Hijackthis apres combofix

beck beque -  
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,

ComboFix 08-07-12.2 - Administrateur 2008-07-13 10:43:41.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1361 [GMT 2:00]
Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\oeminfo.ini
C:\WINDOWS\system32\sysdm.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SROSA

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-13 to 2008-07-13 ))))))))))))))))))))))))))))))))))))
.

2008-07-13 10:34 . 2008-07-13 10:34 2,316 --a------ C:\WINDOWS\system32\tmp.reg
2008-07-12 22:27 . 2005-01-20 13:47 175,616 --a------ C:\WINDOWS\system32\strings.exe
2008-07-12 22:27 . 2005-01-13 21:41 39,184 --a------ C:\WINDOWS\system32\Ntrights.exe
2008-07-12 22:27 . 2005-01-13 21:41 11,254 --a------ C:\WINDOWS\system32\locate.com
2008-07-12 21:56 . 2008-07-12 21:56 <REP> d-------- C:\WINDOWS\ERUNT
2008-07-12 21:19 . 2008-07-12 21:41 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-07-12 21:19 . 2008-07-12 21:19 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-12 21:19 . 2008-07-12 21:19 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-07-12 21:19 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-12 21:19 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-12 03:52 . 2008-07-12 04:01 550,982,992 --a------ C:\Alien.Vs.Predator.Requiem.FRENCH.DVDRiP.XviD.avi.AVI
2008-07-04 21:54 . 2008-07-04 21:54 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Age of Empires 3
2008-06-24 23:02 . 2008-06-24 23:02 <REP> d-------- C:\Program Files\Microsoft Games

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-13 08:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
2008-07-13 08:14 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\AVG7
2008-07-12 21:33 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Skype
2008-07-12 01:42 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\skypePM
2008-07-12 00:46 --------- d-----w C:\Program Files\WinamaxPoker
2008-07-11 19:38 --------- d-----w C:\Program Files\eMule
2008-06-24 21:16 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-06-24 21:02 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-06-07 17:02 --------- d-----w C:\Documents and Settings\All Users\Application Data\TEMP
2008-06-03 20:27 --------- d-----w C:\Program Files\Skype
2008-06-03 20:27 --------- d-----w C:\Program Files\Fichiers communs\Skype
2008-06-03 20:27 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype
2008-06-03 19:54 --------- d-----w C:\Program Files\mIRC
2008-04-14 03:25 86,016 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2008-04-14 03:25 262,144 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2008-03-08 23:38 22,328 ----a-w C:\Documents and Settings\Administrateur\Application Data\PnkBstrK.sys
2006-10-08 23:18 145,920 ----a-w C:\WINDOWS\inf\hdaudio.sys
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
2007-12-15 12:17 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
2007-12-15 12:17 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
2007-12-15 12:17 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
.

------- Sigcheck -------

2006-10-22 01:55 578048 4a048552ca537ef146a8c21a0881b1ba C:\WINDOWS\system32\user32.dll

2006-10-27 16:09 838656 1cc220712da13c68aa19ab97436aed79 C:\WINDOWS\system32\wininet.dll
2006-10-27 16:09 838656 1cc220712da13c68aa19ab97436aed79 C:\WINDOWS\system32\dllcache\wininet.dll

2006-10-09 01:26 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\system32\drivers\tcpip.sys

2006-10-24 08:06 507904 fb66744d525ea5df9a719f1db9b2dff4 C:\WINDOWS\system32\winlogon.exe

2006-10-24 08:01 2018816 cd7a12963842f6261b7cb452e4a87979 C:\WINDOWS\system32\ntkrnlpa.exe

2006-10-22 00:58 2139136 b6d55f81d64b3d8a2aa48326c60756ab C:\WINDOWS\system32\ntoskrnl.exe

2006-11-11 20:36 1902592 2522d71de4fa051357b576c404af1a39 C:\WINDOWS\explorer.exe

2006-10-09 01:20 57856 ad3d9d191aea7b5445fe1d82ffbb4788 C:\WINDOWS\system32\spoolsv.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VisualTaskTips"="C:\Windows\System32\VisualTaskTips.exe" [2006-07-05 04:23 36864]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 02:54 15360]
"SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 18:45 1052672]
"UberIcon"="C:\Program Files\UberIcon\UberIcon Manager.exe" [2005-08-12 21:52 180224]
"ccleaner"="C:\Program Files\CCleaner\CCleaner.exe" [2008-02-20 16:15 816368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Vistadrv"="C:\WINDOWS\system32\Vistadrive\vsdrv.exe" [2006-07-30 04:37 121089]
"DiskeeperSystray"="C:\Program Files\Executive Software\Diskeeper\DkIcon.exe" [2005-07-26 18:52 184408]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 15:34 868352]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-06-28 09:51 580096]
"VX3000"="C:\WINDOWS\vVX3000.exe" [2007-04-10 23:46 709992]
"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 02:55 110592 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WIAWizardMenu"="C:\WINDOWS\system32\sti_ci.dll" [2006-09-08 15:12 678912]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"UberIcon"="C:\Program Files\UberIcon\UberIcon Manager.exe" [2005-08-12 21:52 180224]
"VisualTaskTips"="C:\Windows\System32\VisualTaskTips.exe" [2006-07-05 04:23 36864]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-04-10 04:40 219136]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"VIDC.YV12"= yv12vfw.dll
"msacm.l3codec"= l3codecp.acm
"vidc.mxmc"= MimicICM.DLL

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^BlueSoleil.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\BlueSoleil.lnk
backup=C:\WINDOWS\pss\BlueSoleil.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-06-27 20:03 152872 C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-09-18 16:16 171464 C:\Program Files\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 16:57 153136 C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"C:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"C:\\Program Files\\Sports Interactive\\Football Manager 2008\\fm.exe"=
"C:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\WINDOWS\\system32\\CIMSVR.exe"=
"C:\\Program Files\\Microsoft LifeCam\\LifeCam.exe"=
"C:\\Program Files\\Microsoft LifeCam\\LifeExp.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
"C:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
"C:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5730:UDP"= 5730:UDP:pes2008
"5739:UDP"= 5739:UDP:pes2008
"41281:UDP"= 41281:UDP:emule_udp
"32078:TCP"= 32078:TCP:emule_tcp

R2 MSCamSvc;MSCamSvc;C:\Program Files\Microsoft LifeCam\MSCamS32.exe [2007-05-17 23:45]
R3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.10.1;C:\WINDOWS\system32\drivers\libusb0.sys [2005-03-09 20:50]
S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [2006-06-16 09:30]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-12-29 01:58]

.
- - - - ORPHANS REMOVED - - - -

Toolbar-LinksFolderName - (no file)
Toolbar-SaveLinksOrder - (no file)
Toolbar-Locked - (no file)
Toolbar-ITBarLayout - (no file)
Toolbar-ITBarLayout - (no file)
HKU-Default-Run-TweakRAM - C:\Program Files\TweakRAM\TweakRAM.exe
HKU-Default-Run-LClock - C:\Program Files\LClock\lclock.exe
MSConfigStartUp-TweakRAM - C:\Program Files\TweakRAM\TweakRAM.exe

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-13 10:46:21
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mc22.tmp"
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\a-squared Free\a2service.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\libusbd-nt.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-07-13 10:49:32 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-13 08:48:30

Pre-Run: 3,083,177,984 octets libres
Post-Run: 3,008,327,680 octets libres

190

hijackthis apres combofix

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:06:38, on 13/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\vVX3000.exe
C:\Windows\System32\VisualTaskTips.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\UberIcon\UberIcon Manager.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\libusbd-nt.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [Vistadrv] C:\WINDOWS\system32\Vistadrive\vsdrv.exe
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [TweakRAM] C:\Program Files\TweakRAM\TweakRAM.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [LClock] C:\Program Files\LClock\lclock.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LibUsb-Win32 - Daemon, Version 0.1.10.1 (libusbd) - https://sourceforge.net/p/libusb-win32/wiki/Home/ - C:\WINDOWS\system32\libusbd-nt.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 9185 bytes
Configuration: Windows XP
Firefox 3.0

15 réponses

  1. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    tu as supprimé une infection bagle.

    As tu supprimé le crack à l'origine de l'infection ? Sinon l'infection va redémarrer.

    As tu réinstallé les applications détruites par Bagle.

    _____________________

    Fais ça :

    Copie ou imprime les instructions avant

    Déconnecte toi d'internet et ferme toutes tes applications.

    Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    Driver::
    mchInjDrv

    File::
    C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mc22.tmp

    Enregistre ce fichier sous le nom CFscript

    Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

    Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Réactive ton parefeu, ton antivirus, la garde de ton antispyware

    Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

    Remets aussi un rapport Hijackthis

    Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

    ____________________

    ========================================
    ->Affiche tous les fichiers et dossiers :
    clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

    [Coche] « afficher les dossiers et fichiers cachés »

    [Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

    [Décoche] « masquer les extensions dont le type est connu »

    Puis fais [appliquer] pour valider les changements.

    Et [Ok]
    ========================================

    Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
    - Enregistre le sur ton Bureau

    Double clique sur le OAD pour le lancer

    - nom de fichier à rechercher tape ou fais un copier coller de : lass.exe
    - Type de recherche : sélectionne l'option 6 puis valide [entree]

    OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
    Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

    - Fais un copier / coller de ce rapport dans ton prochain post.

    Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient(e)
    0
    1. beck beque
       
      bonjour

      et merci de t'interesser de mon cas par contre c le pc de mon petit frere quand je suis arriver sa beuguer grave j'ai nettoyer comme j'ai put avec

      malwarbyte
      eligbala
      fixvundo

      alors je c pas comment il a choper sa et je ne c pas quel est l'origine de l'infection doit je continuer tes instruction
      0
      1. benurrr Messages postés 9766 Statut Contributeur sécurité 107 > beck beque
         
        salut a vous et bon courage

        en passant je voulait savoir comment et sur qul rapport a tu vu qu'il a suprimer un baggle

        j'ai beau regarder je voit rien merci d'avance lyonnais92 pour ta reponse

        et bon weekend a tous

        0
      2. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169 > benurrr Messages postés 9766 Statut Contributeur sécurité
         
        Salut !

        Désolé pour la petite intrusion :-))

        Bennur, surement ici :

        ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
        .

        -------\Legacy_SROSA


        SROSA.SYS est un des rootkits installé par Bagle.
        0
      3. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537 > benurrr Messages postés 9766 Statut Contributeur sécurité
         
        Bonjour,

        j'édite, jorginho a répondu avant moi.

        srosa.sys est le rootkit central der l'infection bagle actuelle.
        0
  2. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    Demandes lui ce qu'il a téléchargé avant d'avoir des problèmes.

    Fais ça :

    Fais un scan en ligne Kaspersky avec Internet Explorer :
    - Clique sur Démarrer Online-Scanner

    - Clique maintenant sur J'accepte.
    - Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
    - Patiente pendant l'installation des Mises à jour.
    - Choisis par la suite l'analyse du Poste de travail.
    - Sauvegarde puis colle le rapport généré en fin d'analyse.

    AIDE : Configurer le contrôle des ActiveX

    NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

    Si tu as un rapport d'elibagla poste le.

    Ensuite, tu peux enchaîner avec ce que j'ai dit. Si tu as commencé, ce n'est pas grave.
    0
    1. beck beque
       
      re

      non je n'est pas encore commencer car j'essaie de le contacter par telephone mais il repond pas

      et on rapport j'ai tout suprimer il me reste que celui de malwarbyte que je vous envoie si sa peut aider

      Malwarebytes' Anti-Malware 1.20
      Version de la base de données: 942
      Windows 5.1.2600 Service Pack 2

      21:41:15 12/07/2008
      mbam-log-7-12-2008 (21-41-15).txt

      Type de recherche: Examen complet (C:\|D:\|)
      Eléments examinés: 94322
      Temps écoulé: 20 minute(s), 6 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 1
      Dossier(s) infecté(s): 1
      Fichier(s) infecté(s): 77

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

      Dossier(s) infecté(s):
      C:\WINDOWS\system32\drivers\downld (Trojan.Agent) -> Quarantined and deleted successfully.

      Fichier(s) infecté(s):
      C:\WINDOWS\system32\drivers\downld\101890.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\103250.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\106390.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\107109.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\111859.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\113671.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\114562.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\115234.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\117484.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\119125.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\119656.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\119781.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\123687.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\124546.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\124656.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\132062.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\136078.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\138203.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\143328.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\146312.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\14746921.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\14800375.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\148031.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\14820406.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\14830546.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\14839359.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\151750.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\153296.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\156609.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\158390.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\160859.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\167125.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\167656.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\171109.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\171515.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\171937.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\172031.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\172390.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\175437.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\196218.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\203906.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\217859.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\220281.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\237718.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\241203.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\260781.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\264218.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\264234.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\274296.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\276593.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\281750.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\29294125.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\29453718.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\29472203.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\29485203.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\29500125.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\43943218.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\43966000.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\43984265.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\43994843.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\44000421.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\61921.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\65468.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\74390.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\77890.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\78625.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\79343.exe (Trojan.Agent) -> Quarantined and deleted successfully.

      C:\WINDOWS\system32\drivers\downld\79890.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\80171.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\81921.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\85156.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\85390.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\87203.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\88078.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\88953.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\91531.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\downld\93796.exe (Trojan.Agent) -> Quarantined and deleted successfully.

      et j'ai refait un scan on mode sans echec et il n'a rien trouver on attendant je vais aller sur kapersky comme tu me la demander
      0
      1. beck beque > beck beque
         
        re

        voila le rapport kapersky

        KASPERSKY ON-LINE SCANNER REPORT
        Sunday, July 13, 2008 3:36:32 PM
        Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
        Kaspersky On-line Scanner version : 5.0.83.0
        Dernière mise à jour de la base antivirus Kaspersky : 13/07/2008
        Enregistrements dans la base antivirus Kaspersky : 845623
        Paramètres d'analyse
        Analyser avec la base antivirus suivante standard
        Analyser les archives vrai
        Analyser les bases de messagerie vrai
        Cible de l'analyse Poste de travail
        A:\
        C:\
        D:\
        E:\
        F:\
        G:\
        H:\
        I:\
        Statistiques de l'analyse
        Total d'objets analysés 62224
        Nombre de virus trouvés 1
        Nombre d'objets infectés 1 / 0
        Nombre d'objets suspects 0
        Durée de l'analyse 01:03:53

        Nom de l'objet infecté Nom du virus Dernière action
        C:\Documents and Settings\Administrateur\Cookies\index.dat L'objet est verrouillé ignoré
        C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré
        C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
        C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
        C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
        C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré
        C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
        C:\Documents and Settings\Administrateur\NTUSER.DAT L'objet est verrouillé ignoré
        C:\Documents and Settings\Administrateur\ntuser.dat.LOG L'objet est verrouillé ignoré
        C:\Documents and Settings\All Users\Application Data\Grisoft\Avg7Data\avg7log.log L'objet est verrouillé ignoré
        C:\Documents and Settings\All Users\Application Data\Grisoft\Avg7Data\avg7log.log.lck L'objet est verrouillé ignoré
        C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré
        C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré
        C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
        C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
        C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
        C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
        C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
        C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
        C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
        C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
        C:\QooBox\Quarantine\Registry_backups\Legacy_SROSA.reg.dat Infecté : Trojan-Downloader.Win32.Bagle.hp ignoré
        C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
        C:\System Volume Information\_restore{D96A97F8-104F-4585-8883-9FD32849A2ED}\RP25\change.log L'objet est verrouillé ignoré
        C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
        C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
        C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
        C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
        C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
        C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
        C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
        C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
        C:\WINDOWS\system32\config\DEFAULT.LOG L'objet est verrouillé ignoré
        C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
        C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
        C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
        C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
        C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
        C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
        C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
        C:\WINDOWS\system32\config\SOFTWARE.LOG L'objet est verrouillé ignoré
        C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
        C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
        C:\WINDOWS\system32\config\SYSTEM.LOG L'objet est verrouillé ignoré
        C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré
        C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
        C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl L'objet est verrouillé ignoré
        C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
        C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
        C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
        C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
        C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
        C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
        C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
        C:\WINDOWS\Temp\Perflib_Perfdata_324.dat L'objet est verrouillé ignoré
        C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
        C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
        C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
        D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
        D:\System Volume Information\_restore{D96A97F8-104F-4585-8883-9FD32849A2ED}\RP25\change.log L'objet est verrouillé ignoré
        Analyse terminée.
        0
  3. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    OK, si jamais une application ne fonctionnait plus, il faudrait la réinstaller.

    Continue avec la suite du post 1 (Combofix puis OAD)
    0
    1. beck beque
       
      re

      ok j'attaque sa c quoi le quobox
      0
  4. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    Quobox est un répertoire créé par Combofix où il sauvegarde un certain nombre de suppression. Ca sert de sauvergade permettant de revenir en arrière.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. beck beque
     
    Voila les deux rapport

    ComboFix 08-07-12.2 - Administrateur 2008-07-13 16:04:56.2 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1449 [GMT 2:00]
    Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
    Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFscript.txt
    * Création d'un nouveau point de restauration

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

    FILE ::
    C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mc22.tmp
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_MCHINJDRV
    -------\Service_mchInjDrv

    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-13 to 2008-07-13 ))))))))))))))))))))))))))))))))))))
    .

    2008-07-13 14:23 . 2008-07-13 14:23 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
    2008-07-13 14:23 . <REP> C:\WINDOWS\LastGood.Tmp
    2008-07-13 11:06 . 2008-07-13 11:06 <REP> d-------- C:\Program Files\Trend Micro
    2008-07-13 10:34 . 2008-07-13 10:34 2,316 --a------ C:\WINDOWS\system32\tmp.reg
    2008-07-12 22:27 . 2005-01-20 13:47 175,616 --a------ C:\WINDOWS\system32\strings.exe
    2008-07-12 22:27 . 2005-01-13 21:41 39,184 --a------ C:\WINDOWS\system32\Ntrights.exe
    2008-07-12 22:27 . 2005-01-13 21:41 11,254 --a------ C:\WINDOWS\system32\locate.com
    2008-07-12 21:56 . 2008-07-12 21:56 <REP> d-------- C:\WINDOWS\ERUNT
    2008-07-12 21:19 . 2008-07-12 21:41 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
    2008-07-12 21:19 . 2008-07-12 21:19 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-07-12 21:19 . 2008-07-12 21:19 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
    2008-07-12 21:19 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
    2008-07-12 21:19 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
    2008-07-12 03:52 . 2008-07-12 04:01 550,982,992 --a------ C:\Alien.Vs.Predator.Requiem.FRENCH.DVDRiP.XviD.avi.AVI
    2008-07-04 21:54 . 2008-07-04 21:54 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Age of Empires 3
    2008-06-24 23:02 . 2008-06-24 23:02 <REP> d-------- C:\Program Files\Microsoft Games

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-07-13 11:50 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Skype
    2008-07-13 11:28 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\skypePM
    2008-07-13 09:41 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\AVG7
    2008-07-13 08:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
    2008-07-12 00:46 --------- d-----w C:\Program Files\WinamaxPoker
    2008-07-11 19:38 --------- d-----w C:\Program Files\eMule
    2008-06-24 21:16 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-06-24 21:02 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
    2008-06-07 17:02 --------- d-----w C:\Documents and Settings\All Users\Application Data\TEMP
    2008-06-03 20:27 --------- d-----w C:\Program Files\Skype
    2008-06-03 20:27 --------- d-----w C:\Program Files\Fichiers communs\Skype
    2008-06-03 20:27 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype
    2008-06-03 19:54 --------- d-----w C:\Program Files\mIRC
    2008-04-14 03:25 86,016 ----a-w C:\WINDOWS\system32\OpenAL32.dll
    2008-04-14 03:25 262,144 ----a-w C:\WINDOWS\system32\wrap_oal.dll
    2008-03-08 23:38 22,328 ----a-w C:\Documents and Settings\Administrateur\Application Data\PnkBstrK.sys
    2006-10-08 23:18 145,920 ----a-w C:\WINDOWS\inf\hdaudio.sys
    2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
    2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
    2007-12-15 12:17 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
    2007-12-15 12:17 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
    2007-12-15 12:17 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    .

    ------- Sigcheck -------

    2006-10-22 01:55 578048 4a048552ca537ef146a8c21a0881b1ba C:\WINDOWS\system32\user32.dll

    2006-10-27 16:09 838656 1cc220712da13c68aa19ab97436aed79 C:\WINDOWS\system32\wininet.dll
    2006-10-27 16:09 838656 1cc220712da13c68aa19ab97436aed79 C:\WINDOWS\system32\dllcache\wininet.dll

    2006-10-09 01:26 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\system32\drivers\tcpip.sys

    2006-10-24 08:06 507904 fb66744d525ea5df9a719f1db9b2dff4 C:\WINDOWS\system32\winlogon.exe

    2006-10-24 08:01 2018816 cd7a12963842f6261b7cb452e4a87979 C:\WINDOWS\system32\ntkrnlpa.exe

    2006-10-22 00:58 2139136 b6d55f81d64b3d8a2aa48326c60756ab C:\WINDOWS\system32\ntoskrnl.exe

    2006-11-11 20:36 1902592 2522d71de4fa051357b576c404af1a39 C:\WINDOWS\explorer.exe

    2006-10-09 01:20 57856 ad3d9d191aea7b5445fe1d82ffbb4788 C:\WINDOWS\system32\spoolsv.exe
    .
    ((((((((((((((((((((((((((((( snapshot@2008-07-13_10.48.21.97 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2008-07-13 08:45:59 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2008-07-13 14:07:21 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2005-05-16 17:34:48 213,048 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavss.dll
    + 2006-03-20 11:17:24 65,536 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe
    + 2006-03-20 11:17:20 798,720 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll
    + 2008-07-13 14:07:43 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_448.dat
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "VisualTaskTips"="C:\Windows\System32\VisualTaskTips.exe" [2006-07-05 04:23 36864]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 02:54 15360]
    "SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 18:45 1052672]
    "UberIcon"="C:\Program Files\UberIcon\UberIcon Manager.exe" [2005-08-12 21:52 180224]
    "ccleaner"="C:\Program Files\CCleaner\CCleaner.exe" [2008-02-20 16:15 816368]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Vistadrv"="C:\WINDOWS\system32\Vistadrive\vsdrv.exe" [2006-07-30 04:37 121089]
    "DiskeeperSystray"="C:\Program Files\Executive Software\Diskeeper\DkIcon.exe" [2005-07-26 18:52 184408]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
    "SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 15:34 868352]
    "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
    "AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-06-28 09:51 580096]
    "VX3000"="C:\WINDOWS\vVX3000.exe" [2007-04-10 23:46 709992]
    "nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]
    "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 02:55 110592 C:\WINDOWS\system32\bthprops.cpl]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    "WIAWizardMenu"="C:\WINDOWS\system32\sti_ci.dll" [2006-09-08 15:12 678912]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "UberIcon"="C:\Program Files\UberIcon\UberIcon Manager.exe" [2005-08-12 21:52 180224]
    "VisualTaskTips"="C:\Windows\System32\VisualTaskTips.exe" [2006-07-05 04:23 36864]
    "AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-04-10 04:40 219136]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "VIDC.I420"= i420vfw.dll
    "VIDC.YV12"= yv12vfw.dll
    "msacm.l3codec"= l3codecp.acm
    "vidc.mxmc"= MimicICM.DLL

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
    @="Driver"

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^BlueSoleil.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\BlueSoleil.lnk
    backup=C:\WINDOWS\pss\BlueSoleil.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
    --a------ 2007-06-27 20:03 152872 C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
    --a------ 2007-09-18 16:16 171464 C:\Program Files\DAEMON Tools\daemon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    --a------ 2007-03-01 16:57 153136 C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\MSN Messenger\\livecall.exe"=
    "C:\\Program Files\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"=
    "C:\\WINDOWS\\system32\\PnkBstrA.exe"=
    "C:\\WINDOWS\\system32\\PnkBstrB.exe"=
    "C:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
    "C:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
    "C:\\Program Files\\Sports Interactive\\Football Manager 2008\\fm.exe"=
    "C:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
    "C:\\Program Files\\Grisoft\\AVG7\\avginet.exe"=
    "C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"=
    "C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"=
    "C:\\WINDOWS\\system32\\CIMSVR.exe"=
    "C:\\Program Files\\Microsoft LifeCam\\LifeCam.exe"=
    "C:\\Program Files\\Microsoft LifeCam\\LifeExp.exe"=
    "C:\\Program Files\\eMule\\emule.exe"=
    "C:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
    "C:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
    "C:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
    "C:\\Program Files\\Skype\\Phone\\Skype.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "5730:UDP"= 5730:UDP:pes2008
    "5739:UDP"= 5739:UDP:pes2008
    "41281:UDP"= 41281:UDP:emule_udp
    "32078:TCP"= 32078:TCP:emule_tcp

    R2 MSCamSvc;MSCamSvc;C:\Program Files\Microsoft LifeCam\MSCamS32.exe [2007-05-17 23:45]
    R3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.10.1;C:\WINDOWS\system32\drivers\libusb0.sys [2005-03-09 20:50]
    S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [2006-06-16 09:30]
    S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-12-29 01:58]

    *Newly Created Service* - MCHINJDRV
    .
    - - - - ORPHANS REMOVED - - - -

    Toolbar-ITBarLayout - (no file)
    Toolbar-ITBarLayout - (no file)

    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-07-13 16:07:33
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
    "ImagePath"="\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mc22.tmp"
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\system32\cmd.exe
    C:\Program Files\a-squared Free\a2service.exe
    C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
    C:\Program Files\Executive Software\Diskeeper\DkService.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\WINDOWS\system32\libusbd-nt.exe
    C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\WINDOWS\system32\PnkBstrB.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\rundll32.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-07-13 16:10:40 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-07-13 14:09:41
    ComboFix2.txt 2008-07-13 08:49:33

    Pre-Run: 5,474,512,896 octets libres
    Post-Run: 5,487,063,040 octets libres

    202
    et la raport hijackthis

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16:13:11, on 13/07/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0011)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\a-squared Free\a2service.exe
    C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Executive Software\Diskeeper\DkService.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\WINDOWS\system32\libusbd-nt.exe
    C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    C:\Program Files\Microsoft LifeCam\MSCamS32.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\WINDOWS\system32\PnkBstrB.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Analog Devices\Core\smax4pnp.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
    C:\WINDOWS\vVX3000.exe
    C:\Windows\System32\VisualTaskTips.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\SuperCopier2\SuperCopier2.exe
    C:\Program Files\UberIcon\UberIcon Manager.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
    O4 - HKLM\..\Run: [Vistadrv] C:\WINDOWS\system32\Vistadrive\vsdrv.exe
    O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe
    O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
    O4 - HKCU\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
    O4 - HKCU\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe"
    O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
    O4 - HKUS\S-1-5-19\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [TweakRAM] C:\Program Files\TweakRAM\TweakRAM.exe (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [LClock] C:\Program Files\LClock\lclock.exe (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'Default user')
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O15 - Trusted Zone: http://www.secuser.com
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
    O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: LibUsb-Win32 - Daemon, Version 0.1.10.1 (libusbd) - https://sourceforge.net/p/libusb-win32/wiki/Home/ - C:\WINDOWS\system32\libusbd-nt.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
    0
  7. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    tu n'as pas fait ça :

    ========================================

    Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
    - Enregistre le sur ton Bureau

    Double clique sur le OAD pour le lancer

    - nom de fichier à rechercher tape ou fais un copier coller de : lass.exe
    - Type de recherche : sélectionne l'option 6 puis valide [entree]

    OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
    Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

    - Fais un copier / coller de ce rapport dans ton prochain post.

    Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient(e)
    0
    1. beck beque
       
      yes desoler

      apres oad je refait scan hijack ou l'autre te suffit
      0
      1. beck beque > beck beque
         
        voila le rapport sa ete rapide

        13/07/2008 ---- 16:57:43,15

        ----------------------------------
        §§§§§§ [lass.exe] §§§§§§
        ----------------------------------
        [X] Registre

        -------------- [ ] rapide
        -- Fichier --- [ ] disque systeme
        ------------- [X] complete


        ********************
        [Registre]
        ********************

        Aucune entrée détectée

        *******************
        [Fichier]
        *******************



        *********************
        [Même date]
        *********************

        Aucun fichier créé à la même date détecté


        Outil Aide Diagnostic By !aur3n7 Version 1.1
        ----------------------------------
        §§§§§ Fin Rapport §§§§§
        ----------------------------------
        0
  8. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    je voudrais que tu recommences la maneuvre avec Combofix en mode sans échec.

    Fais ça :

    Copie ou imprime les instructions avant

    Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5).

    Ferme toutes tes applications.

    Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    Fait un glisser/déposer du fichier CFscript sur le fichier ComboFix.exe

    Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Réactive ton parefeu, ton antivirus, la garde de ton antispyware

    Une fois le scan achevé, un rapport va s'afficher. Sauvegarde le.

    redémarre en mode normal. Poste le rapport.

    Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
    0
    1. beck beque
       
      ok je te fait sa
      0
      1. beck beque > beck beque
         
        le script on mode sans echec

        ComboFix 08-07-12.2 - Administrateur 2008-07-13 18:17:51.3 - NTFSx86 MINIMAL

        Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
        Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFscript.txt

        [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

        FILE ::
        C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mc22.tmp
        .

        (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
        .

        .
        ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
        .

        -------\Legacy_MCHINJDRV


        ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-13 to 2008-07-13 ))))))))))))))))))))))))))))))))))))
        .

        2008-07-13 11:06 . 2008-07-13 11:06 <REP> d-------- C:\Program Files\Trend Micro
        2008-07-12 21:19 . 2008-07-12 21:41 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
        2008-07-12 21:19 . 2008-07-12 21:19 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
        2008-07-12 21:19 . 2008-07-12 21:19 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
        2008-07-04 21:54 . 2008-07-04 21:54 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Age of Empires 3
        2008-06-24 23:02 . 2008-06-24 23:02 <REP> d-------- C:\Program Files\Microsoft Games

        .
        (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
        .
        2008-07-13 11:50 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Skype
        2008-07-13 11:28 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\skypePM
        2008-07-13 09:41 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\AVG7
        2008-07-13 08:34 2,316 ----a-w C:\WINDOWS\system32\tmp.reg
        2008-07-13 08:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
        2008-07-12 00:46 --------- d-----w C:\Program Files\WinamaxPoker
        2008-07-11 19:38 --------- d-----w C:\Program Files\eMule
        2008-07-07 15:35 34,296 ----a-w C:\WINDOWS\system32\drivers\mbamcatchme.sys
        2008-07-07 15:35 17,144 ----a-w C:\WINDOWS\system32\drivers\mbam.sys
        2008-06-24 21:16 --------- d--h--w C:\Program Files\InstallShield Installation Information
        2008-06-24 21:02 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
        2008-06-07 17:02 --------- d-----w C:\Documents and Settings\All Users\Application Data\TEMP
        2008-06-03 20:27 --------- d-----w C:\Program Files\Skype
        2008-06-03 20:27 --------- d-----w C:\Program Files\Fichiers communs\Skype
        2008-06-03 20:27 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype
        2008-06-03 19:54 --------- d-----w C:\Program Files\mIRC
        2008-04-14 03:25 86,016 ----a-w C:\WINDOWS\system32\OpenAL32.dll
        2008-04-14 03:25 262,144 ----a-w C:\WINDOWS\system32\wrap_oal.dll
        2008-03-08 23:38 22,328 ----a-w C:\Documents and Settings\Administrateur\Application Data\PnkBstrK.sys
        2006-10-08 23:18 145,920 ----a-w C:\WINDOWS\inf\hdaudio.sys
        2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
        2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
        2007-12-15 12:17 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
        2007-12-15 12:17 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
        2007-12-15 12:17 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
        .

        ------- Sigcheck -------

        2006-10-22 01:55 578048 4a048552ca537ef146a8c21a0881b1ba C:\WINDOWS\system32\user32.dll

        2006-10-27 16:09 838656 1cc220712da13c68aa19ab97436aed79 C:\WINDOWS\system32\wininet.dll
        2006-10-27 16:09 838656 1cc220712da13c68aa19ab97436aed79 C:\WINDOWS\system32\dllcache\wininet.dll

        2006-10-09 01:26 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\system32\drivers\tcpip.sys

        2006-10-24 08:06 507904 fb66744d525ea5df9a719f1db9b2dff4 C:\WINDOWS\system32\winlogon.exe

        2006-10-24 08:01 2018816 cd7a12963842f6261b7cb452e4a87979 C:\WINDOWS\system32\ntkrnlpa.exe

        2006-10-22 00:58 2139136 b6d55f81d64b3d8a2aa48326c60756ab C:\WINDOWS\system32\ntoskrnl.exe

        2006-11-11 20:36 1902592 2522d71de4fa051357b576c404af1a39 C:\WINDOWS\explorer.exe

        2006-10-09 01:20 57856 ad3d9d191aea7b5445fe1d82ffbb4788 C:\WINDOWS\system32\spoolsv.exe
        .
        ((((((((((((((((((((((((((((( snapshot@2008-07-13_10.48.21.97 )))))))))))))))))))))))))))))))))))))))))
        .
        - 2008-07-13 08:45:59 2,048 --s-a-w C:\WINDOWS\bootstat.dat
        + 2008-07-13 16:20:48 2,048 --s-a-w C:\WINDOWS\bootstat.dat
        + 2005-05-16 17:34:48 213,048 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavss.dll
        + 2006-03-20 11:17:24 65,536 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe
        + 2006-03-20 11:17:20 798,720 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll
        .
        ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
        .
        .
        REGEDIT4
        *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

        [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
        "VisualTaskTips"="C:\Windows\System32\VisualTaskTips.exe" [2006-07-05 04:23 36864]
        "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 02:54 15360]
        "SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 18:45 1052672]
        "UberIcon"="C:\Program Files\UberIcon\UberIcon Manager.exe" [2005-08-12 21:52 180224]
        "ccleaner"="C:\Program Files\CCleaner\CCleaner.exe" [2008-02-20 16:15 816368]

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
        "Vistadrv"="C:\WINDOWS\system32\Vistadrive\vsdrv.exe" [2006-07-30 04:37 121089]
        "DiskeeperSystray"="C:\Program Files\Executive Software\Diskeeper\DkIcon.exe" [2005-07-26 18:52 184408]
        "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
        "SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 15:34 868352]
        "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
        "AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-06-28 09:51 580096]
        "VX3000"="C:\WINDOWS\vVX3000.exe" [2007-04-10 23:46 709992]
        "nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]
        "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 02:55 110592 C:\WINDOWS\system32\bthprops.cpl]

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
        "WIAWizardMenu"="C:\WINDOWS\system32\sti_ci.dll" [2006-09-08 15:12 678912]

        [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
        "UberIcon"="C:\Program Files\UberIcon\UberIcon Manager.exe" [2005-08-12 21:52 180224]
        "VisualTaskTips"="C:\Windows\System32\VisualTaskTips.exe" [2006-07-05 04:23 36864]
        "AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-04-10 04:40 219136]

        [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
        "VIDC.I420"= i420vfw.dll
        "VIDC.YV12"= yv12vfw.dll
        "msacm.l3codec"= l3codecp.acm
        "vidc.mxmc"= MimicICM.DLL

        [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
        @="Driver"

        [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
        @="Driver"

        [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^BlueSoleil.lnk]
        path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\BlueSoleil.lnk
        backup=C:\WINDOWS\pss\BlueSoleil.lnkCommon Startup

        [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
        --a------ 2007-06-27 20:03 152872 C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

        [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
        --a------ 2007-09-18 16:16 171464 C:\Program Files\DAEMON Tools\daemon.exe

        [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
        --a------ 2007-03-01 16:57 153136 C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

        [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
        "EnableFirewall"= 0 (0x0)

        [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
        "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
        "%windir%\\system32\\sessmgr.exe"=
        "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
        "C:\\Program Files\\MSN Messenger\\livecall.exe"=
        "C:\\Program Files\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"=
        "C:\\WINDOWS\\system32\\PnkBstrA.exe"=
        "C:\\WINDOWS\\system32\\PnkBstrB.exe"=
        "C:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
        "C:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
        "C:\\Program Files\\Sports Interactive\\Football Manager 2008\\fm.exe"=
        "C:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
        "C:\\Program Files\\Grisoft\\AVG7\\avginet.exe"=
        "C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"=
        "C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"=
        "C:\\WINDOWS\\system32\\CIMSVR.exe"=
        "C:\\Program Files\\Microsoft LifeCam\\LifeCam.exe"=
        "C:\\Program Files\\Microsoft LifeCam\\LifeExp.exe"=
        "C:\\Program Files\\eMule\\emule.exe"=
        "C:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
        "C:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
        "C:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
        "C:\\Program Files\\Skype\\Phone\\Skype.exe"=

        [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
        "5730:UDP"= 5730:UDP:pes2008
        "5739:UDP"= 5739:UDP:pes2008
        "41281:UDP"= 41281:UDP:emule_udp
        "32078:TCP"= 32078:TCP:emule_tcp

        R2 MSCamSvc;MSCamSvc;C:\Program Files\Microsoft LifeCam\MSCamS32.exe [2007-05-17 23:45]
        R3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.10.1;C:\WINDOWS\system32\drivers\libusb0.sys [2005-03-09 20:50]
        S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [2006-06-16 09:30]
        S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-12-29 01:58]

        *Newly Created Service* - MCHINJDRV
        .
        - - - - ORPHANS REMOVED - - - -

        Toolbar-ITBarLayout - (no file)
        Toolbar-ITBarLayout - (no file)


        **************************************************************************

        catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
        Rootkit scan 2008-07-13 18:21:08
        Windows 5.1.2600 Service Pack 2 NTFS

        Balayage processus cach‚s ...

        Balayage cach‚ autostart entries ...

        Balayage des fichiers cach‚s ...


        C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\joxpdkrp.default\Cache
        C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\joxpdkrp.default\Cache

        Scan termin‚ avec succŠs
        Les fichiers cach‚s: 2

        **************************************************************************

        [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
        "ImagePath"="\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mc22.tmp"
        .
        ------------------------ Other Running Processes ------------------------
        .
        C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
        C:\WINDOWS\system32\cmd.exe
        C:\Program Files\a-squared Free\a2service.exe
        C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
        C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
        C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
        C:\Program Files\Executive Software\Diskeeper\DkService.exe
        C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
        C:\WINDOWS\system32\libusbd-nt.exe
        C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
        C:\WINDOWS\system32\nvsvc32.exe
        C:\WINDOWS\system32\PnkBstrA.exe
        C:\WINDOWS\system32\PnkBstrB.exe
        C:\WINDOWS\system32\rundll32.exe
        C:\WINDOWS\system32\rundll32.exe
        .
        **************************************************************************
        .
        Temps d'accomplissement: 2008-07-13 18:24:13 - machine was rebooted
        ComboFix-quarantined-files.txt 2008-07-13 16:23:16
        ComboFix2.txt 2008-07-13 14:10:41
        ComboFix3.txt 2008-07-13 08:49:33

        Pre-Run: 5,472,088,064 octets libres
        Post-Run: 5,463,011,328 octets libres

        194
        0
      2. beck beque > beck beque
         
        merci infiniment pour ton aide

        sa me va droit au coeur que des gent puissent aider sans rien en contrepartie surtout de nos jour
        0
  9. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    un fichier semble ne pas vouloir se supprimer;

    Double clique sur le OAD pour le lancer

    - nom de fichier à rechercher tape ou fais un copier coller de : mchInjDrv
    - Type de recherche : sélectionne l'option 6 puis valide [entree]

    OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
    Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

    - Fais un copier / coller de ce rapport dans ton prochain post.
    0
    1. beck beque
       
      voila

      13/07/2008 ---- 18:39:54,76

      ----------------------------------
      §§§§§§ [mchInjDrv ] §§§§§§
      ----------------------------------
      [X] Registre

      -------------- [ ] rapide
      -- Fichier --- [ ] disque systeme
      ------------- [X] complete


      ********************
      [Registre]
      ********************

      Aucune entrée détectée

      *******************
      [Fichier]
      *******************



      *********************
      [Même date]
      *********************

      Aucun fichier créé à la même date détecté


      Outil Aide Diagnostic By !aur3n7 Version 1.1
      ----------------------------------
      §§§§§ Fin Rapport §§§§§
      ----------------------------------
      0
  10. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    attention, tu as laissé un blanc en trop :

    tu as cherché ça : [mchInjDrv ]

    il faudrait [mchInjDrv]
    0
    1. beck beque
       
      j'avais pas vu voila le nouveau rapport

      13/07/2008 ---- 18:45:43,84

      ----------------------------------
      §§§§§§ [mchInjDrv] §§§§§§
      ----------------------------------
      [X] Registre

      -------------- [ ] rapide
      -- Fichier --- [ ] disque systeme
      ------------- [X] complete


      ********************
      [Registre]
      ********************


      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MCHINJDRV]

      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MCHINJDRV\0000]

      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MCHINJDRV\0000]
      "Service"="mchInjDrv"

      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MCHINJDRV\0000]
      "DeviceDesc"="mchInjDrv"

      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MCHINJDRV\0000\Control]

      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MCHINJDRV\0000\Control]
      "ActiveService"="mchInjDrv"

      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mchInjDrv]

      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mchInjDrv\Enum]

      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mchInjDrv\Enum]
      "0"="Root\\LEGACY_MCHINJDRV\\0000"

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MCHINJDRV]

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MCHINJDRV\0000]

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MCHINJDRV\0000]
      "Service"="mchInjDrv"

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MCHINJDRV\0000]
      "DeviceDesc"="mchInjDrv"

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MCHINJDRV\0000\Control]

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MCHINJDRV\0000\Control]
      "ActiveService"="mchInjDrv"

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv]

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv\Enum]

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv\Enum]
      "0"="Root\\LEGACY_MCHINJDRV\\0000"

      *******************
      [Fichier]
      *******************



      *********************
      [Même date]
      *********************

      Aucun fichier créé à la même date détecté


      Outil Aide Diagnostic By !aur3n7 Version 1.1
      ----------------------------------
      §§§§§ Fin Rapport §§§§§
      ----------------------------------
      0
  11. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    on essaye comme ça (en mode normal) :

    Copie ou imprime les instructions avant

    Déconnecte toi d'internet et ferme toutes tes applications.

    Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    Driver::
    mchInjDrv

    File::
    C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mc22.tmp

    Registry::
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MCHINJDRV]
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mchInjDrv]
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MCHINJDRV]
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv]

    Enregistre ce fichier sous le nom CFscript

    Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

    Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Réactive ton parefeu, ton antivirus, la garde de ton antispyware

    Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

    Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
    0
    1. beck beque
       
      re voilatus

      ComboFix 08-07-12.2 - Administrateur 2008-07-13 19:16:54.4 - NTFSx86
      Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
      Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFscript.txt
      * Création d'un nouveau point de restauration

      [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

      FILE ::
      C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mc22.tmp
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      .
      ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      -------\Legacy_MCHINJDRV
      -------\Service_mchInjDrv


      ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-13 to 2008-07-13 ))))))))))))))))))))))))))))))))))))
      .

      2008-07-13 18:24 . 2008-07-13 18:24 12,501 --a------ C:\log.txt dernier
      2008-07-13 14:23 . 2008-07-13 14:23 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
      2008-07-13 11:06 . 2008-07-13 11:06 <REP> d-------- C:\Program Files\Trend Micro
      2008-07-13 10:34 . 2008-07-13 10:34 2,316 --a------ C:\WINDOWS\system32\tmp.reg
      2008-07-12 22:27 . 2005-01-20 13:47 175,616 --a------ C:\WINDOWS\system32\strings.exe
      2008-07-12 22:27 . 2005-01-13 21:41 39,184 --a------ C:\WINDOWS\system32\Ntrights.exe
      2008-07-12 22:27 . 2005-01-13 21:41 11,254 --a------ C:\WINDOWS\system32\locate.com
      2008-07-12 21:56 . 2008-07-12 21:56 <REP> d-------- C:\WINDOWS\ERUNT
      2008-07-12 21:19 . 2008-07-12 21:41 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
      2008-07-12 21:19 . 2008-07-12 21:19 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
      2008-07-12 21:19 . 2008-07-12 21:19 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
      2008-07-12 21:19 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
      2008-07-12 21:19 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
      2008-07-12 03:52 . 2008-07-12 04:01 550,982,992 --a------ C:\Alien.Vs.Predator.Requiem.FRENCH.DVDRiP.XviD.avi.AVI
      2008-07-04 21:54 . 2008-07-04 21:54 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Age of Empires 3
      2008-06-24 23:02 . 2008-06-24 23:02 <REP> d-------- C:\Program Files\Microsoft Games

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-07-13 11:50 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Skype
      2008-07-13 11:28 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\skypePM
      2008-07-13 09:41 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\AVG7
      2008-07-13 08:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
      2008-07-12 00:46 --------- d-----w C:\Program Files\WinamaxPoker
      2008-07-11 19:38 --------- d-----w C:\Program Files\eMule
      2008-06-24 21:16 --------- d--h--w C:\Program Files\InstallShield Installation Information
      2008-06-24 21:02 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
      2008-06-07 17:02 --------- d-----w C:\Documents and Settings\All Users\Application Data\TEMP
      2008-06-03 20:27 --------- d-----w C:\Program Files\Skype
      2008-06-03 20:27 --------- d-----w C:\Program Files\Fichiers communs\Skype
      2008-06-03 20:27 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype
      2008-06-03 19:54 --------- d-----w C:\Program Files\mIRC
      2008-04-14 03:25 86,016 ----a-w C:\WINDOWS\system32\OpenAL32.dll
      2008-04-14 03:25 262,144 ----a-w C:\WINDOWS\system32\wrap_oal.dll
      2008-03-08 23:38 22,328 ----a-w C:\Documents and Settings\Administrateur\Application Data\PnkBstrK.sys
      2006-10-08 23:18 145,920 ----a-w C:\WINDOWS\inf\hdaudio.sys
      2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
      2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
      2007-12-15 12:17 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
      2007-12-15 12:17 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
      2007-12-15 12:17 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
      .

      ------- Sigcheck -------

      2006-10-22 01:55 578048 4a048552ca537ef146a8c21a0881b1ba C:\WINDOWS\system32\user32.dll

      2006-10-27 16:09 838656 1cc220712da13c68aa19ab97436aed79 C:\WINDOWS\system32\wininet.dll
      2006-10-27 16:09 838656 1cc220712da13c68aa19ab97436aed79 C:\WINDOWS\system32\dllcache\wininet.dll

      2006-10-09 01:26 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\system32\drivers\tcpip.sys

      2006-10-24 08:06 507904 fb66744d525ea5df9a719f1db9b2dff4 C:\WINDOWS\system32\winlogon.exe

      2006-10-24 08:01 2018816 cd7a12963842f6261b7cb452e4a87979 C:\WINDOWS\system32\ntkrnlpa.exe

      2006-10-22 00:58 2139136 b6d55f81d64b3d8a2aa48326c60756ab C:\WINDOWS\system32\ntoskrnl.exe

      2006-11-11 20:36 1902592 2522d71de4fa051357b576c404af1a39 C:\WINDOWS\explorer.exe

      2006-10-09 01:20 57856 ad3d9d191aea7b5445fe1d82ffbb4788 C:\WINDOWS\system32\spoolsv.exe
      .
      ((((((((((((((((((((((((((((( snapshot@2008-07-13_10.48.21.97 )))))))))))))))))))))))))))))))))))))))))
      .
      - 2008-07-13 08:45:59 2,048 --s-a-w C:\WINDOWS\bootstat.dat
      + 2008-07-13 17:18:49 2,048 --s-a-w C:\WINDOWS\bootstat.dat
      + 2005-05-16 17:34:48 213,048 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavss.dll
      + 2006-03-20 11:17:24 65,536 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe
      + 2006-03-20 11:17:20 798,720 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll
      + 2008-07-13 17:19:09 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_7b8.dat
      .
      ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      REGEDIT4
      *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "VisualTaskTips"="C:\Windows\System32\VisualTaskTips.exe" [2006-07-05 04:23 36864]
      "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 02:54 15360]
      "SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 18:45 1052672]
      "UberIcon"="C:\Program Files\UberIcon\UberIcon Manager.exe" [2005-08-12 21:52 180224]
      "ccleaner"="C:\Program Files\CCleaner\CCleaner.exe" [2008-02-20 16:15 816368]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "Vistadrv"="C:\WINDOWS\system32\Vistadrive\vsdrv.exe" [2006-07-30 04:37 121089]
      "DiskeeperSystray"="C:\Program Files\Executive Software\Diskeeper\DkIcon.exe" [2005-07-26 18:52 184408]
      "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
      "SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 15:34 868352]
      "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
      "AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-06-28 09:51 580096]
      "VX3000"="C:\WINDOWS\vVX3000.exe" [2007-04-10 23:46 709992]
      "nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]
      "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 02:55 110592 C:\WINDOWS\system32\bthprops.cpl]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
      "WIAWizardMenu"="C:\WINDOWS\system32\sti_ci.dll" [2006-09-08 15:12 678912]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "UberIcon"="C:\Program Files\UberIcon\UberIcon Manager.exe" [2005-08-12 21:52 180224]
      "VisualTaskTips"="C:\Windows\System32\VisualTaskTips.exe" [2006-07-05 04:23 36864]
      "AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-04-10 04:40 219136]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
      "VIDC.I420"= i420vfw.dll
      "VIDC.YV12"= yv12vfw.dll
      "msacm.l3codec"= l3codecp.acm
      "vidc.mxmc"= MimicICM.DLL

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
      @="Driver"

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
      @="Driver"

      [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^BlueSoleil.lnk]
      path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\BlueSoleil.lnk
      backup=C:\WINDOWS\pss\BlueSoleil.lnkCommon Startup

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
      --a------ 2007-06-27 20:03 152872 C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
      --a------ 2007-09-18 16:16 171464 C:\Program Files\DAEMON Tools\daemon.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
      --a------ 2007-03-01 16:57 153136 C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
      "%windir%\\system32\\sessmgr.exe"=
      "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
      "C:\\Program Files\\MSN Messenger\\livecall.exe"=
      "C:\\Program Files\\KONAMI\\Pro Evolution Soccer 2008\\PES2008.exe"=
      "C:\\WINDOWS\\system32\\PnkBstrA.exe"=
      "C:\\WINDOWS\\system32\\PnkBstrB.exe"=
      "C:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
      "C:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
      "C:\\Program Files\\Sports Interactive\\Football Manager 2008\\fm.exe"=
      "C:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
      "C:\\Program Files\\Grisoft\\AVG7\\avginet.exe"=
      "C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"=
      "C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"=
      "C:\\WINDOWS\\system32\\CIMSVR.exe"=
      "C:\\Program Files\\Microsoft LifeCam\\LifeCam.exe"=
      "C:\\Program Files\\Microsoft LifeCam\\LifeExp.exe"=
      "C:\\Program Files\\eMule\\emule.exe"=
      "C:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
      "C:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
      "C:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
      "C:\\Program Files\\Skype\\Phone\\Skype.exe"=

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
      "5730:UDP"= 5730:UDP:pes2008
      "5739:UDP"= 5739:UDP:pes2008
      "41281:UDP"= 41281:UDP:emule_udp
      "32078:TCP"= 32078:TCP:emule_tcp

      R2 MSCamSvc;MSCamSvc;C:\Program Files\Microsoft LifeCam\MSCamS32.exe [2007-05-17 23:45]
      R3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.10.1;C:\WINDOWS\system32\drivers\libusb0.sys [2005-03-09 20:50]
      S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [2006-06-16 09:30]
      S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-12-29 01:58]

      *Newly Created Service* - MCHINJDRV
      .
      - - - - ORPHANS REMOVED - - - -

      Toolbar-ITBarLayout - (no file)
      Toolbar-ITBarLayout - (no file)


      **************************************************************************

      catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-07-13 19:19:02
      Windows 5.1.2600 Service Pack 2 NTFS

      Balayage processus cach‚s ...

      Balayage cach‚ autostart entries ...

      Balayage des fichiers cach‚s ...


      **************************************************************************

      [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
      "ImagePath"="\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mc22.tmp"
      .
      ------------------------ Other Running Processes ------------------------
      .
      C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
      C:\WINDOWS\system32\cmd.exe
      C:\Program Files\a-squared Free\a2service.exe
      C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
      C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
      C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
      C:\Program Files\Executive Software\Diskeeper\DkService.exe
      C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      C:\WINDOWS\system32\libusbd-nt.exe
      C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\system32\PnkBstrA.exe
      C:\WINDOWS\system32\PnkBstrB.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\WINDOWS\system32\rundll32.exe
      .
      **************************************************************************
      .
      Temps d'accomplissement: 2008-07-13 19:22:15 - machine was rebooted
      ComboFix-quarantined-files.txt 2008-07-13 17:21:13
      ComboFix2.txt 2008-07-13 16:24:14
      ComboFix3.txt 2008-07-13 14:10:41
      ComboFix4.txt 2008-07-13 08:49:33

      Pre-Run: 5,442,170,880 octets libres
      Post-Run: 5,435,543,552 octets libres

      201
      0
  12. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    fais ça :

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur parcourir et cherche ce fichier : C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mc22.tmp

    Clique sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta réponse.

    Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant
    0
    1. beck beque
       
      le seul fichier que j'ai trouver c celui la esque je l'analyse

      ~DFC117.tmp
      Tempory file
      16Ko
      0
  13. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    non. le seul fichier intéressant à scanner est mc22.tmp

    Fais ça et recommence la procédure VirusTotal :

    Fais redémarrer l'ordi.

    ========================================
    ->Affiche tous les fichiers et dossiers :
    clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

    [Coche] « afficher les dossiers et fichiers cachés »

    [Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

    [Décoche] « masquer les extensions dont le type est connu »

    Puis fais [appliquer] pour valider les changements.

    Et [Ok]
    ========================================
    0
    1. beck beque
       
      j'ai redemarer apres j'etait dans pann.....................elles etait deja cocher et decocher et j'ai relancer virustotal et quand j'ai parcourut le chemin indiquer il etait vide meme celui que j'avais trouver tout a l'heure avais disparus aussi le dossier temp etait vide je vais t'envoyer un hijack si sa peut aider
      0
      1. beck beque > beck beque
         
        Logfile of Trend Micro HijackThis v2.0.2
        Scan saved at 20:49:30, on 13/07/2008
        Platform: Windows XP SP2 (WinNT 5.01.2600)
        MSIE: Internet Explorer v7.00 (7.00.5730.0011)
        Boot mode: Normal

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\csrss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\system32\svchost.exe
        C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
        C:\WINDOWS\Explorer.EXE
        C:\WINDOWS\system32\spoolsv.exe
        C:\Program Files\Analog Devices\Core\smax4pnp.exe
        C:\WINDOWS\system32\rundll32.exe
        C:\WINDOWS\system32\RUNDLL32.EXE
        C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
        C:\WINDOWS\vVX3000.exe
        C:\Windows\System32\VisualTaskTips.exe
        C:\WINDOWS\system32\ctfmon.exe
        C:\Program Files\SuperCopier2\SuperCopier2.exe
        C:\Program Files\UberIcon\UberIcon Manager.exe
        C:\Program Files\a-squared Free\a2service.exe
        C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
        C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
        C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
        C:\WINDOWS\system32\svchost.exe
        C:\Program Files\Executive Software\Diskeeper\DkService.exe
        C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
        C:\WINDOWS\system32\libusbd-nt.exe
        C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
        C:\Program Files\Microsoft LifeCam\MSCamS32.exe
        C:\WINDOWS\system32\nvsvc32.exe
        C:\WINDOWS\system32\PnkBstrA.exe
        C:\WINDOWS\system32\PnkBstrB.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\alg.exe
        C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
        C:\WINDOWS\system32\wbem\wmiprvse.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
        O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
        O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
        O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
        O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
        O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
        O4 - HKLM\..\Run: [Vistadrv] C:\WINDOWS\system32\Vistadrive\vsdrv.exe
        O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
        O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
        O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
        O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
        O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
        O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
        O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
        O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe
        O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
        O4 - HKCU\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe
        O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
        O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
        O4 - HKCU\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe"
        O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
        O4 - HKUS\S-1-5-19\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SERVICE LOCAL')
        O4 - HKUS\S-1-5-19\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe (User 'SERVICE LOCAL')
        O4 - HKUS\S-1-5-19\..\Run: [TweakRAM] C:\Program Files\TweakRAM\TweakRAM.exe (User 'SERVICE LOCAL')
        O4 - HKUS\S-1-5-19\..\Run: [LClock] C:\Program Files\LClock\lclock.exe (User 'SERVICE LOCAL')
        O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
        O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE LOCAL')
        O4 - HKUS\S-1-5-20\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SERVICE RÉSEAU')
        O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE RÉSEAU')
        O4 - HKUS\S-1-5-18\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SYSTEM')
        O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SYSTEM')
        O4 - HKUS\.DEFAULT\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'Default user')
        O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'Default user')
        O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
        O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
        O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
        O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
        O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
        O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
        O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
        O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
        O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
        O15 - Trusted Zone: http://www.secuser.com
        O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
        O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
        O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
        O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
        O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
        O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
        O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
        O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
        O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
        O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
        O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
        O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
        O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
        O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
        O23 - Service: LibUsb-Win32 - Daemon, Version 0.1.10.1 (libusbd) - https://sourceforge.net/p/libusb-win32/wiki/Home/ - C:\WINDOWS\system32\libusbd-nt.exe
        O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
        O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
        O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
        O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
        O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
        O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
        0
  14. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    * Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.

    http://pc-system.fr/
    hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
    hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

    * Clique sur Recherche et laisse le scan se terminer.

    * Clique, sur Suppression pour finaliser.

    * Tu peux, si tu le souhaites, te servir des Options facultatives.

    * Clique sur Quitter, pour que le rapport puisse se créer.

    * Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).
    0
    1. beck beque
       
      c celui la

      -->- Recherche:

      C:\Combofix: trouvé !
      C:\Qoobox: trouvé !
      C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: trouvé !
      C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe: trouvé !
      C:\Documents and Settings\Administrateur\Bureau\SmitFraudFix.exe: trouvé !
      C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
      C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
      C:\Program Files\Trend Micro\HijackThis: trouvé !
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

      ---------------------------------
      -->- Suppression:

      C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: supprimé !
      C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe: supprimé !
      C:\Documents and Settings\Administrateur\Bureau\SmitFraudFix.exe: supprimé !
      C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
      C:\Combofix: supprimé !
      C:\Qoobox: supprimé !
      C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
      C:\Program Files\Trend Micro\HijackThis: supprimé !

      Corbeille vidée!
      0
  15. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    supprime Toolscleaner et C:\TCleaner.txt

    Ouvre ce lien :

    http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

    dans un premier temps tu le suis pour désactiver la restauration système.

    Tu fermes la fenêtre.

    Dans un deuxième temps, tu le suis pour réactiver la restauration.

    Dernière remarque, mais non la moindre : la version de Windows n'est pas "officielle".

    La conséquence en est que le système est vulnérable. Vous vous en tirez bien cette fois. Pas du tout évident que ce soit aussi simple la prochaine fois.

    Pour info :

    http://www.sophos.com/security/analyses/viruses-and-spyware/trojfeutelas.html

    0
    1. beck beque
       
      merci beaucoup pour ton aide et ta comprehenssion

      je vais lui on parler mais comme il est etudiant sa sera moi qui mettrai la main a la poche

      que me conseillez vous xp ou vista
      0
  16. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    tu me poses un problème très délicat.

    Ca dépend du prix (il me semble que Vista est plus cher que Xp, même sur les versions les moins chères);

    Xp va devenir difficile à trouver. S'il ne l'est pas déjà. Vérifie bien que c'est une version authentique.

    Un critère est aussi le temps de vie de l'ordi. Je ne sais pas quelle sera la durée de vie de Vista.

    Pose la question à un ou 2 assembleurs.
    0