Attaque par spyware Win32.Rbot et mIRC

ptitloup007 Messages postés 1 Statut Membre -  
 ptitloup007 -
Bonjour,

Après avoir lancé par erreur un fichier .exe (sans l'avoir scanné avec Anti-vir auparavant), le logiciel mIRC
s'est installé sur mon pc et en faisant un scannage avec Spybot et Ad-aware je trouve Win32.Rbot qui ne peut être
supprimé.

Firefox se lance tout seul, faisant apparaître des fenêtres publicitaires (poker, loterie, casino, etc...).

Voici le rapport Hijackthis, merci de bien vouloir me donner un petit coup de main... ça serait très sympa de
votre part.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:52:44, on 03/07/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\WINCRA\mirc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Nero\Nero8\Nero Burning Rom\nero.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero 8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [mirc] C:\WINDOWS\WINCRA\mirc.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF843379-AF87-4D78-8CC6-90C4BCAF2A0B}: NameServer = 212.27.54.252,212.27.53.252
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 6557 bytes
Configuration: Windows XP
Firefox 3.0

5 réponses

  1. Utilisateur anonyme
     
    Bonjour

    Hijackthis n'est pas renommé cela ne nous aide pas.

    Supprime le dossier ici en gras ; C:\WINDOWS\WINCRA
    S'il résiste supprime le en mode sans échec.

    * Je te conseille d'installer un vrai pare-feu, car celui de Wndows te protége de rien et ton anti-virus ne peut pas te protéger à lui tout seul.

    Désactive le pare-feu de Windows(SP2) il ne sert à rien puis installe celui ci pour plus de sécurité

    Kerio (pare-feu) : reste gratuit après la période d'essai en français
    ----> http://www.sunbelt-software.com/evaluation/440/Sunbelt-Personal-Firewall.exe

    Regarde ce tutoriel si tu as besoin d'aide pour l'installation et la configuration de Kerio
    --> Tuto Kerio

    Plus d'info :
    -> https://kerio.probb.fr/f2-sunbelt-kerio-personal-firewall
    0
    1. ptitloup007
       
      Bonjour et merci beaucoup de votre aide...

      Je viens de mettre le dossier Wincra à la poubelle. Je repasse un coup de Spybot et vous tiens au courant.

      Par contre, je ne comprends pas le sens de votre question (renommer Hijackthis ?).
      Il faut dire que je suis novice en matière de technique informatique.

      A tout de suite donc...
      0
  2. ptitloup007
     
    Voilà j'ai détruit le dossier Wincra, qui n'apparait plus (pour le moment en tous cas...). Je n'ai pas eu besoin de redémarrer en mode sans échec.

    J'ai aussi installé Kerio et re-scanné avec Spybot, qui trouve toujours Win32.Rbot et qui ne le détruit pas.

    Je jette un oeil sur le forum pour savoir comment renommer Hijackthis en attendant de vous lire à nouveau...
    0
  3. ptitloup007
     
    Bon, après avoir renommé le fichier Hijackthis.ex en HJT.exe et relancé un rapport, je vois toujours la ligne "O4 - HKLM\..\Run: [mirc] C:\WINDOWS\WINCRA\mirc.exe" et Win32.Rbot s'accroche à mon pc...

    Je vous renvoie donc le nouveau rapport. Dites-moi si ça vous convient ? Merci encore...

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:29:53, on 04/07/2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16674)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\DAEMON Tools\daemon.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
    C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\eMule\emule.exe
    C:\Program Files\Adobe\Acrobat 8.0\Acrobat\acrobat_sl.exe
    C:\Program Files\VIA\RAID\raid_tool.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
    C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Windows Live\Messenger\usnsvc.exe
    C:\Program Files\Trend Micro\HijackThis\HJT.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
    O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero 8\Nero BackItUp\NBKeyScan.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [mirc] C:\WINDOWS\WINCRA\mirc.exe
    O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
    O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
    O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
    O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir les liens sélectionnés en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{EF843379-AF87-4D78-8CC6-90C4BCAF2A0B}: NameServer = 212.27.54.252,212.27.53.252
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    0
  4. Utilisateur anonyme
     
    En bas à droite dans la zone de notification, ferme le petit cadenas de Spybot si présent.

    * Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked"
    - Ferme Internet Explorer avant de cliquer sur Fix checked
    - S'il manque des lignes ce n'est pas grave

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
    O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [mirc] C:\WINDOWS\WINCRA\mirc.exe
    O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
    O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?

    *Télécharge ComboFix sur ton bureau
    ---> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    Ferme ton navigateur web, connexion et anti-virus avant d'exécuter ce programme.
    Double-clic dessus et appuye sur "1" pour continuer
    Attends quelques minutes..
    Un rapport va s'ouvrir enregistre son contenu, puis copie et colle le ici .
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. ptitloup007
     
    Bonsoir,

    J'ai fais tout ce que vous m'avez indiqué... voici le rapport de ComboFix :

    ComboFix 08-07-04.1 - THE FAMILY 2008-07-04 20:36:22.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1646 [GMT 2:00]
    Endroit: H:\download\ComboFix.exe
    * Création d'un nouveau point de restauration

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\system32\drivers\downld
    C:\WINDOWS\system32\msssc.dll

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2008-06-04 to 2008-07-04 ))))))))))))))))))))))))))))))))))))
    .

    2008-07-04 19:18 . 2008-07-04 20:11 <REP> d-------- C:\WINDOWS\SxsCaPendDel
    2008-07-04 14:33 . 1998-03-31 11:22 284,160 --a------ C:\WINDOWS\unin040c.exe
    2008-07-04 12:24 . 2008-06-23 20:23 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
    2008-07-04 12:24 . 2008-06-23 20:23 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
    2008-07-04 12:24 . 2008-06-23 18:31 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
    2008-07-04 12:24 . 2008-06-23 20:23 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
    2008-07-04 12:24 . 2008-06-23 20:23 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
    2008-07-04 12:24 . 2008-06-23 20:23 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
    2008-07-04 12:24 . 2008-06-23 20:23 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
    2008-07-04 12:24 . 2008-07-04 12:24 <REP> d-------- C:\Documents and Settings\Administrateur
    2008-07-04 12:24 . 2008-07-04 12:24 163 --a------ C:\WINDOWS\system32\drivers\fwdrv.err
    2008-07-04 11:25 . 2008-07-04 11:25 <REP> d-------- C:\Program Files\Sunbelt Software
    2008-07-04 11:24 . 2008-07-04 11:24 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\FLEXnet
    2008-07-04 10:44 . 2007-02-20 16:04 2,463,976 --a------ C:\WINDOWS\system32\NPSWF32.dll
    2008-07-04 10:44 . 2007-02-20 16:04 190,696 --a------ C:\WINDOWS\system32\NPSWF32_FlashUtil.exe
    2008-07-03 19:33 . 2008-07-03 19:33 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Grisoft
    2008-07-03 19:05 . 2008-07-03 19:05 <REP> d-------- C:\Documents and Settings\THE FAMILY.MAMBOSOF-9DB29C\Application Data\Atari
    2008-07-03 19:00 . 2008-07-03 19:00 <REP> d-------- C:\Program Files\Fichiers communs\PocketSoft
    2008-07-03 19:00 . 2002-02-27 18:50 197,120 --a------ C:\WINDOWS\patchw32.dll
    2008-07-03 14:05 . 2008-07-03 19:33 <REP> d-a------ C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP
    2008-07-02 19:10 . 2008-07-03 19:37 <REP> d-------- C:\Program Files\Yahoo!
    2008-07-02 19:10 . 2008-07-02 19:11 <REP> d-------- C:\Program Files\CCleaner
    2008-07-02 19:06 . 2008-07-02 19:06 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
    2008-07-02 19:06 . 2008-07-04 18:02 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy
    2008-07-02 19:04 . 2008-07-02 19:04 <REP> d-------- C:\Program Files\Lavasoft
    2008-07-02 19:04 . 2008-07-02 19:08 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Lavasoft
    2008-07-02 19:03 . 2008-07-02 19:03 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
    2008-07-02 14:09 . 2008-07-02 14:09 22 --a------ C:\WINDOWS\system32\ati64hlp.stb
    2008-07-02 13:35 . 2008-07-02 13:35 22 --a------ C:\WINDOWS\system32\ati64hl2.stb
    2008-07-02 10:56 . 2008-07-02 10:56 <REP> d-------- C:\Documents and Settings\THE FAMILY.MAMBOSOF-9DB29C\Application Data\Ace
    2008-07-02 10:55 . 2008-07-02 10:55 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll
    2008-07-02 10:53 . 2006-11-29 13:06 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
    2008-07-02 10:53 . 2006-09-28 16:05 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll
    2008-07-02 10:53 . 2007-04-04 18:53 81,768 --a------ C:\WINDOWS\system32\xinput1_3.dll
    2008-07-02 10:48 . 2008-07-02 10:48 <REP> d-------- C:\Documents and Settings\THE FAMILY.MAMBOSOF-9DB29C\Application Data\InstallShield
    2008-07-02 10:41 . 2004-04-21 21:10 516,096 --------- C:\WINDOWS\system32\ati2sgag.exe
    2008-07-02 10:41 . 2004-04-21 20:38 294,912 -ra------ C:\WINDOWS\system32\atiiiexx.dll
    2008-07-02 09:43 . 2008-07-02 09:48 <REP> d-------- C:\Program Files\The KMPlayer
    2008-07-02 09:39 . 2008-07-02 09:39 <REP> d-------- C:\Documents and Settings\THE FAMILY.MAMBOSOF-9DB29C\Application Data\Media Player Classic
    2008-07-01 19:30 . 2008-07-01 19:30 0 --a------ C:\FileOut.Cns
    2008-07-01 19:30 . 2008-07-01 19:30 0 --a------ C:\FileIn.Cns
    2008-07-01 18:07 . 2008-07-01 18:07 <REP> d-------- C:\Program Files\Ripp-It Codec Pack
    2008-07-01 18:06 . 2008-07-01 18:06 <REP> d-------- C:\Program Files\RIAM Video Enhancer
    2008-06-29 12:32 . 2008-06-29 12:32 <REP> d-------- C:\Ma Musique
    2008-06-29 12:06 . 2008-06-29 12:06 <REP> d-------- C:\Program Files\MediaMonkey
    2008-06-29 11:30 . 2008-06-29 11:30 <REP> d-------- C:\Program Files\MSXML 4.0
    2008-06-29 11:20 . 2008-06-29 11:20 <REP> d-------- C:\Program Files\Nero
    2008-06-29 11:20 . 2008-06-29 11:20 <REP> d-------- C:\Program Files\Fichiers communs\Nero
    2008-06-29 11:02 . 2008-06-29 11:02 <REP> d-------- C:\Documents and Settings\THE FAMILY.MAMBOSOF-9DB29C\Application Data\Nero
    2008-06-29 10:56 . 2008-06-29 10:59 <REP> d-------- C:\Program Files\MyFreeTV
    2008-06-29 10:54 . 2008-07-01 18:07 <REP> d-------- C:\Program Files\Ripp-it_AM
    2008-06-29 10:54 . 2008-07-01 18:06 <REP> d-------- C:\Program Files\AviSynth 2.5
    2008-06-29 09:25 . 2008-07-03 19:04 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
    2008-06-29 09:24 . 2008-06-29 09:24 <REP> d-------- C:\Program Files\QuickPar
    2008-06-28 20:20 . 2008-04-14 04:33 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
    2008-06-28 20:12 . 2008-06-28 20:23 <REP> d-------- C:\Documents and Settings\THE FAMILY.MAMBOSOF-9DB29C\Application Data\GrabIt
    2008-06-28 20:11 . 2008-06-28 20:20 <REP> d-------- C:\Program Files\GrabIt
    2008-06-28 19:47 . 2008-07-04 17:59 69 --a------ C:\WINDOWS\NeroDigital.ini
    2008-06-28 19:24 . 2008-06-29 11:20 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Nero
    2008-06-27 14:04 . 2008-06-27 20:11 <REP> d-------- C:\Program Files\Java
    2008-06-27 14:04 . 2008-06-27 14:04 <REP> d-------- C:\Program Files\Fichiers communs\Java
    2008-06-27 14:04 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
    2008-06-27 13:57 . 2008-07-04 18:39 <REP> d-------- C:\Documents and Settings\THE FAMILY.MAMBOSOF-9DB29C\Application Data\OpenOffice.org2
    2008-06-27 13:44 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
    2008-06-27 13:44 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
    2008-06-27 13:44 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
    2008-06-26 19:57 . 2008-06-26 19:57 <REP> d-------- C:\WINDOWS\system32\Adobe
    2008-06-26 19:57 . 2008-06-17 15:14 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
    2008-06-26 19:57 . 2008-06-17 15:17 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
    2008-06-26 18:27 . 2008-07-01 21:30 <REP> d-------- C:\Documents and Settings\THE FAMILY.MAMBOSOF-9DB29C\Contacts
    2008-06-26 18:26 . 2008-06-26 18:26 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
    2008-06-26 18:19 . 2008-06-26 18:24 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
    2008-06-26 18:18 . 2008-06-26 18:25 <REP> d-------- C:\Program Files\Windows Live
    2008-06-26 18:17 . 2008-06-26 18:17 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\WLInstaller
    2008-06-25 21:08 . 2008-04-23 06:16 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
    2008-06-25 21:08 . 2007-04-17 11:32 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
    2008-06-25 21:08 . 2007-03-08 07:10 1,048,576 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
    2008-06-25 21:08 . 2008-04-23 06:16 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
    2008-06-25 21:08 . 2008-04-23 06:16 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
    2008-06-25 21:08 . 2008-04-23 06:16 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
    2008-06-25 21:08 . 2008-04-23 06:16 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
    2008-06-25 21:08 . 2008-04-23 06:16 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
    2008-06-25 21:08 . 2008-04-22 09:39 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
    2008-06-25 21:01 . 2008-06-25 21:01 <REP> d-------- C:\WINDOWS\system32\fr
    2008-06-25 21:01 . 2008-06-25 21:01 <REP> d-------- C:\WINDOWS\system32\bits
    2008-06-25 21:01 . 2008-06-25 21:01 <REP> d-------- C:\WINDOWS\l2schemas
    2008-06-25 21:00 . 2008-06-25 21:02 <REP> d-------- C:\WINDOWS\ServicePackFiles
    2008-06-25 20:55 . 2004-08-03 22:29 1,897,408 --------- C:\WINDOWS\system32\drivers\nv4_mini.sys
    2008-06-25 20:39 . 2008-06-25 20:39 13,646 --a------ C:\WINDOWS\system32\wpa.bak
    2008-06-25 20:23 . 2008-07-04 20:13 <REP> d-------- C:\Program Files\Mozilla Thunderbird
    2008-06-25 20:23 . 2008-06-25 20:23 <REP> d-------- C:\Documents and Settings\THE FAMILY.MAMBOSOF-9DB29C\Application Data\Thunderbird
    2008-06-25 20:23 . 2008-06-25 20:23 <REP> d-------- C:\Documents and Settings\THE FAMILY.MAMBOSOF-9DB29C\Application Data\Talkback
    2008-06-25 20:18 . 2008-06-25 21:08 <REP> d-------- C:\WINDOWS\system32\fr-fr
    2008-06-25 20:18 . 2008-06-25 20:18 <REP> d-------- C:\Program Files\Avira
    2008-06-25 20:16 . 2008-07-02 13:08 <REP> d-------- C:\Documents and Settings\THE FAMILY.MAMBOSOF-9DB29C\dwhelper
    2008-06-25 19:22 . 2008-06-25 19:22 0 --a------ C:\WINDOWS\nsreg.dat
    2008-06-25 15:03 . 2008-06-25 18:28 <REP> d-------- C:\Program Files\McDonaldsDragons
    2008-06-25 15:02 . 2008-06-25 15:02 <REP> d--hs---- C:\WINDOWS\ftpcache
    2008-06-25 10:38 . 2008-06-25 10:38 375 --a------ C:\WINDOWS\hegames.ini
    2008-06-25 10:36 . 2008-06-25 10:36 223,128 --a------ C:\WINDOWS\system32\drivers\dtscsi.sys
    2008-06-25 10:36 . 2008-06-25 10:36 0 --a------ C:\WINDOWS\SETUP32.INI
    2008-06-25 10:32 . 2008-06-25 10:32 716,272 --a------ C:\WINDOWS\system32\drivers\sptd.sys
    2008-06-24 19:22 . 2008-06-14 19:33 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys
    2008-06-24 19:22 . 2008-06-14 19:33 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
    2008-06-24 19:10 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys
    2008-06-23 20:26 . 2001-08-17 23:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
    2008-06-23 20:25 . 2004-04-21 16:40 1,914,304 --a------ C:\WINDOWS\system32\ati3duag.dll
    2008-06-23 20:25 . 2004-04-21 16:03 870,784 --a--c--- C:\WINDOWS\system32\dllcache\ati3d1ag.dll
    2008-06-23 20:25 . 2004-04-21 16:03 870,784 --a------ C:\WINDOWS\system32\ati3d1ag.dll
    2008-06-23 20:25 . 2004-04-21 17:11 729,088 --a------ C:\WINDOWS\system32\drivers\ati2mtag.sys
    2008-06-23 20:25 . 2004-04-21 17:11 729,088 --a--c--- C:\WINDOWS\system32\dllcache\ati2mtag.sys
    2008-06-23 20:25 . 2004-04-21 15:55 507,328 --a------ C:\WINDOWS\system32\ativvaxx.dll
    2008-06-23 20:25 . 2004-04-21 15:25 237,568 --a------ C:\WINDOWS\system32\ati2cqag.dll
    2008-06-23 20:25 . 2004-04-21 17:11 205,824 --a------ C:\WINDOWS\system32\ati2dvag.dll
    2008-06-23 20:25 . 2008-04-14 03:57 58,752 --a------ C:\WINDOWS\system32\drivers\redbook.sys
    2008-06-23 20:24 . 2003-06-04 18:37 77,463 --a------ C:\WINDOWS\system32\drivers\el90Xbc5.SYS
    2008-06-23 20:24 . 2003-06-04 18:37 77,463 --a--c--- C:\WINDOWS\system32\dllcache\el90xbc5.sys
    2008-06-23 20:24 . 2008-04-14 04:33 77,312 --a------ C:\WINDOWS\system32\usbui.dll
    2008-06-23 20:24 . 2008-04-13 20:36 46,464 --a------ C:\WINDOWS\system32\drivers\gagp30kx.sys
    2008-06-23 20:24 . 2001-08-17 23:46 6,400 --a------ C:\WINDOWS\system32\drivers\enum1394.sys
    2008-06-23 20:23 . 2008-06-23 20:23 <REP> d--h----- C:\Documents and Settings\Default User.WINDOWS\Voisinage réseau
    2008-06-23 20:23 . 2008-06-23 20:23 <REP> d--h----- C:\Documents and Settings\Default User.WINDOWS\Voisinage d'impression
    2008-06-23 20:23 . 2008-06-23 18:31 <REP> d--h----- C:\Documents and Settings\Default User.WINDOWS\Modèles
    2008-06-23 20:23 . 2008-06-23 20:23 <REP> d-------- C:\Documents and Settings\Default User.WINDOWS\Mes documents
    2008-06-23 20:23 . 2008-06-23 20:23 <REP> dr------- C:\Documents and Settings\Default User.WINDOWS\Menu Démarrer

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-07-04 18:12 --------- d-----w C:\Program Files\eMule
    2008-07-04 17:26 --------- d-----w C:\Program Files\Fichiers communs\Adobe
    2008-07-03 16:42 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-06-29 09:00 --------- d-----w C:\Program Files\VideoLAN
    2008-06-27 14:24 --------- d-----w C:\Program Files\OpenOffice.org 2.4
    2008-06-23 15:59 --------- d-----w C:\Documents and Settings\The Family\Application Data\OpenOffice.org2
    2008-06-03 16:37 --------- d-----w C:\Documents and Settings\The Family\Application Data\Winamp
    2008-06-03 16:34 --------- d-----w C:\Documents and Settings\The Family\Application Data\vlc
    2008-06-03 15:29 --------- d-----w C:\Program Files\DirectX9c
    2008-05-30 15:17 --------- d-----w C:\Program Files\Winamp
    2008-05-30 15:14 --------- d-----w C:\Documents and Settings\The Family\Application Data\Media Player Classic
    2008-05-30 15:07 --------- d-----w C:\Program Files\Lavalys
    2008-05-30 15:02 --------- d-----w C:\Program Files\DAEMON Tools
    2008-05-30 14:50 --------- d-----w C:\Program Files\Logitech
    2008-05-30 14:50 --------- d-----w C:\Program Files\Fichiers communs\FotoWire
    2008-05-30 14:50 --------- d-----w C:\Documents and Settings\The Family\Application Data\FotoWire
    2008-05-30 14:49 --------- d-----w C:\Program Files\Fichiers communs\Logitech
    2008-05-30 14:47 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
    2008-05-30 14:24 --------- d-----w C:\Program Files\ATI Technologies
    2008-05-30 13:54 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
    2008-05-30 13:54 --------- d-----w C:\Documents and Settings\The Family\Application Data\Malwarebytes
    2008-05-30 13:16 --------- d-----w C:\Program Files\Creative
    2008-05-30 13:08 --------- d-----w C:\Program Files\Analog Devices
    2008-05-30 13:06 --------- d-----w C:\Program Files\VIA
    2008-05-30 06:02 --------- d-----w C:\Program Files\microsoft frontpage
    2008-05-30 06:01 --------- d-----w C:\Program Files\Services en ligne
    2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
    2008-05-08 14:02 203,136 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
    2008-05-07 05:11 1,294,336 ----a-w C:\WINDOWS\system32\quartz.dll
    2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
    2008-04-14 02:50 1,804 ----a-w C:\WINDOWS\system32\dcache.bin
    2008-04-14 02:37 332,800 ----a-w C:\WINDOWS\system32\netsetup.exe
    2008-04-14 02:33 98,816 ----a-w C:\WINDOWS\system32\psbase.dll
    2008-04-14 02:32 764,416 ----a-w C:\WINDOWS\system32\winntbbu.dll
    2008-04-14 02:32 61,471 ----a-w C:\WINDOWS\system32\odbcji32.dll
    2008-04-14 02:32 5,632 ----a-w C:\WINDOWS\system32\wmi.dll
    2008-04-14 02:32 24,064 ----a-w C:\WINDOWS\system32\pidgen.dll
    2008-04-14 02:08 2,191,104 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
    2008-04-14 02:07 2,067,968 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
    2008-04-14 02:06 4,096 ----a-w C:\WINDOWS\system32\dsprpres.dll
    2008-04-14 02:04 93,184 ------w C:\WINDOWS\system32\msxml6r.dll
    2008-04-14 02:03 81,920 ------w C:\WINDOWS\system32\msshavmsg.dll
    2008-04-14 02:02 50,688 ----a-w C:\WINDOWS\system32\inetres.dll
    2008-04-14 02:02 2,985,984 ----a-w C:\WINDOWS\system32\wmploc.dll
    2008-04-14 02:00 572,416 ----a-w C:\WINDOWS\system32\shdoclc.dll
    2008-04-14 01:59 200,704 ----a-w C:\WINDOWS\system32\wmerror.dll
    2008-04-14 01:59 10,240 ----a-w C:\WINDOWS\system32\gpkrsrc.dll
    2008-04-14 01:58 1,845,760 ----a-w C:\WINDOWS\system32\win32k.sys
    2008-04-14 01:58 1,647,616 ----a-w C:\WINDOWS\system32\winbrand.dll
    2008-04-14 01:57 70,144 ----a-w C:\WINDOWS\system32\browselc.dll
    2008-04-14 01:55 8,704 ----a-w C:\WINDOWS\system32\asferror.dll
    2008-04-13 18:44 17,664 ----a-w C:\WINDOWS\system32\watchdog.sys
    2008-04-13 18:43 9,728 ------w C:\WINDOWS\system32\comsdupd.exe
    2008-04-13 18:43 12,800 ----a-w C:\WINDOWS\system32\spiisupd.exe
    2008-04-13 18:40 445,440 ----a-w C:\WINDOWS\system32\xpob2res.dll
    2008-04-13 18:36 2,986,496 ----a-w C:\WINDOWS\system32\xpsp2res.dll
    2008-04-13 18:35 197,632 ----a-w C:\WINDOWS\system32\xpsp1res.dll
    2008-04-13 18:31 7,424 ----a-w C:\WINDOWS\system32\kd1394.dll
    2008-04-13 18:30 61,440 ----a-w C:\WINDOWS\system32\msvcrt40.dll
    2008-04-13 17:37 208,384 ----a-w C:\WINDOWS\system32\rsaenh.dll
    2008-04-13 17:37 138,752 ----a-w C:\WINDOWS\system32\dssenh.dll
    2008-04-13 17:34 11,264 ----a-w C:\WINDOWS\system32\spnpinst.exe
    2008-04-13 17:33 424,960 ----a-w C:\WINDOWS\system32\licdll.dll
    2008-04-13 17:33 1,005,056 ----a-w C:\WINDOWS\system32\setupapi.dll
    2008-04-13 17:26 12,288 ----a-w C:\WINDOWS\system32\odbcp32r.dll
    2008-04-13 17:26 12,288 ----a-w C:\WINDOWS\system32\mscpx32r.dll
    2008-04-13 17:21 733,696 ----a-w C:\WINDOWS\system32\qedwipes.dll
    2008-04-13 16:45 216,064 ----a-w C:\WINDOWS\system32\moricons.dll
    2008-04-13 16:23 48,128 ----a-w C:\WINDOWS\system32\msprivs.dll
    2008-04-13 15:39 884,736 ----a-w C:\WINDOWS\system32\msimsg.dll
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:33 15360]
    "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
    "eMuleAutoStart"="C:\Program Files\eMule\emule.exe" [2007-11-25 14:13 5750784]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 04:33 15360]

    C:\Documents and Settings\The Family\Menu D‚marrer\Programmes\D‚marrage\
    OpenOffice.org 2.4.lnk - C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 16:41:28 393216]

    C:\Documents and Settings\All Users.WINDOWS\Menu D‚marrer\Programmes\D‚marrage\
    VIA RAID TOOL.lnk - C:\Program Files\VIA\RAID\raid_tool.exe [2008-05-30 15:06:41 565248]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\eMule\\emule.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
    "C:\\Program Files\\MyFreeTV\\MyFreeTV.exe"=
    "C:\\Program Files\\Messenger\\msmsgs.exe"=

    R0 viasraid;viasraid;C:\WINDOWS\system32\drivers\viasraid.sys [2003-10-31 05:22]
    R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-04-26 10:21]
    R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-04-26 10:21]
    R2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 10:21]

    *Newly Created Service* - CATCHME
    .
    - - - - ORPHANS REMOVED - - - -

    HKLM-Run-NBKeyScan - C:\Program Files\Nero 8\Nero BackItUp\NBKeyScan.exe

    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-07-04 20:41:02
    Windows 5.1.2600 Service Pack 3 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************
    .
    --------------------- DLLs a chargé sous des processus courants ---------------------

    PROCESS: C:\WINDOWS\system32\winlogon.exe
    -> C:\WINDOWS\system32\Ati2evxx.dll
    .
    Temps d'accomplissement: 2008-07-04 20:42:50
    ComboFix-quarantined-files.txt 2008-07-04 18:42:45

    Pre-Run: 10,461,851,648 octets libres
    Post-Run: 11,015,241,728 octets libres

    266 --- E O F --- 2008-06-29 09:30:32
    0