://www.atribune.org/ccount/click.php?id=1

     # Fais un double clic sur ATF-Cleaner.exe afin de lancer le programme.
# Sous l'onglet Main, choisis : Select All
# Clique sur le bouton Empty Selected


# Si tu utilises le navigateur Firefox :

# Fais un double clic sur Firefox au haut et choisis : Select All
# Clique sur le bouton Empty Selected
# NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique sur No à l'invite.


# Si tu utilises le navigateur Opera :

# Fais un double clique sur Opera au haut et choisis : Select All
# Clique sur le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique sur No à l'invite.
# Clique sur Exit, du menu prinicipal, afin de fermer le programme.

2/  fait un scan en ligne

avec bitdefender et colle le rapport

https://www.bitdefender.com/toolbox/

Scan à faire sous Internet Explorer

un tuto
http://pageperso.aol.fr/rginformatique/mapage/defender.htm

ensuite un nouveau rapport hijack stp
@+

lorientu · Answer

ComboFix 08-05-29.1 - ROBINET 2008-05-31 22:19:46.3 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.760 [GMT 2:00] Endroit: C:\Documents and Settings\ROBINET\Bureau\ComboFix.exe [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\ciadminq.dll . . . . Echec de suppression . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_poof -------\Service_ywskrxsl ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-28 to 2008-05-31 )))))))))))))))))))))))))))))))))))) . 2008-05-31 22:00 . 2008-05-31 22:00 11,218,842 --a------ C:\upload_moi_ROBINET-WIAW76Q.tar.gz 2008-05-31 18:53 . 2008-05-31 18:53 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-05-31 18:53 . 2008-05-31 18:53 d-------- C:\Documents and Settings\ROBINET\Application Data\Malwarebytes 2008-05-31 18:53 . 2008-05-31 18:53 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-05-31 18:53 . 2008-05-30 01:06 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-05-31 18:53 . 2008-05-30 01:06 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-05-31 15:34 . 2008-05-31 15:34 d-------- C:\WINDOWS\ERUNT 2008-05-31 15:01 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll 2008-05-31 15:01 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui 2008-05-31 12:10 . 2008-05-31 12:37 d-------- C:\Program Files\Navilog1 2008-05-31 12:04 . 2008-05-31 12:04 d-------- C:\Program Files\Trend Micro 2008-05-27 22:23 . 2008-05-27 22:23 d-------- C:\Deckard 2008-05-26 20:37 . 2008-05-26 20:37 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-05-26 20:37 . 2008-05-26 20:37 1,409 --a------ C:\WINDOWS\QTFont.for 2008-05-22 00:40 . 2007-01-18 14:00 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys 2008-05-21 16:24 . 2008-05-21 16:24 d-------- C:\Program Files\Spybot - Search & Destroy 2008-05-21 16:24 . 2008-05-21 16:51 d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-05-12 17:37 . 2008-05-12 17:37 244 --ah----- C:\sqmnoopt04.sqm 2008-05-12 17:37 . 2008-05-12 17:37 232 --ah----- C:\sqmdata04.sqm 2008-05-12 09:59 . 2008-05-12 09:59 244 --ah----- C:\sqmnoopt03.sqm 2008-05-12 09:59 . 2008-05-12 09:59 232 --ah----- C:\sqmdata03.sqm 2008-04-25 22:10 . 2008-04-25 22:10 268 --ah----- C:\sqmdata02.sqm 2008-04-25 22:10 . 2008-04-25 22:10 244 --ah----- C:\sqmnoopt02.sqm 2008-04-25 21:09 . 2008-04-25 21:09 244 --ah----- C:\sqmnoopt01.sqm 2008-04-25 21:09 . 2008-04-25 21:09 232 --ah----- C:\sqmdata01.sqm 2008-04-25 00:52 . 2008-04-25 00:52 244 --ah----- C:\sqmnoopt00.sqm 2008-04-25 00:52 . 2008-04-25 00:52 232 --ah----- C:\sqmdata00.sqm 2008-04-23 16:19 . 2008-04-24 23:10 110 --a------ C:\WINDOWS\GMouse.ini 2008-04-15 19:46 . 2008-04-15 19:49 d-------- C:\Program Files\Dofus 2008-04-01 19:58 . 2008-04-03 15:58 d-------- C:\Program Files\Fichiers communs\Mozilla Shared 2008-04-01 19:58 . 2008-04-01 19:58 1,015,808 --a------ C:\WINDOWS\system32\libeay32.dll 2008-04-01 19:58 . 2008-04-01 19:58 196,608 --a------ C:\WINDOWS\system32\libssl32.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-31 12:59 --------- d-----w C:\Program Files\Google 2008-05-25 20:51 --------- d-----w C:\Program Files\eMule 2008-04-05 07:03 --------- d-----w C:\Program Files\iTunes 2008-04-05 07:03 --------- d-----w C:\Program Files\iPod 2008-04-05 07:01 --------- d-----w C:\Program Files\QuickTime 2008-04-05 07:00 --------- d-----w C:\Program Files\DivX 2008-04-03 19:02 56,832 --sha-w C:\Program Files\Thumbs.db 2008-03-31 18:12 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft 2008-03-31 18:11 --------- d-----w C:\Program Files\Lavasoft 2008-03-31 18:11 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard 2008-03-30 20:15 --------- d-----w C:\Program Files\Real Alternative 2008-03-30 20:15 --------- d-----w C:\Program Files\Media Player Classic 2007-12-25 11:24 0 ---h--w C:\Documents and Settings\All Users\Application Data\PKP_DLds.DAT 2007-07-23 17:59 20 -c-h--w C:\Documents and Settings\All Users\Application Data\PKP_DLec.DAT . ------- Sigcheck ------- 2004-08-04 08:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\SoftwareDistribution\Download\70ccc3de7e94865059fbcf2f809c03b1\ip6fw.sys . ((((((((((((((((((((((((((((( snapshot@2008-05-31_19.51.17.24 ))))))))))))))))))))))))))))))))))))))))) . - 2008-05-31 17:40:17 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-05-31 20:22:30 2,048 --s-a-w C:\WINDOWS\bootstat.dat - 2001-08-28 12:00:00 81,920 ----a-w C:\WINDOWS\system32\ciadminq.dll + 2008-05-31 20:20:44 81,920 ----a-w C:\WINDOWS\system32\ciadminq.dll - 2008-05-31 17:40:30 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2008-05-31 20:22:43 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat - 2008-05-31 17:40:30 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat + 2008-05-31 20:22:43 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat - 2008-05-31 17:40:30 49,152 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat + 2008-05-31 20:22:43 49,152 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat + 2008-05-31 20:22:38 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_678.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{063D51A7-270B-4394-8921-72A8E2AA0215}] 2008-05-31 22:20 81920 --a------ c:\windows\system32\ciadminq.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{84FF6B48-1B44-4078-9F22-116187AF106E}] C:\WINDOWS\System32\dfrgresc.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-28 14:00 13312] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-28 14:00 13312] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.iv41"= ir41_32.dll R0 konchyaa;konchyaa;C:\WINDOWS\System32\drivers\konchyaa.sys [2001-08-28 14:00] R1 aswSP;avast! Self Protection;C:\WINDOWS\System32\drivers\aswSP.sys [2008-05-16 01:20] R3 ES1370;Creative AudioPCI (ES1370), SB PCI 64/128 (WDM);C:\WINDOWS\System32\drivers\ES1370MP.sys [2001-08-17 21:19] S3 MBAMCatchMe;MBAMCatchMe;C:\WINDOWS\System32\drivers\mbamcatchme.sys [2008-05-30 01:06] . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2007-09-22 13:52:44 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-31 22:23:46 Windows 5.1.2600 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\UAService7.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Nikon\PictureProject\NkbMonitor.exe . ************************************************************************** . Temps d'accomplissement: 2008-05-31 22:26:36 - machine was rebooted ComboFix-quarantined-files.txt 2008-05-31 20:26:31 ComboFix2.txt 2008-05-31 19:56:29 ComboFix3.txt 2008-05-31 17:51:36 Pre-Run: 114,010,116,096 octets libres Post-Run: 114,000,863,232 octets libres 135 je vai faire ce que tu m'as dit avec ATF Cleaner

lorientu · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:56:39, on 31/05/2008
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\UAService7.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {063D51A7-270B-4394-8921-72A8E2AA0215} - c:\windows\system32\ciadminq.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {84FF6B48-1B44-4078-9F22-116187AF106E} - C:\WINDOWS\System32\dfrgresc.dll (file missing)
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin3.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxmultijoueurs.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe

ep44 · Answer

très bien la bébête est coriace :-)

    * Télécharge SREng (de Smallfrogs).http://www.kztechs.com/eng/download.html
    * Dézippe tout son contenu sur ton bureau (clic droit >Extraire ici).
    * Ouvre le dossier SReng2 et double-clique sur SREngPS.exe.
    * Clique sur "smart scan".
    * Clique sur le bouton "scan".
    * Quand l'analyse est terminée, clique sur le bouton "save reports".
    * Sauvegarde alors le rapport sur ton bureau.
    * Copie/colle le contenu du rapport SREnglLOG.log dans ta prochaine réponse.

lorientu · Answer

[CODE] 2008-05-31,23:21:53 System Repair Engineer 2.5.16.900 Smallfrogs (http://www.KZTechs.com) Windows XP Professional (Build 2600) - Administrative User - Completed Functions Allowed Follow item(s) have been choosed: All Boot Items (Including Registry, Startup Folders, Services and so on) Browser Add-ons Runing Processes (Including process model information) File Associations Winsock Provider Autorun.Inf HOSTS File Process Privileges Scan Boot Items Registry [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] [(Verified)Microsoft Windows XP Publisher (Europe)] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] [(Verified)Microsoft Windows XP Publisher (Europe)] [(Verified)Microsoft Windows XP Publisher (Europe)] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <> [N/A] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] [(Verified)Microsoft Windows XP Publisher (Europe)] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{6E02098A-953A-A108-ED09-BA11A111D2B1}><> [N/A] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] <%SystemRoot%\system32 egsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32 hemeui.dll> [N/A] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] <"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install> [N/A] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] [(Verified)Microsoft Windows XP Publisher (Europe)] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5945c046-1e7d-11d1-bc44-00c04fd912be}] [(Verified)Microsoft Windows XP Publisher (Europe)] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}] [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}] <"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install> [N/A] ================================== Startup Folders [Microsoft Office] C:\PROGRA~1\MICROS~2\Office\OSA9.EXE [Microsoft Corporation]> [NkbMonitor.exe] C:\PROGRA~1\Nikon\PICTUR~1\NKBMON~1.EXE [Nikon Corporation]> ================================== Services [Ad-Aware 2007 Service / aawservice][Running/Auto Start] <"C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe"> [avast! iAVS4 Control Service / aswUpdSv][Running/Auto Start] <"C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"> [avast! Antivirus / avast! Antivirus][Running/Auto Start] <"C:\Program Files\Alwil Software\Avast4\ashServ.exe"> [avast! Mail Scanner / avast! Mail Scanner][Running/Manual Start] <"C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service> [avast! Web Scanner / avast! Web Scanner][Running/Manual Start] <"C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service> [HTTP SSL / HTTPFilter][Stopped/Manual Start] %SystemRoot%\System32\w3ssl.dll> [InstallDriver Table Manager / IDriverT][Stopped/Manual Start] [Service de l'iPod / iPod Service][Stopped/Manual Start] <"C:\Program Files\iPod\bin\iPodService.exe"> [SecuROM User Access Service (V7) / UserAccess7][Running/Auto Start] [Service de numéro de série du lecteur multimédia portable / WmdmPmSN][Stopped/Manual Start] C:\WINDOWS\System32\mspmsnsv.dll> ================================== Drivers [atirage3 / atirage3][Running/Manual Start] [AVG Anti-Rootkit / AVG Anti-Rootkit][Running/Boot Start] <\SystemRoot\System32\DRIVERS\avgarkt.sys> [Avg Anti-Rootkit Clean Driver / AvgArCln][Running/System Start] [Pilote de carte réseau à base de DC21x4 / DC21x4][Stopped/Manual Start] [Intel(R) PRO/1000 Network Connection Driver / E1000][Running/Manual Start] [Pilote de carte Intel (R) PRO / E100B][Running/Manual Start] [Creative AudioPCI (ES1370), SB PCI 64/128 (WDM) / ES1370][Running/Manual Start] [GEARAspiWDM / GEARAspiWDM][Running/Manual Start] [HTTP / HTTP][Stopped/Manual Start] [Pilote de processeur Intel / intelppm][Stopped/System Start] [Pilote du pare-feu Windows IPv6 / ip6fw][Stopped/Manual Start] [konchyaa / konchyaa][Running/Boot Start] <\SystemRoot\system32\drivers\konchyaa.sys> [MBAMCatchMe / MBAMCatchMe][Stopped/Manual Start] <\??\C:\WINDOWS\System32\drivers\mbamcatchme.sys> [Pilote de liaison parallèle directe / Ptilink][Running/Manual Start] [Secdrv / Secdrv][Running/Auto Start] [NTPort Library Driver / zntport][Stopped/Auto Start] <\??\C:\WINDOWS\System32\zntport.sys> ================================== Browser Add-ons [] {063D51A7-270B-4394-8921-72A8E2AA0215} [Spybot-S&D IE Protection] {53707962-6F74-2D53-2644-206D7942484F} [SSVHelper Class] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} [] {84FF6B48-1B44-4078-9F22-116187AF106E} [Java Plug-in 1.6.0_05] {08B0E5C0-4FCB-11CF-AAA5-00401C608501} [] {85d1f590-48f4-11d9-9669-0800200c9a66} <%windir%\bdoscandel.exe, N/A> [Spybot-S&D IE Protection] {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} [Windows Genuine Advantage Validation Tool] {17492023-C23A-453E-A040-C7C580BBF700} [Solitaire Showdown Class] {5C051655-FCD5-4969-9182-770EA5AA5565} [BDSCANONLINE Control] {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} [WUWebControl Class] {6414512B-B978-451D-A0D8-FCFDF33E833C} [MUWebControl Class] {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} [Java Plug-in 1.6.0_05] {8AD9C840-044E-11D1-B3E9-00805F499D93} [MessengerStatsClient Class] {C3F79A2B-B9B4-4A66-B012-3EE46475B072} [Java Plug-in 1.6.0_05] {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} [Java Plug-in 1.6.0_05] {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} [Oberon Flash Game Host] {D0C0F75C-683A-4390-A791-1ACFD5599AB8} [Shockwave Flash Object] {D27CDB6E-AE6D-11CF-96B8-444553540000} [Minesweeper Flags Class] {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} ================================== Running Processes [PID: 736 / SYSTEM][\SystemRoot\System32\smss.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)] [PID: 792 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)] [PID: 816 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)] [C:\WINDOWS\system32\wdmaud.drv] [Microsoft Corporation, 5.1.2600.0 (XPClient.010817-1148)] [C:\WINDOWS\system32\msacm32.drv] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)] [PID: 860 / SYSTEM][C:\WINDOWS\system32\services.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)] [PID: 872 / SYSTEM][C:\WINDOWS\system32\lsass.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)] [PID: 1052 / SYSTEM][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)] [PID: 1200 / SYSTEM][C:\WINDOWS\System32\svchost.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)] [c:\windows\system32\WINHTTP.dll] [Microsoft Corporation, 5.1.2600.1557 (xpsp2_gdr.040517-1325)] [C:\WINDOWS\System32\wups2.dll] [Microsoft Corporation, 7.0.6000.381 (winmain(wmbla).070730-1740)] [PID: 1280 / SERVICE RÉSEAU][C:\WINDOWS\System32\svchost.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)] [PID: 1356 / SERVICE LOCAL][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)] [PID: 1588 / SYSTEM][C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe] [Lavasoft, 7,0,2,6] [C:\Program Files\Lavasoft\Ad-Aware 2007\CEAPI.dll] [Lavasoft, 7,0,2,6] [C:\Program Files\Lavasoft\Ad-Aware 2007\PKArchive85u.dll] [PKWARE, Inc., 8.4.1045.0] [C:\Program Files\Lavasoft\Ad-Aware 2007\Update.dll] [, 7, 0, 2, 6] [PID: 1600 / SYSTEM][C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\aswCmnS.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\aswCmnOS.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\WINDOWS\system32\MSVCP71.dll] [Microsoft Corporation, 7.10.3077.0] [C:\WINDOWS\system32\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4] [C:\Program Files\Alwil Software\Avast4\aswCmnB.dll] [ALWIL Software, 4, 8, 1201, 0] [PID: 1656 / SYSTEM][C:\Program Files\Alwil Software\Avast4\ashServ.exe] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\aswAux.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\WINDOWS\system32\MSVCP71.dll] [Microsoft Corporation, 7.10.3077.0] [C:\WINDOWS\system32\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4] [C:\Program Files\Alwil Software\Avast4\aswCmnB.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\aswCmnOS.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\aswEngin.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\aswScan.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\aswCmnS.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\ashBase.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\ashTask.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\aswInteg.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\aswIdle.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\Aavm4h.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\French\Base.dll] [ALWIL Software, 4, 8, 1195, 0] [C:\Program Files\Alwil Software\Avast4\AhResMai.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\ahResMes.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\AhResNS.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\AhResOut.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\ahResP2P.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\AhResStd.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\AhResWS.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\ashSSqlt.dll] [ALWIL Software, 4, 8, 1201, 0] [PID: 1908 / SYSTEM][C:\WINDOWS\system32\spoolsv.exe] [Microsoft Corporation, 5.1.2600.0 (XPClient.010817-1148)] [PID: 2032 / SERVICE LOCAL][C:\WINDOWS\System32\alg.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)] [PID: 224 / SYSTEM][C:\WINDOWS\System32\UAService7.exe] [N/A, ] [PID: 720 / SYSTEM][C:\Program Files\Alwil Software\Avast4\ashWebSv.exe] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\ashBase.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\WINDOWS\system32\MSVCP71.dll] [Microsoft Corporation, 7.10.3077.0] [C:\WINDOWS\system32\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4] [C:\Program Files\Alwil Software\Avast4\aswCmnOS.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\aswCmnB.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\aswCmnS.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\Aavm4h.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\ashTask.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\aswAux.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\French\Base.dll] [ALWIL Software, 4, 8, 1195, 0] [C:\Program Files\Alwil Software\Avast4\aswEngin.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\aswScan.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\ashWsFtr.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\PROGRA~1\ALWILS~1\Avast4\AhResWs.dll] [ALWIL Software, 4, 8, 1201, 0] [PID: 380 / SYSTEM][C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\ashBase.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\WINDOWS\system32\MSVCP71.dll] [Microsoft Corporation, 7.10.3077.0] [C:\WINDOWS\system32\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4] [C:\Program Files\Alwil Software\Avast4\aswCmnOS.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\aswCmnB.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\aswCmnS.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\ashTask.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\aswAux.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\Aavm4h.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\AhResMai.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\French\Base.dll] [ALWIL Software, 4, 8, 1195, 0] [C:\Program Files\Alwil Software\Avast4\aswEngin.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\aswScan.dll] [ALWIL Software, 4, 8, 1201, 0] [C:\Program Files\Alwil Software\Avast4\French\Lang.dll] [ALWIL Software, 4, 8, 1195, 0] [C:\WINDOWS\system32\MFC71.DLL] [Microsoft Corporation, 7.10.3077.0] [C:\WINDOWS\system32\MFC71FRA.DLL] [Microsoft Corporation, 7.10.3077.0] [C:\Program Files\Alwil Software\Avast4\French\langmai.dll] [ALWIL Software, 4, 8, 1195, 0] [PID: 1304 / ROBINET][C:\WINDOWS\System32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)] [PID: 1412 / ROBINET][C:\Program Files\Nikon\PictureProject\NkbMonitor.exe] [Nikon Corporation, 1, 7, 4, 3001] [C:\WINDOWS\System32\MFC71.DLL] [Microsoft Corporation, 7.10.3077.0] [C:\WINDOWS\System32\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4] [C:\WINDOWS\System32\MSVCP71.dll] [Microsoft Corporation, 7.10.3077.0] [C:\WINDOWS\System32\MFC71FRA.DLL] [Microsoft Corporation, 7.10.3077.0] [PID: 1468 / SYSTEM][C:\WINDOWS\System32\svchost.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)] [PID: 2356 / ROBINET][C:\WINDOWS\System32\wuauclt.exe] [Microsoft Corporation, 7.0.6000.381 (winmain(wmbla).070730-1740)] [C:\WINDOWS\System32\wucltui.dll] [Microsoft Corporation, 7.0.6000.381 (winmain(wmbla).070730-1740)] [C:\WINDOWS\System32\wups2.dll] [Microsoft Corporation, 7.0.6000.381 (winmain(wmbla).070730-1740)] [C:\WINDOWS\System32\wuaucpl.cpl] [Microsoft Corporation, 7.0.6000.381 (winmain(wmbla).070730-1740)] [C:\WINDOWS\System32\mucltui.dll] [Microsoft Corporation, 7.0.6000.381 (winmain(wmbla).070730-1740)] [C:\WINDOWS\System32\mucltui.dll.mui] [Microsoft Corporation, 7.0.6000.381 (winmain(wmbla).070730-1740)] [PID: 2684 / ROBINET][C:\WINDOWS\explorer.exe] [Microsoft Corporation, 6.00.2600.0000 (xpclient.010817-1148)] [C:\Program Files\WinRAR arext.dll] [N/A, ] [C:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll] [Malwarebytes, 1, 0, 0, 0] [C:\Program Files\Alwil Software\Avast4\ashShell.dll] [ALWIL Software, 4, 8, 1201, 0] [PID: 3296 / ROBINET][C:\Program Files\Internet Explorer\IEXPLORE.EXE] [Microsoft Corporation, 6.00.2600.0000 (xpclient.010817-1148)] [C:\PROGRA~1\SPYBOT~1\SDHelper.dll] [Safer Networking Limited, 1, 5, 0, 11] [C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll] [Sun Microsystems, Inc., 6.0.50.13] [C:\Program Files\Java\jre1.6.0_05\bin\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4] [C:\WINDOWS\System32\wdmaud.drv] [Microsoft Corporation, 5.1.2600.0 (XPClient.010817-1148)] [C:\WINDOWS\System32\msacm32.drv] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)] [C:\WINDOWS\System32\Macromed\Flash\Flash9f.ocx] [Adobe Systems, Inc., 9,0,124,0] [PID: 2656 / ROBINET][C:\Documents and Settings\ROBINET\Bureau\SREngPS.EXE] [Smallfrogs Studio, 2.5.16.900] [C:\Documents and Settings\ROBINET\Bureau\Upload\3rdUpd.DLL] [Smallfrogs Studio, 2, 1, 0, 15] ================================== File Associations .TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1] .EXE OK. ["%1" %*] .COM OK. ["%1" %*] .PIF OK. ["%1" %*] .REG OK. [regedit.exe "%1"] .BAT OK. ["%1" %*] .SCR OK. ["%1" /S] .CHM OK. ["C:\WINDOWS\hh.exe" %1] .HLP OK. [%SystemRoot%\System32\winhlp32.exe %1] .INI OK. [%SystemRoot%\System32\NOTEPAD.EXE %1] .INF OK. [%SystemRoot%\System32\NOTEPAD.EXE %1] .VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %*] .JS OK. [%SystemRoot%\System32\WScript.exe "%1" %*] .LNK OK. [{00021401-0000-0000-C000-000000000046}] ================================== Winsock Provider N/A ================================== Autorun.Inf N/A ================================== HOSTS File 127.0.0.1 localhost ================================== Process Privileges Scan Special Privilege Enabled: SeLoadDriverPrivilege [PID = 224, C:\WINDOWS\SYSTEM32\UASERVICE7.EXE] Special Privilege Enabled: SeSystemtimePrivilege [PID = 224, C:\WINDOWS\SYSTEM32\UASERVICE7.EXE] Special Privilege Enabled: SeLoadDriverPrivilege [PID = 1412, C:\PROGRAM FILES\NIKON\PICTUREPROJECT\NKBMONITOR.EXE] ================================== API HOOK N/A ================================== Hidden Process N/A ================================== /CODE

ep44 · Answer

je te répond plus tard 

j'ai besoin d'avis concernant la prochaine manip 

@+

ep44 · Answer

Bonjour lorientu,

Aprés quelques conseil pour analyser tout ça 
voici la manip                        ( Merci à le sioux pour la vérif et l'aide pour ce script)  ;-)

1/ Télécharge The Avenger par Swandog46 sur votre Bureau.
The avenger =>http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

2/ Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):


Begin copying here:

Drivers to disable:
konchyaa

Drivers to delete:
konchyaa

Registry keys to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{063D51A7-270B-4394-8921-72A8E2AA0215}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{84FF6B48-1B44-4078-9F22-116187AF106E}

Files to Delete:

C:\WINDOWS\System32\drivers\konchyaa.sys
C:\WINDOWS\System32\ciadminq.dll
C:\WINDOWS\System32\dfrgresc.dll


Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.


3/ Maintenant, lance The Avenger en cliquant sur son icône du Bureau.
Cet écran apparait :
http://pix.nofrag.com/2/0/c/22741c76a297e69cf88c226dfa93c.html

Clique sur le bouton montré avec la flèche et choisis Execute.

Renommer (The Avenger) va automatiquement faire ce qui suit:

  4/ * Il va Re-démarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.)
    * Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.
    * Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
    * The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt.


@+

lorientu · Answer

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "konchyaa" disabled successfully.
Driver "konchyaa" deleted successfully.
File "C:\WINDOWS\System32\drivers\konchyaa.sys" deleted successfully.
File "C:\WINDOWS\System32\ciadminq.dll" deleted successfully.

Error:  file "C:\WINDOWS\System32\dfrgresc.dll" not found!
Deletion of file "C:\WINDOWS\System32\dfrgresc.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{063D51A7-270B-4394-8921-72A8E2AA0215}" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{84FF6B48-1B44-4078-9F22-116187AF106E}" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

ep44 · Answer

Très bien ;-)

fait un scan en ligne

avec bitdefender et colle le rapport

https://www.bitdefender.com/toolbox/

Scan à faire sous Internet Explorer

un tuto
http://pageperso.aol.fr/rginformatique/mapage/defender.htm

ensuite un nouveau rapport HijackThis stp
@+

lorientu · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:21:04, on 05/06/2008
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS
pqtplugin3.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxmultijoueurs.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
O24 - Desktop Component 0: (no name) - http://auto.sport.free.fr/photo/peugeot-407-coupe--998.jpg

ep44 · Answer

Bonjour 

Très bien plus de trace d'infection  ;-)

Il faut que tu fasse tes mises à jours 
http://www.windowsupdate.com/windowsupdate/v6/default.aspx

ensuite vérifie que ton pare-feu soit bien activé
fait Démarrer > Exécuter > et tape > Firewall.cpl

ensuite regarde si ton pare-feu est bien activé.

Dommage que tu ne donne pas le rapport de bitdefender !

Relance hijack et clique sur "Do a system scan only"
Ensuite recherche ces lignes et coches les cases 

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)     
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxmultijoueurs.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab    


Ensuite clique sur "Fix checked"



Ferme toutes les applications en cours, puis télécharge ToolsCleaner2 sur ton Bureau.
http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe

Double clique sur ToolsCleaner2.exe >
puis Recherche
et sur Suppression
Note : ton bureau va disparaître, c'est normal. S'il n'apparaît pas à la fin du scan, fais la manip suivante :

CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"

Tape explorer.exe et valide. Cela fera re-apparaître le Bureau



ensuite fait ceci (IMPORTANT)

=démarrer
=panneau de configuration
=système
=onglet Restauration système
=coche la case (Désactiver la restauration système)
=redémarre l'ordinateur
=réactive la ensuite



Dénonce ton infection pour faire condamner les auteurs

Vous avez été victime d'une infection, et vous avez été aidé par un site comme CommentCaMarche.net ou autre pour vous faire désinfecter, alors ce paragraphe s'adresse à vous !

Nous vous invitons à créer un message pour faire avancer les choses sur le site  Malware-Complaints, plus vous serez nombreux à dénoncer votre infection, et plus nous aurons de chance de voir les choses bouger !


* Voir les règles du forum  
* Après s'être enregistré à l'aide du bouton en haut se nommant Register, choisissez votre situation :
**Si vous avez plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age" 
**Si vous avez moins, clique sur : "I Agree to these terms and am under 13 years of age" 
*Vous avez alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..), il vous suffit d'ajouter votre voix !
*Si le malware dont vous avez été victime n'apparait pas dans la liste, ou si vous ne savez pas par quoi vous avez été infecté(e), créez un message dans le sujet Autres infections  conforme aux règles du forum (âge, ville, département etc..) 
Pour ton infection tu peux préciser ==> delf
*Indiquez aussi le nom du Forum qui vous a aidé à vous désinfecter


@+

lorientu · Answer

merci beaucoup , je n'ai plus de problème !

ep44 · Answer

Bye ;-)

mbens · Answer

Search Navipromo version 3.6.7 commencé le Mon 10/27/2008 à  9:51:12.23

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "Administrateur" 

Mise à jour le 22.10.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180 
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\menudm~1\progra~1" *** 


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" * 



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le Mon 10/27/2008 à  9:53:46.35 ***

mbens · Answer

bonjour,
j'attends toujours une reponse, j'ai fais un scan on line  par le biais de bitdefender, il me signale l'existence de "win32worm.delf.nep", j'ai utilisé ensuite "navilog" qui me donne un rapport que j'ai mis sur le forum sous le numero 75.A l'aide je vous en serai reconnaissant.Merci

nane79 · Answer

bonjour 
Crée ton propre sujet , tu auras surment plus de chance qu'on t'aide!! ;-)
Moi j'y connait rien mais ici , il y a des pro ! t'inquiète ils ne vont pas te laisser XD
biz & bye