Virus Win32:Trojan-gen. {Other} Résolu/Fermé

Question

Bonjour,
j'ai chopé ce joli virus . . .
je vous pose mon rapport Hijack
si quelqun peut m'aider, merci d'avance ;)


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:46:11, on 21/07/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exea
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {92E5DF6B-D89A-4103-AC7B-F3F10ADB2A47} - C:\DOCUME~1\ARBARNI\LOCALS~1\Temp\dmE.dll (file missing)
O2 - BHO: (no name) - {957C849E-DA93-42F4-948B-E7E20208E0D6} - c:\windows\system32\ylroxhk.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKCU\..\Run: [qsba7r] C:\WINDOWS\system32\qsba7r.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8AAE048-74CC-46B3-A3D2-041C5967FC68}: NameServer = 192.168.1.1
O20 - Winlogon Notify: dniaegod - C:\WINDOWS\SYSTEM32\ylroxhk.dll
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 8956 bytes

Destrio5 · Answer

Salut,

- Télécharge et installe MalwareByte's Anti-Malware :
http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.htm

- Mets-le à jour

- Redémarre en mode sans échec (Recommandé) :
https://www.malekal.com/demarrer-windows-mode-sans-echec/

- Choisis ta session habituelle

- Fais un scan complet avec MalwareByte's Anti-Malware

- Supprime tout ce que le logiciel trouve, enregistre le rapport

- Redémarre en mode normal et poste le rapport ici

Tutorial :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

K3RB3ROS · Answer

salut salut !
merci pour ton aide et désolé de repondre que maintenant (vacances...)

voici mon rapport Malwarebyte

Malwarebytes' Anti-Malware 1.22
Version de la base de données: 977
Windows 5.1.2600 Service Pack 3

19:42:22 30/07/2008
mbam-log-7-30-2008 (19-42-22).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 85831
Temps écoulé: 1 hour(s), 5 minute(s), 21 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible 

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{4e7bd74f-2b8d-469e-a0e8-ed6ab685fa7d} (Adware.2020Search) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Destrio5 · Answer

---> Relance MBAM, va dans Quarantaine et supprime tout

---> Poste un nouveau rapport HijackThis

Destrio5 · Answer

- Télécharge SmitfraudFix (de de S!Ri, balltrap34 et moe31) : 
http://siri.urz.free.fr/Fix/SmitfraudFix.exe ou http://www.geekstogo.com/forum/files/file/6-smitfraudfix/ 

- Enregistre-le sur le bureau

- Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée

- Un rapport sera généré, poste-le dans ta prochaine réponse.

[*] process.exe est détecté par certains antivirus comme étant un risktool. Il ne s'agit pas d'un virus mais d'un utilitaire destiné à mettre fin à des processus.[*]

** Ne fais l'étape 2 que si on te le demande, on doit d'abord examiner le premier rapport de SmitfraudFix

K3RB3ROS · Answer

salut voila le rapport


SmitFraudFix v2.333

Rapport fait à  2:19:08,60, 01/08/2008
Executé à partir de C:\Documents and Settings\ARBARNI\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\RamBoost XPambxpfr.exe
C:\WINDOWS\system32\sistray.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\System32\alg.exe
C:\Documents and Settings\ARBARNI\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\ARBARNI


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\ARBARNI\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ARBARNI\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: ASUS USB Wireless Network Adapter - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A8AAE048-74CC-46B3-A3D2-041C5967FC68}: NameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A8AAE048-74CC-46B3-A3D2-041C5967FC68}: NameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{A8AAE048-74CC-46B3-A3D2-041C5967FC68}: NameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Destrio5 · Answer

* Télécharge SDFix (par Andy Manchesta) et sauvegarde-le sur ton bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

* Double-clique sur SDFix.exe et choisis Install pour l'extraire dans son dossier sur le bureau.
* Redémarre le PC en mode sans échec :
https://www.malekal.com/demarrer-windows-mode-sans-echec/
* Choisis ton compte.

Déroule la liste des instructions ci-dessous :
* Ouvre le dossier SDFix qui vient d'être créé sur le bureau et double-clique sur RunThis.bat pour lancer le script.
* Appuie sur Y pour commencer le nettoyage.
* Quand il te le demandera, appuie sur une touche pour redémarrer le PC.
* Ton système sera plus long à redémarrer car l'outil va continuer à s'exécuter et supprimer des fichiers.
* Après le chargement du bureau, l'outil aura terminé et affichera Finished.
* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton bureau.
* Le rapport SDFix s'ouvrira et il sera enregistré dans le dossier SDFix sous le nom Report.txt.
* Enfin, copie/colle le rapport du fichier Report.txt.

K3RB3ROS · Answer

[b]SDFix: Version 1.209 [/b]
Run by ARBARNI on 01/08/2008 at 02:46

Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\ARBARNI\Bureau\SDFix

[b]Checking Services [/b]:

[b]Name [/b]: 
lanmandrv

[b]Path [/b]:
\??\C:\WINDOWS\System32\lanmandrv.sys 

lanmandrv - Deleted



Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-01 02:53:54
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%ProgramFiles%\AOL 9.0\aol.exe"="%ProgramFiles%\AOL 9.0\aol.exe:*:Enabled:AOL"
"%ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\logo_ubi.exe"="%ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\logo_ubi.exe:*:Enabled:SPLINTER CELL PANDORA"
"%ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\pandora.exe"="%ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\pandora.exe:*:Enabled:PANDORA"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\APPS\Inventime\my.exe"="C:\APPS\Inventime\my.exe:*:Enabled:INVENTIME"
"C:\APPS\skype\phone\Skype.exe"="C:\APPS\skype\phone\Skype.exe:*:Enabled:Skype"
"C:\APPS\Powercinema\PowerCinema.exe"="C:\APPS\Powercinema\PowerCinema.exe:*:Enabled:PowerCinema"
"C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe"="C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe:*:Enabled:AOL"
"C:\Program Files\Fichiers communs\AOL\ACS\AOLacsd.exe"="C:\Program Files\Fichiers communs\AOL\ACS\AOLacsd.exe:*:Enabled:AOL"
"C:\Program Files\AOL 9.0\waol.exe"="C:\Program Files\AOL 9.0\waol.exe:*:Enabled:AOL"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\ma-config.com\maconfservice.exe"="C:\Program Files\ma-config.com\maconfservice.exe:LocalSubNet:Enabled:maconfservice"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe"="C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe:*:Enabled:AOL"
"C:\Program Files\Fichiers communs\AOL\ACS\AOLacsd.exe"="C:\Program Files\Fichiers communs\AOL\ACS\AOLacsd.exe:*:Enabled:AOL"
"C:\Program Files\AOL 9.0\waol.exe"="C:\Program Files\AOL 9.0\waol.exe:*:Enabled:AOL"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:

Mon 24 Oct 2005           215 A.SHR --- "C:\BOOT.BAK"
Tue 31 May 2005        54,384 A..H. --- "C:\Program Files\AOL 9.0\aolphx.exe"
Tue 31 May 2005       156,784 A..H. --- "C:\Program Files\AOL 9.0\aoltray.exe"
Tue 31 May 2005        31,344 A..H. --- "C:\Program Files\AOL 9.0\RBM.exe"
Thu  5 Jun 2003        24,576 A..H. --- "C:\Program Files\RamBoost XP\StopRam.exe"
Mon 14 Mar 2005       299,008 A..H. --- "C:\Program Files\Canon\MP Navigator 2.0\Maint.exe"
Mon 25 Apr 2005        61,440 A..H. --- "C:\Program Files\Canon\MP Navigator 2.0\uinstrsc.dll"
Fri 30 May 2008             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8171d23d6d072d8b50d065ca55a754fb\BIT1.tmp"
Tue 31 May 2005       106,496 A..H. --- "C:\Program Files\Fichiers communs\aolshare\shell\fr\shellext.dll"

[b]Finished![/b]

Destrio5 · Answer

---> Relance HijackThis et choisis Do a system scan only

---> Coche les cases qui sont devant les lignes suivantes :

O2 - BHO: (no name) - {92E5DF6B-D89A-4103-AC7B-F3F10ADB2A47} - C:\DOCUME~1\ARBARNI\LOCALS~1\Temp\dmE.dll (file missing) 

O2 - BHO: (no name) - {957C849E-DA93-42F4-948B-E7E20208E0D6} - c:\windows\system32\ylroxhk.dll 

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" 

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime 

O4 - HKCU\..\Run: [qsba7r] C:\WINDOWS\system32\qsba7r.exe 

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') 

O20 - Winlogon Notify: dniaegod - C:\WINDOWS\SYSTEM32\ylroxhk.dll 

---> Clique en bas sur Fix checked. Mets oui si HijackThis te demande quelque chose.

---> Télécharge OTMoveIt2 à partir du lien ci-dessous : 
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe 

---> Enregistre le fichier sur le Bureau.

---> Double-clique sur le fichier OTMoveIt2.exe pour lancer l'outil.
Assure-toi que la case Unregister Dll's and Ocx's soit bien cochée.

---> Copie l'intégralité du texte ci-dessous et colle-le dans la fenêtre intitulée Paste Standard List of Files/Folders to be moved.




C:\WINDOWS\SYSTEM32\ylroxhk.dll
C:\WINDOWS\system32\qsba7r.exe 




---> Clique sur MoveIt! pour lancer la suppression.
Lorsqu'un résultat apparaît dans le cadre Results, clique sur Exit.

Note : Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES. 

---> Poste le rapport de OTMoveIt qui se trouve dans C:\_OTMoveIt\MovedFiles. 

---> Poste un nouveau rapport HijackThis

K3RB3ROS · Answer

jai eu un souci avec OTMoveIt

http://img520.imageshack.us/img520/3764/erreurfy6.jpg

voila le rapport OTMoveIt :

LoadLibrary failed for C:\WINDOWS\SYSTEM32\ylroxhk.dll
C:\WINDOWS\SYSTEM32\ylroxhk.dll NOT unregistered.
File move failed. C:\WINDOWS\SYSTEM32\ylroxhk.dll scheduled to be moved on reboot.
File/Folder C:\WINDOWS\system32\qsba7r.exe not found.
 
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08012008_031618

Files moved on Reboot...
LoadLibrary failed for C:\WINDOWS\SYSTEM32\ylroxhk.dll
C:\WINDOWS\SYSTEM32\ylroxhk.dll NOT unregistered.
File move failed. C:\WINDOWS\SYSTEM32\ylroxhk.dll scheduled to be moved on reboot.

et voila le rapport  Hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:24:56, on 01/08/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS
otepad.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Apps\Powercinema\PCMService.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\RamBoost XPambxpfr.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {92E5DF6B-D89A-4103-AC7B-F3F10ADB2A47} - C:\DOCUME~1\ARBARNI\LOCALS~1\Temp\dmE.dll (file missing)
O2 - BHO: (no name) - {957C849E-DA93-42F4-948B-E7E20208E0D6} - c:\windows\system32\ylroxhk.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XPambxpfr.exe
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8AAE048-74CC-46B3-A3D2-041C5967FC68}: NameServer = 192.168.1.1
O20 - Winlogon Notify: dniaegod - C:\WINDOWS\SYSTEM32\ylroxhk.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Destrio5 · Answer

Refais la manip' avec OTMoveIt2 mais en mode sans échec.

K3RB3ROS · Answer

humm même message d'erreur en mode sans échec :/

une autre idée ? :p

Destrio5 · Answer

Non mais le nouveau rapport ?

K3RB3ROS · Answer

LoadLibrary failed for C:\WINDOWS\SYSTEM32\ylroxhk.dll
C:\WINDOWS\SYSTEM32\ylroxhk.dll NOT unregistered.
File move failed. C:\WINDOWS\SYSTEM32\ylroxhk.dll scheduled to be moved on reboot.
File/Folder C:\WINDOWS\system32\qsba7r.exe not found.
 
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08012008_034949

Files moved on Reboot...
LoadLibrary failed for C:\WINDOWS\SYSTEM32\ylroxhk.dll
C:\WINDOWS\SYSTEM32\ylroxhk.dll NOT unregistered.
File move failed. C:\WINDOWS\SYSTEM32\ylroxhk.dll scheduled to be moved on reboot.

Destrio5 · Answer

Bon, je vais devoir utiliser ComboFix.

---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

K3RB3ROS · Answer

ComboFix 08-07-31.01 - ARBARNI 2008-08-01 4:05:22.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.619 [GMT 2:00] Endroit: C:\Documents and Settings\ARBARNI\Bureau\ComboFix.exe * Création d'un nouveau point de restauration . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\ylroxhk.dll . . . . Echec de suppression . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_GMMKFAQN -------\Legacy_LANMANDRV -------\Service_gmmkfaqn ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-01 to 2008-08-01 )))))))))))))))))))))))))))))))))))) . 2008-08-01 03:16 . 2008-08-01 03:16 d-------- C:\_OTMoveIt 2008-08-01 02:45 . 2008-08-01 02:45 579,584 --a------ C:\WINDOWS\system32\dllcache\user32.dll 2008-08-01 02:42 . 2008-08-01 02:42 d-------- C:\WINDOWS\ERUNT 2008-08-01 02:19 . 2008-08-01 02:19 1,882 --a------ C:\WINDOWS\system32 mp.reg 2008-07-30 22:06 . 2008-07-30 22:44 d-a------ C:\Documents and Settings\All Users\Application Data\TEMP 2008-07-30 20:40 . 2008-08-01 04:10 d-------- C:\Program Files\RamBoost XP 2008-07-30 20:20 . 2008-07-30 20:32 d-------- C:\Program Files\Microsoft Bootvis 2008-07-30 19:57 . 2008-06-20 13:51 361,600 --------- C:\WINDOWS\system32\dllcache cpip.sys 2008-07-30 19:57 . 2008-06-20 19:47 247,808 --------- C:\WINDOWS\system32\dllcache\mswsock.dll 2008-07-30 19:57 . 2008-06-20 13:08 225,856 --------- C:\WINDOWS\system32\dllcache cpip6.sys 2008-07-30 19:57 . 2008-06-20 19:47 147,968 --------- C:\WINDOWS\system32\dllcache\dnsapi.dll 2008-07-30 19:57 . 2008-06-20 13:40 138,496 --------- C:\WINDOWS\system32\dllcache\afd.sys 2008-07-22 11:05 . 2008-07-22 11:05 d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes 2008-07-22 11:03 . 2008-05-30 01:05 d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau 2008-07-22 11:03 . 2008-05-30 01:05 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression 2008-07-22 11:03 . 2008-05-30 01:08 d--h----- C:\Documents and Settings\Administrateur\ModŠles 2008-07-22 11:03 . 2008-05-30 01:08 dr------- C:\Documents and Settings\Administrateur\Mes documents 2008-07-22 11:03 . 2008-05-30 01:08 dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer 2008-07-22 11:03 . 2008-05-30 01:08 dr------- C:\Documents and Settings\Administrateur\Favoris 2008-07-22 11:03 . 2008-07-22 12:53 dr------- C:\Documents and Settings\Administrateur\Bureau 2008-07-22 11:03 . 2008-05-30 01:05 d-------- C:\Documents and Settings\Administrateur\Application Data\You've Got Pictures Screensaver 2008-07-22 11:03 . 2008-05-30 01:05 d-------- C:\Documents and Settings\Administrateur\Application Data\Symantec 2008-07-22 11:03 . 2008-07-22 11:03 d-------- C:\Documents and Settings\Administrateur 2008-07-22 08:18 . 2008-07-31 23:17 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-07-22 08:18 . 2008-07-22 08:18 d-------- C:\Documents and Settings\ARBARNI\Application Data\Malwarebytes 2008-07-22 08:18 . 2008-07-22 08:18 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-07-22 08:18 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-07-22 08:18 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-07-21 22:45 . 2008-07-21 22:45 d-------- C:\Program Files\Trend Micro 2008-07-21 20:57 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys 2008-07-21 20:56 . 2008-07-21 20:56 d-------- C:\Program Files\Panda Security 2008-07-21 20:38 . 2008-06-14 19:33 272,768 --------- C:\WINDOWS\system32\dllcache\bthport.sys 2008-07-21 20:36 . 2008-04-23 06:16 6,066,176 --------- C:\WINDOWS\system32\dllcache\ieframe.dll 2008-07-21 20:36 . 2007-04-17 11:32 2,455,488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dat 2008-07-21 20:36 . 2007-03-08 07:10 1,048,576 --------- C:\WINDOWS\system32\dllcache\ieframe.dll.mui 2008-07-21 20:36 . 2008-04-23 06:16 459,264 --------- C:\WINDOWS\system32\dllcache\msfeeds.dll 2008-07-21 20:36 . 2008-04-23 06:16 383,488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dll 2008-07-21 20:36 . 2008-04-23 06:16 267,776 --------- C:\WINDOWS\system32\dllcache\iertutil.dll 2008-07-21 20:36 . 2008-04-23 06:16 63,488 --------- C:\WINDOWS\system32\dllcache\icardie.dll 2008-07-21 20:36 . 2008-04-23 06:16 52,224 --------- C:\WINDOWS\system32\dllcache\msfeedsbs.dll 2008-07-21 20:36 . 2008-04-22 09:39 13,824 --------- C:\WINDOWS\system32\dllcache\ieudinit.exe 2008-07-21 20:35 . 2008-05-09 12:55 180,224 --------- C:\WINDOWS\system32\dllcache\scrobj.dll 2008-07-21 20:35 . 2008-05-09 12:55 172,032 --------- C:\WINDOWS\system32\dllcache\scrrun.dll 2008-07-21 20:35 . 2008-05-08 13:24 155,648 --------- C:\WINDOWS\system32\dllcache\wscript.exe 2008-07-21 20:35 . 2008-05-09 10:45 135,168 --------- C:\WINDOWS\system32\dllcache\cscript.exe 2008-07-21 20:35 . 2008-05-09 12:55 90,112 --------- C:\WINDOWS\system32\dllcache\wshext.dll 2008-07-21 20:33 . 2008-05-07 07:11 1,294,336 --------- C:\WINDOWS\system32\dllcache\quartz.dll 2008-07-21 20:32 . 2008-07-21 20:32 d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2 2008-07-21 20:13 . 2008-05-08 16:02 203,136 --------- C:\WINDOWS\system32\dllcache mcast.sys 2008-07-21 20:10 . 2008-07-21 20:10 d-------- C:\Program Files\MSXML 4.0 2008-07-21 17:42 . 2008-07-21 17:42 d-------- C:\Program Files\ma-config.com 2008-07-21 17:42 . 2008-07-21 17:42 d-------- C:\Documents and Settings\All Users\Application Data\ma-config.com 2008-07-19 16:24 . 2008-07-19 16:24 d-------- C:\Documents and Settings\NetworkService\Application Data\vjaohzxm 2008-07-09 20:42 . 2001-09-30 19:10 246,784 --a------ C:\WINDOWS\system32\ActiveSkin.ocx 2008-07-09 20:42 . 2001-05-24 12:59 162,304 --a------ C:\UNWISE.EXE 2008-07-09 20:42 . 2002-01-18 18:12 112 --a------ C:\WINDOWS\ActiveSkin.INI 2008-07-03 10:36 . 2008-07-03 10:36 d-------- C:\Documents and Settings\ARBARNI\Application Data\vjaohzxm . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-01 01:52 --------- d-----w C:\Documents and Settings\ARBARNI\Application Data\OpenOffice.org2 2008-07-30 18:12 --------- d-----w C:\Program Files\Java 2008-07-19 12:29 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared 2008-06-27 21:19 135,168 ----a-w C:\WINDOWS\system32\drivers\Bjg46.sys 2008-06-20 16:56 --------- d-----w C:\Documents and Settings\ARBARNI\Application Data\AdobeUM 2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers cpip.sys 2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers cpip6.sys 2008-06-14 17:33 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-06-05 07:20 --------- d--h--w C:\Documents and Settings\All Users\Application Data\CanonBJ 2008-06-05 07:17 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-06-05 07:17 --------- d-----w C:\Program Files\ArcSoft 2008-06-05 07:15 --------- d-----w C:\Program Files\Canon 2008-06-04 12:47 --------- d-----w C:\Program Files\Google . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{957C849E-DA93-42F4-948B-E7E20208E0D6}] 2004-08-05 14:00 104448 --a------ c:\windows\system32\ylroxhk.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2008-04-14 04:34 1695232] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-06-04 14:47 171448] "updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2004-11-22 08:18 307200] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:33 15360] "RamBoostXp"="C:\Program Files\RamBoost XP ambxpfr.exe" [2004-03-09 22:48 1542144] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2005-07-28 21:29 102400] "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-05-11 21:03 708697] "SoundMAXPnP"="C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 09:11 1388544] "PCMService"="c:\Apps\Powercinema\PCMService.exe" [2005-05-11 13:48 127118] "SiSPower"="SiSPower.dll" [2005-07-13 02:55 49152 C:\WINDOWS\system32\SiSPower.dll] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winbf72.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wintx58.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winva71.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winyd48.sys] @="Driver" [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "AntiVirusOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%ProgramFiles%\AOL 9.0\aol.exe"= "%ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\logo_ubi.exe"= "%ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\pandora.exe"= "%windir%\system32\sessmgr.exe"= "C:\APPS\Inventime\my.exe"= "C:\APPS\skype\phone\Skype.exe"= "C:\APPS\Powercinema\PowerCinema.exe"= "C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe"= "C:\Program Files\Fichiers communs\AOL\ACS\AOLacsd.exe"= "C:\Program Files\AOL 9.0\waol.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= R0 Bjg46;Bjg46;C:\WINDOWS\system32\drivers\Bjg46.sys [2008-06-27 23:19] R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 17:24] R0 qhvloatj;qhvloatj;C:\WINDOWS\system32\drivers\qhvloatj.sys [2004-08-05 14:00] R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37] R3 ASNDIS5;ASNDIS5 Protocol Driver;C:\WINDOWS\ATK0100\ASNDIS5.SYS [2004-05-28 10:13] R3 HSFHWSIS;HSFHWSIS;C:\WINDOWS\system32\DRIVERS\HSFHWSIS.sys [2005-06-22 14:50] R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys [2004-11-05 16:43] S0 Winva71;Winva71;C:\WINDOWS\system32\Drivers\Winva71.sys [] S3 maconfservice;Ma-Config Service;C:\Program Files\ma-config.com\maconfservice.exe [2008-06-26 09:13] S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 20:45] S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 20:45] S3 ZD1211U(ASUS);ASUS ZD1211 IEEE 802.11b+g Wireless LAN Driver (USB)(ASUS);C:\WINDOWS\system32\DRIVERS\zd1211u.sys [2005-09-08 09:41] . - - - - ORPHANS REMOVED - - - - BHO-{92E5DF6B-D89A-4103-AC7B-F3F10ADB2A47} - C:\DOCUME~1\ARBARNI\LOCALS~1\Temp\dmE.dll Toolbar-ID - (no file) . ------- Supplementary Scan ------- . FireFox -: Profile - C:\Documents and Settings\ARBARNI\Application Data\Mozilla\Firefox\Profiles\ujb2i2k8.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr/ FF -: plugin - C:\Program Files\Adobe\Acrobat 7.0\Reader\browser ppdf32.dll FF -: plugin - C:\Program Files\ma-config.com phardwaredetection.dll FF -: plugin - C:\Program Files\Viewpoint\Viewpoint Experience Technology pViewpoint.dll ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-01 04:10:55 Windows 5.1.2600 Service Pack 3 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySqlInventime] "ImagePath"="c:\mysql\bin\mysqld-max-nt MySqlInventime" . ------------------------ Other Running Processes ------------------------ . C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe C:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\APPS\HIDSERVICE\HidService.exe C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\wdfmgr.exe C:\APPS\Powercinema\Kernel\TV\CLSched.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\sistray.exe C:\Program Files\OpenOffice.org 2.4\program\soffice.exe C:\Program Files\OpenOffice.org 2.4\program\soffice.bin C:\WINDOWS\ATK0100\ATKOSD.exe . ************************************************************************** . Temps d'accomplissement: 2008-08-01 4:13:34 - machine was rebooted ComboFix-quarantined-files.txt 2008-08-01 02:13:24 Pre-Run: 41,385,824,256 octets libres Post-Run: 41,354,063,872 octets libres 200 --- E O F --- 2008-07-30 17:51:10

Destrio5 · Answer

Ok, ça a l'air plus dur que je ne le pensais. Je réfléchis et je te dis quoi demain.

K3RB3ROS · Answer

salut !

tu as du nouveau ?

Destrio5 · Answer

Non malheureusement.

Je préfère que tu fasses un nouveau topic, je préfère ne pas tester.

Désolé.

K3RB3ROS · Answer

arf !

bon okok, merci quand meme pour ton aide ;)

a plus

K3RB3ROS · Answer

ha au fait !

c'est toujour le meme virus (Win32:Trojan-gen. {Other}) qu'on arrive pas a virer ?

Destrio5 · Answer

Peut-être pas, tu as des choses bizarres dans ton rapport ComboFix.

Destrio5 · Answer

Essaie de supprimer le fichier ylroxhk.dll qui se trouve dans C:\WINDOWS\system32\ à l'aide du logiciel Unlocker :
http://ccollomb.free.fr/unlocker/unlocker1.8.7.exe

K3RB3ROS · Answer

hum il refuse :/
unlocker me propose de l'effacer au prochain reboot, mais aprés reboot le fichier est toujours la :(

Destrio5 · Answer

Avec Unlocker, tu peux savoir quelles processus l'utilisent. Peux-tu me les indiquer ?

K3RB3ROS · Answer

ha, comment je fais ?

les seules options que me propose unlocker c'est : déplacer, effacer ou renommer :/

Destrio5 · Answer

Me souviens plus. Essaie clic droit sur le fichier puis Unlocker.

K3RB3ROS · Answer

oui oui c'est ce que j'ai fais, mais c'est seules options quil me propose :/

elioth · Answer

tu as ce virus apparement:

http://www.commentcamarche.net/forum/affich 6541084 trojan winctrl32 dll

Destrio5 · Answer

Bon, on va essayer autre chose.

Désinstalle Avast et installe Antivir qui est mieux :
https://www.clubic.com/telecharger-fiche10821-avira-antivir-personal-free-antivirus.html

Fais un scan complet :
https://www.malekal.com/avira-free-security-antivirus-gratuit/#mozTocId480658

K3RB3ROS · Answer

heu... ou pas...

je n'ai pas ce fichier --> winctrl32.dll

elioth · Answer

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

Destrio5 · Answer

Tu n'as plus ce fichier, il a déjà été viré.

elioth · Answer

desolé d'vous derangé j essaye d apprendre un peu

ces 2 lignes sont pas traités apparement:

O2 - BHO: (no name) - {957C849E-DA93-42F4-948B-E7E20208E0D6} - c:\windows\system32\ylroxhk.dll 

O20 - Winlogon Notify: dniaegod - C:\WINDOWS\SYSTEM32\ylroxhk.dll

Destrio5 · Answer

Justement, on arrive pas à le supprimer.

elioth · Answer

vous avez essayé ca?

http://www.malekal.com/C2.Media_lop_com.php

Destrio5 · Answer

Je ne pense pas qu'il y ait de rapport.

elioth · Answer

Supprimer C2Media/lop.com et StartPage-* / Trojan.StartPage-* / Win32:trojan-gen.{*}

le titre du post:

Virus Win32:Trojan-gen. {Other}

elioth · Answer

bon j'vous laisse j'suis de trop les gars desolé du derangement.

(lol)

Destrio5 · Answer

K3RB3ROS ---> Tu en es où ?

K3RB3ROS · Answer

scan terminé voici le rapport



Avira AntiVir Personal
Report file date: samedi 2 août 2008  19:20

Scanning for 1528705 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 3)  [5.1.2600]
Boot mode:        Normally booted
Username:         SYSTEM
Computer name:    SNNECCI

Version information:
BUILD.DAT     : 8.1.00.295      16479 Bytes  09/04/2008 16:24:00
AVSCAN.EXE    : 8.1.2.12       311553 Bytes  18/03/2008 09:02:56
AVSCAN.DLL    : 8.1.1.0         53505 Bytes  07/02/2008 08:43:37
LUKE.DLL      : 8.1.2.9        151809 Bytes  28/02/2008 08:41:23
LUKERES.DLL   : 8.1.2.1         12033 Bytes  21/02/2008 08:28:40
ANTIVIR0.VDF  : 6.40.0.0     11030528 Bytes  18/07/2007 10:33:34
ANTIVIR1.VDF  : 7.0.5.1       8182784 Bytes  24/06/2008 17:18:34
ANTIVIR2.VDF  : 7.0.5.174     2027008 Bytes  25/07/2008 17:18:41
ANTIVIR3.VDF  : 7.0.5.205      285696 Bytes  01/08/2008 17:18:43
Engineversion : 8.1.1.15  
AEVDF.DLL     : 8.1.0.5        102772 Bytes  25/02/2008 09:58:21
AESCRIPT.DLL  : 8.1.0.61       311675 Bytes  02/08/2008 17:18:54
AESCN.DLL     : 8.1.0.23       119156 Bytes  02/08/2008 17:18:53
AERDL.DLL     : 8.1.0.20       418165 Bytes  02/08/2008 17:18:52
AEPACK.DLL    : 8.1.2.1        364917 Bytes  02/08/2008 17:18:51
AEOFFICE.DLL  : 8.1.0.21       192891 Bytes  02/08/2008 17:18:50
AEHEUR.DLL    : 8.1.0.44      1343863 Bytes  02/08/2008 17:18:49
AEHELP.DLL    : 8.1.0.15       115063 Bytes  02/08/2008 17:18:47
AEGEN.DLL     : 8.1.0.32       315765 Bytes  02/08/2008 17:18:47
AEEMU.DLL     : 8.1.0.7        430452 Bytes  02/08/2008 17:18:46
AECORE.DLL    : 8.1.1.8        172406 Bytes  02/08/2008 17:18:45
AEBB.DLL      : 8.1.0.1         53617 Bytes  02/08/2008 17:18:44
AVWINLL.DLL   : 1.0.0.7         14593 Bytes  23/01/2008 17:07:53
AVPREF.DLL    : 8.0.0.1         25857 Bytes  18/02/2008 10:37:50
AVREP.DLL     : 8.0.0.2         98344 Bytes  02/08/2008 17:18:43
AVREG.DLL     : 8.0.0.0         30977 Bytes  23/01/2008 17:07:49
AVARKT.DLL    : 1.0.0.23       307457 Bytes  12/02/2008 08:29:23
AVEVTLOG.DLL  : 8.0.0.11       114945 Bytes  28/02/2008 08:31:31
SQLITE3.DLL   : 3.3.17.1       339968 Bytes  22/01/2008 17:28:02
SMTPLIB.DLL   : 1.2.0.19        28929 Bytes  23/01/2008 17:08:39
NETNT.DLL     : 8.0.0.1          7937 Bytes  25/01/2008 12:05:10
RCIMAGE.DLL   : 8.0.0.35      2371841 Bytes  10/03/2008 14:37:25
RCTEXT.DLL    : 8.0.32.0        86273 Bytes  06/03/2008 12:02:11

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, 
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: samedi 2 août 2008  19:20

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'ATKOSD.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'CLSched.exe' - '1' Module(s) have been scanned
Scan process 'sistray.exe' - '1' Module(s) have been scanned
Scan process 'rambxpfr.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'GoogleToolbarNotifier.exe' - '1' Module(s) have been scanned
Scan process 'UnlockerAssistant.exe' - '1' Module(s) have been scanned
Scan process 'PCMService.exe' - '1' Module(s) have been scanned
Scan process 'SMax4PNP.exe' - '1' Module(s) have been scanned
Scan process 'SynTPEnh.exe' - '1' Module(s) have been scanned
Scan process 'HControl.exe' - '1' Module(s) have been scanned
Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'SMAgent.exe' - '1' Module(s) have been scanned
Scan process 'HidService.exe' - '1' Module(s) have been scanned
Scan process 'CLMLService.exe' - '1' Module(s) have been scanned
Scan process 'CLMLServer.exe' - '1' Module(s) have been scanned
Scan process 'CLCapSvc.exe' - '1' Module(s) have been scanned
Scan process 'AOLacsd.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
37 processes with 37 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
      [INFO]      No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
      [INFO]      No virus was found!

Starting to scan the registry.
The registry was scanned ( '26' files ).


Starting the file scan:

Begin scan in 'C:\' <HDD>
C:\hiberfil.sys
      [WARNING]   The file could not be opened!
C:\pagefile.sys
      [WARNING]   The file could not be opened!
C:\Documents and Settings\ARBARNI\Bureau\Recuperation\Documents and Settings\PIERRE\Local Settings\Temporary Internet Files\Content.IE5\N8LXRNSO\x2wfqp_le-cafe_creation[1].htm
      [DETECTION] Contains suspicious code HEUR/HTML.Malware
      [NOTE]      The fund was classified as suspicious.
      [NOTE]      The file was moved to '490b985e.qua'!
C:\Documents and Settings\ARBARNI\Bureau\Recuperation\Documents and Settings\PIERRE\Local Settings\Temporary Internet Files\Content.IE5\OLO30JWV\enter[1].htm
      [DETECTION] Contains detection pattern of the HTML script virus HTML/Dldr.Iframe.DT
      [NOTE]      The file was moved to '490898a4.qua'!
C:\Documents and Settings\ARBARNI\Bureau\Recuperation\Documents and Settings\PIERRE\Local Settings\Temporary Internet Files\Content.IE5\OLO30JWV
ympholife[1].htm
      [DETECTION] Contains detection pattern of the HTML script virus HTML/Crypted.Gen
      [NOTE]      The file was moved to '490198b7.qua'!


End of the scan: samedi 2 août 2008  19:42
Used time: 22:26 min

The scan has been done completely.

   4793 Scanning directories
 280932 Files were scanned
      2 viruses and/or unwanted programs were found
      1 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
      3 files were moved to quarantine
      0 files were renamed
      2 Files cannot be scanned
 280930 Files not concerned
   7209 Archives were scanned
      2 Warnings
      3 Notes

Destrio5 · Answer

Lui n'a pas trouvé le fichier, je me demande ce que je peux faire.

K3RB3ROS · Answer

si si il me la trouvé
il ma prévenu avant même que je lance le scan :/
j'ai fais "delete"

donc, il a réussi a le supprimer ?

Destrio5 · Answer

Mais c'est bon alors.

K3RB3ROS · Answer

lol !

ok ok bun c'est parfait !

je te remercie, pour ton aide et pour ton temps

merci encore

je refais un scan pour être sure :)
a++ ;)

Destrio5 · Answer

Tu as quand même des choses bizarres dans ton rapport ComboFix, peut-être que je m'inquiète pour rien, je te donnerai des nouvelles. En attendant :

---> Mets à jour Java :
https://www.java.com/fr/download/manual.jsp

---> Poste un nouveau rapport HijackThis

K3RB3ROS · Answer

pour le scan antivir tout est Ok :)

voici le rapport Hijack 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:21:23, on 02/08/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Apps\Powercinema\PCMService.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\RamBoost XP\rambxpfr.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\sistray.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {92E5DF6B-D89A-4103-AC7B-F3F10ADB2A47} - C:\DOCUME~1\ARBARNI\LOCALS~1\Temp\dmE.dll (file missing)
O2 - BHO: (no name) - {957C849E-DA93-42F4-948B-E7E20208E0D6} - c:\windows\system32\ylroxhk.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8AAE048-74CC-46B3-A3D2-041C5967FC68}: NameServer = 192.168.1.1
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Destrio5 · Answer

---> Relance HijackThis et choisis Do a system scan only

---> Coche les cases qui sont devant les lignes suivantes :

O2 - BHO: (no name) - {92E5DF6B-D89A-4103-AC7B-F3F10ADB2A47} - C:\DOCUME~1\ARBARNI\LOCALS~1\Temp\dmE.dll (file missing)

O2 - BHO: (no name) - {957C849E-DA93-42F4-948B-E7E20208E0D6} - c:\windows\system32\ylroxhk.dll (file missing) 

---> Clique en bas sur Fix checked. Mets oui si HijackThis te demande quelque chose.

---> Redémarre et poste un dernier rapport HijackThis

K3RB3ROS · Answer

voila le rapport

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:51:15, on 02/08/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Apps\Powercinema\PCMService.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {92E5DF6B-D89A-4103-AC7B-F3F10ADB2A47} - C:\DOCUME~1\ARBARNI\LOCALS~1\Temp\dmE.dll (file missing)
O2 - BHO: (no name) - {957C849E-DA93-42F4-948B-E7E20208E0D6} - c:\windows\system32\ylroxhk.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8AAE048-74CC-46B3-A3D2-041C5967FC68}: NameServer = 192.168.1.1
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Destrio5 · Answer

Bizarre, les deux lignes sont encore là. En mode sans échec sinon.

K3RB3ROS · Answer

jai essayé en mode sans échec, même résultat :/

et sinon je sais pas si ca a un rapport mais les MAJ windows ne fonctionne plus
elle sont activés mais il veut pas les faires... alors que si je vais sur le site de windows update et je met les références des MAJ, genre KB98765 
ca marche :/

Destrio5 · Answer

"et sinon je sais pas si ca a un rapport mais les MAJ windows ne fonctionne plus "
---> J'ai vu que le SP3 pouvait faire ça.

K3RB3ROS · Answer

okok donc sinon tout est bon ? 
a part le fait que les 2 lignes sont toujours présentes ?

Destrio5 · Answer

---> Télécharge le fichier CFScript et enregistre-le sur ton bureau :
http://www.zshare.net/

---> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

[*] Une fenêtre bleue va apparaître : au message qui apparaît (Type 1 to continue, or 2 to abort), tape 1 puis valide.

[*] Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.

[*] Une fois le scan achevé, un rapport va s'afficher : poste-le

[*] Si le fichier ne s'ouvre pas, il se trouve ici C:\ComboFix.txt

K3RB3ROS · Answer

salut ! voila le rapport ComboFix ComboFix 08-07-31.01 - ARBARNI 2008-08-03 13:25:51.2 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.608 [GMT 2:00] Endroit: C:\Documents and Settings\ARBARNI\Bureau\Chasse aux virus\ComboFix.exe Command switches used :: C:\Documents and Settings\ARBARNI\Bureau\cfscript.txt * Création d'un nouveau point de restauration . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\ARBARNI\Application Data\vjaohzxm C:\Documents and Settings\ARBARNI\Application Data\vjaohzxm\profiles.ini C:\Documents and Settings\ARBARNI\Application Data\vjaohzxm\Profiles\u9zfng7j.default\cert8.db C:\Documents and Settings\ARBARNI\Application Data\vjaohzxm\Profiles\u9zfng7j.default\compatibility.ini C:\Documents and Settings\ARBARNI\Application Data\vjaohzxm\Profiles\u9zfng7j.default\compreg.dat C:\Documents and Settings\ARBARNI\Application Data\vjaohzxm\Profiles\u9zfng7j.default\cookies.sqlite C:\Documents and Settings\ARBARNI\Application Data\vjaohzxm\Profiles\u9zfng7j.default\formhistory.sqlite C:\Documents and Settings\ARBARNI\Application Data\vjaohzxm\Profiles\u9zfng7j.default\key3.db C:\Documents and Settings\ARBARNI\Application Data\vjaohzxm\Profiles\u9zfng7j.default\localstore.rdf C:\Documents and Settings\ARBARNI\Application Data\vjaohzxm\Profiles\u9zfng7j.default\permissions.sqlite C:\Documents and Settings\ARBARNI\Application Data\vjaohzxm\Profiles\u9zfng7j.default\places.sqlite-journal C:\Documents and Settings\ARBARNI\Application Data\vjaohzxm\Profiles\u9zfng7j.default\places.sqlite C:\Documents and Settings\ARBARNI\Application Data\vjaohzxm\Profiles\u9zfng7j.default\pluginreg.dat C:\Documents and Settings\ARBARNI\Application Data\vjaohzxm\Profiles\u9zfng7j.default\prefs.js C:\Documents and Settings\ARBARNI\Application Data\vjaohzxm\Profiles\u9zfng7j.default\secmod.db C:\Documents and Settings\ARBARNI\Application Data\vjaohzxm\Profiles\u9zfng7j.default\xpti.dat C:\Documents and Settings\NetworkService\Application Data\vjaohzxm C:\Documents and Settings\NetworkService\Application Data\vjaohzxm\profiles.ini C:\Documents and Settings\NetworkService\Application Data\vjaohzxm\Profiles\a85vefay.default\cert8.db C:\Documents and Settings\NetworkService\Application Data\vjaohzxm\Profiles\a85vefay.default\compatibility.ini C:\Documents and Settings\NetworkService\Application Data\vjaohzxm\Profiles\a85vefay.default\compreg.dat C:\Documents and Settings\NetworkService\Application Data\vjaohzxm\Profiles\a85vefay.default\cookies.sqlite C:\Documents and Settings\NetworkService\Application Data\vjaohzxm\Profiles\a85vefay.default\formhistory.sqlite C:\Documents and Settings\NetworkService\Application Data\vjaohzxm\Profiles\a85vefay.default\key3.db C:\Documents and Settings\NetworkService\Application Data\vjaohzxm\Profiles\a85vefay.default\localstore.rdf C:\Documents and Settings\NetworkService\Application Data\vjaohzxm\Profiles\a85vefay.default\permissions.sqlite C:\Documents and Settings\NetworkService\Application Data\vjaohzxm\Profiles\a85vefay.default\places.sqlite-journal C:\Documents and Settings\NetworkService\Application Data\vjaohzxm\Profiles\a85vefay.default\places.sqlite C:\Documents and Settings\NetworkService\Application Data\vjaohzxm\Profiles\a85vefay.default\pluginreg.dat C:\Documents and Settings\NetworkService\Application Data\vjaohzxm\Profiles\a85vefay.default\prefs.js C:\Documents and Settings\NetworkService\Application Data\vjaohzxm\Profiles\a85vefay.default\secmod.db C:\Documents and Settings\NetworkService\Application Data\vjaohzxm\Profiles\a85vefay.default\xpti.dat . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-03 to 2008-08-03 )))))))))))))))))))))))))))))))))))) . 2008-08-02 21:11 . 2008-08-02 21:11 d-------- C:\Program Files\VirginMega 2008-08-02 21:09 . 2008-08-02 21:09 d-------- C:\Documents and Settings\All Users\Application Data\Downloaded Installations 2008-08-02 21:01 . 2008-08-02 21:01 d-------- C:\Program Files\Windows Media Connect 2 2008-08-02 20:59 . 2008-08-02 21:00 d-------- C:\WINDOWS\system32\drivers\UMDF 2008-08-02 19:15 . 2008-08-02 19:15 d-------- C:\Program Files\Avira 2008-08-02 19:15 . 2008-08-02 19:15 d-------- C:\Documents and Settings\All Users\Application Data\Avira 2008-08-02 18:39 . 2008-08-02 18:39 d-------- C:\Program Files\Unlocker 2008-08-02 18:39 . 2008-08-02 18:39 d-------- C:\Documents and Settings\ARBARNI\Application Data\Desktopicon 2008-08-01 03:16 . 2008-08-01 03:16 d-------- C:\_OTMoveIt 2008-08-01 02:45 . 2008-08-01 02:45 579,584 --a------ C:\WINDOWS\system32\dllcache\user32.dll 2008-08-01 02:42 . 2008-08-01 02:42 d-------- C:\WINDOWS\ERUNT 2008-08-01 02:19 . 2008-08-01 02:19 1,882 --a------ C:\WINDOWS\system32 mp.reg 2008-07-30 22:06 . 2008-07-30 22:44 d-a------ C:\Documents and Settings\All Users\Application Data\TEMP 2008-07-30 20:20 . 2008-07-30 20:32 d-------- C:\Program Files\Microsoft Bootvis 2008-07-30 19:57 . 2008-06-20 13:51 361,600 --------- C:\WINDOWS\system32\dllcache cpip.sys 2008-07-30 19:57 . 2008-06-20 19:47 247,808 --------- C:\WINDOWS\system32\dllcache\mswsock.dll 2008-07-30 19:57 . 2008-06-20 13:08 225,856 --------- C:\WINDOWS\system32\dllcache cpip6.sys 2008-07-30 19:57 . 2008-06-20 19:47 147,968 --------- C:\WINDOWS\system32\dllcache\dnsapi.dll 2008-07-30 19:57 . 2008-06-20 13:40 138,496 --------- C:\WINDOWS\system32\dllcache\afd.sys 2008-07-22 11:05 . 2008-07-22 11:05 d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes 2008-07-22 11:03 . 2008-05-30 01:05 d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau 2008-07-22 11:03 . 2008-05-30 01:05 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression 2008-07-22 11:03 . 2008-05-30 01:08 d--h----- C:\Documents and Settings\Administrateur\ModŠles 2008-07-22 11:03 . 2008-05-30 01:08 dr------- C:\Documents and Settings\Administrateur\Mes documents 2008-07-22 11:03 . 2008-05-30 01:08 dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer 2008-07-22 11:03 . 2008-05-30 01:08 dr------- C:\Documents and Settings\Administrateur\Favoris 2008-07-22 11:03 . 2008-07-22 12:53 dr------- C:\Documents and Settings\Administrateur\Bureau 2008-07-22 11:03 . 2008-05-30 01:05 d-------- C:\Documents and Settings\Administrateur\Application Data\You've Got Pictures Screensaver 2008-07-22 11:03 . 2008-05-30 01:05 d-------- C:\Documents and Settings\Administrateur\Application Data\Symantec 2008-07-22 11:03 . 2008-07-22 11:03 d-------- C:\Documents and Settings\Administrateur 2008-07-22 08:18 . 2008-07-31 23:17 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-07-22 08:18 . 2008-07-22 08:18 d-------- C:\Documents and Settings\ARBARNI\Application Data\Malwarebytes 2008-07-22 08:18 . 2008-07-22 08:18 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-07-22 08:18 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-07-22 08:18 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-07-21 22:45 . 2008-07-21 22:45 d-------- C:\Program Files\Trend Micro 2008-07-21 20:57 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys 2008-07-21 20:56 . 2008-07-21 20:56 d-------- C:\Program Files\Panda Security 2008-07-21 20:38 . 2008-06-14 19:33 272,768 --------- C:\WINDOWS\system32\dllcache\bthport.sys 2008-07-21 20:36 . 2008-04-23 06:16 6,066,176 --------- C:\WINDOWS\system32\dllcache\ieframe.dll 2008-07-21 20:36 . 2007-04-17 11:32 2,455,488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dat 2008-07-21 20:36 . 2007-03-08 07:10 1,048,576 --------- C:\WINDOWS\system32\dllcache\ieframe.dll.mui 2008-07-21 20:36 . 2008-04-23 06:16 459,264 --------- C:\WINDOWS\system32\dllcache\msfeeds.dll 2008-07-21 20:36 . 2008-04-23 06:16 383,488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dll 2008-07-21 20:36 . 2008-04-23 06:16 267,776 --------- C:\WINDOWS\system32\dllcache\iertutil.dll 2008-07-21 20:36 . 2008-04-23 06:16 63,488 --------- C:\WINDOWS\system32\dllcache\icardie.dll 2008-07-21 20:36 . 2008-04-23 06:16 52,224 --------- C:\WINDOWS\system32\dllcache\msfeedsbs.dll 2008-07-21 20:36 . 2008-04-22 09:39 13,824 --------- C:\WINDOWS\system32\dllcache\ieudinit.exe 2008-07-21 20:35 . 2008-05-09 12:55 180,224 --------- C:\WINDOWS\system32\dllcache\scrobj.dll 2008-07-21 20:35 . 2008-05-09 12:55 172,032 --------- C:\WINDOWS\system32\dllcache\scrrun.dll 2008-07-21 20:35 . 2008-05-08 13:24 155,648 --------- C:\WINDOWS\system32\dllcache\wscript.exe 2008-07-21 20:35 . 2008-05-09 10:45 135,168 --------- C:\WINDOWS\system32\dllcache\cscript.exe 2008-07-21 20:35 . 2008-05-09 12:55 90,112 --------- C:\WINDOWS\system32\dllcache\wshext.dll 2008-07-21 20:33 . 2008-05-07 07:11 1,294,336 --------- C:\WINDOWS\system32\dllcache\quartz.dll 2008-07-21 20:32 . 2008-07-21 20:32 d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2 2008-07-21 20:13 . 2008-05-08 16:02 203,136 --------- C:\WINDOWS\system32\dllcache mcast.sys 2008-07-21 20:10 . 2008-07-21 20:10 d-------- C:\Program Files\MSXML 4.0 2008-07-21 17:42 . 2008-07-21 17:42 d-------- C:\Program Files\ma-config.com 2008-07-21 17:42 . 2008-07-21 17:42 d-------- C:\Documents and Settings\All Users\Application Data\ma-config.com 2008-07-09 20:42 . 2001-09-30 19:10 246,784 --a------ C:\WINDOWS\system32\ActiveSkin.ocx 2008-07-09 20:42 . 2001-05-24 12:59 162,304 --a------ C:\UNWISE.EXE 2008-07-09 20:42 . 2002-01-18 18:12 112 --a------ C:\WINDOWS\ActiveSkin.INI . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-03 11:21 --------- d-----w C:\Documents and Settings\ARBARNI\Application Data\OpenOffice.org2 2008-07-30 18:12 --------- d-----w C:\Program Files\Java 2008-07-19 12:29 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared 2008-06-27 21:19 135,168 ----a-w C:\WINDOWS\system32\drivers\Bjg46.sys 2008-06-20 17:47 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-06-20 16:56 --------- d-----w C:\Documents and Settings\ARBARNI\Application Data\AdobeUM 2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers cpip.sys 2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers cpip6.sys 2008-06-14 17:33 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-06-05 07:20 --------- d--h--w C:\Documents and Settings\All Users\Application Data\CanonBJ 2008-06-05 07:17 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-06-05 07:17 --------- d-----w C:\Program Files\ArcSoft 2008-06-05 07:15 --------- d-----w C:\Program Files\Canon 2008-06-04 12:47 --------- d-----w C:\Program Files\Google 2008-05-09 10:55 90,112 ----a-w C:\WINDOWS\system32\wshext.dll 2008-05-09 10:55 512,000 ------w C:\WINDOWS\system32\dllcache\jscript.dll 2008-05-09 10:55 430,080 ----a-w C:\WINDOWS\system32\vbscript.dll 2008-05-09 10:55 430,080 ------w C:\WINDOWS\system32\dllcache\vbscript.dll 2008-05-09 10:55 180,224 ----a-w C:\WINDOWS\system32\scrobj.dll 2008-05-09 10:55 172,032 ----a-w C:\WINDOWS\system32\scrrun.dll 2008-05-09 08:45 135,168 ----a-w C:\WINDOWS\system32\cscript.exe 2008-05-08 11:24 155,648 ----a-w C:\WINDOWS\system32\wscript.exe 2008-05-07 05:11 1,294,336 ----a-w C:\WINDOWS\system32\quartz.dll . ((((((((((((((((((((((((((((( snapshot@2008-08-01_ 4.12.58.75 ))))))))))))))))))))))))))))))))))))))))) . - 2004-08-11 18:49:10 192,512 ----a-w C:\WINDOWS\inf\unregmp2.exe + 2006-11-03 07:58:34 317,440 ----a-w C:\WINDOWS\inf\unregmp2.exe + 2008-08-02 19:11:21 327,680 ----a-r C:\WINDOWS\Installer\{EE467474-04A8-48D5-8DDF-0F8D3A3CCBE5}\NewShortcut2_439CCEF89767436AB00754ACFDCFF417.exe - 2004-08-11 18:49:20 8,704 ----a-w C:\WINDOWS\system32\asferror.dll + 2006-11-03 07:56:54 7,680 ----a-w C:\WINDOWS\system32\asferror.dll - 2004-08-11 18:49:08 483,328 ----a-w C:\WINDOWS\system32\Audiodev.dll + 2006-10-18 19:47:08 276,992 ----a-w C:\WINDOWS\system32\audiodev.dll - 2004-08-10 23:36:48 233,472 ----a-w C:\WINDOWS\system32\blackbox.dll + 2006-10-18 19:47:10 542,720 ----a-w C:\WINDOWS\system32\blackbox.dll - 2004-08-10 22:45:16 161,792 ----a-w C:\WINDOWS\system32\cewmdm.dll + 2006-10-18 19:47:10 229,376 ----a-w C:\WINDOWS\system32\cewmdm.dll - 2004-08-11 18:49:20 8,704 ----a-w C:\WINDOWS\system32\dllcache\asferror.dll + 2006-11-03 07:56:54 7,680 ----a-w C:\WINDOWS\system32\dllcache\asferror.dll - 2004-08-10 23:36:48 233,472 ----a-w C:\WINDOWS\system32\dllcache\blackbox.dll + 2006-10-18 19:47:10 542,720 ----a-w C:\WINDOWS\system32\dllcache\blackbox.dll - 2004-08-10 22:45:16 161,792 ----a-w C:\WINDOWS\system32\dllcache\cewmdm.dll + 2006-10-18 19:47:10 229,376 ----a-w C:\WINDOWS\system32\dllcache\cewmdm.dll - 2004-08-10 23:36:58 527,360 ----a-w C:\WINDOWS\system32\dllcache\drmv2clt.dll + 2006-10-18 19:47:10 991,744 ----a-w C:\WINDOWS\system32\dllcache\drmv2clt.dll - 2004-08-10 20:07:06 6,656 ----a-w C:\WINDOWS\system32\dllcache\laprxy.dll + 2006-10-18 19:47:14 11,264 ----a-w C:\WINDOWS\system32\dllcache\LAPRXY.dll - 2004-08-10 19:46:46 96,768 ----a-w C:\WINDOWS\system32\dllcache\logagent.exe + 2006-10-18 18:03:58 100,864 ----a-w C:\WINDOWS\system32\dllcache\logagent.exe - 2004-08-11 18:49:10 344,064 ----a-w C:\WINDOWS\system32\dllcache\mpvis.dll + 2006-11-03 07:57:06 244,224 ----a-w C:\WINDOWS\system32\dllcache\mpvis.dll - 2004-08-10 23:36:42 141,312 ----a-w C:\WINDOWS\system32\dllcache\msnetobj.dll + 2006-10-18 19:47:16 179,712 ----a-w C:\WINDOWS\system32\dllcache\msnetobj.dll - 2004-08-10 22:45:16 25,088 ----a-w C:\WINDOWS\system32\dllcache\mspmsnsv.dll + 2006-10-18 19:47:16 27,136 ----a-w C:\WINDOWS\system32\dllcache\mspmsnsv.dll - 2004-08-10 22:45:16 169,472 ----a-w C:\WINDOWS\system32\dllcache\mspmsp.dll + 2006-10-18 19:47:16 175,616 ----a-w C:\WINDOWS\system32\dllcache\mspmsp.dll - 2004-08-10 23:38:46 360,176 ----a-w C:\WINDOWS\system32\dllcache\msscp.dll + 2006-10-18 19:47:16 414,208 ----a-w C:\WINDOWS\system32\dllcache\msscp.dll - 2004-08-11 18:49:10 311,808 ----a-w C:\WINDOWS\system32\dllcache\mswmdm.dll + 2006-10-18 19:47:16 321,536 ----a-w C:\WINDOWS\system32\dllcache\mswmdm.dll - 2004-08-10 22:45:18 221,184 ----a-w C:\WINDOWS\system32\dllcache\qasf.dll + 2006-10-18 19:47:18 211,456 ----a-w C:\WINDOWS\system32\dllcache\qasf.dll - 2004-08-11 18:49:10 827,392 ----a-w C:\WINDOWS\system32\dllcache\setup_wm.exe + 2006-11-03 08:02:28 1,680,384 ----a-w C:\WINDOWS\system32\dllcache\setup_wm.exe - 2004-08-11 18:49:10 192,512 ----a-w C:\WINDOWS\system32\dllcache\unregmp2.exe + 2006-11-03 07:58:34 317,440 ----a-w C:\WINDOWS\system32\dllcache\unregmp2.exe - 2004-08-10 23:38:48 380,144 ----a-w C:\WINDOWS\system32\dllcache\wmadmod.dll + 2006-10-18 19:47:18 757,248 ----a-w C:\WINDOWS\system32\dllcache\WMADMOD.dll - 2004-08-10 22:45:16 712,704 ----a-w C:\WINDOWS\system32\dllcache\wmadmoe.dll + 2006-10-18 19:47:18 1,117,696 ----a-w C:\WINDOWS\system32\dllcache\WMADMOE.dll - 2007-10-20 04:01:32 227,328 ----a-w C:\WINDOWS\system32\dllcache\wmasf.dll + 2006-10-18 19:47:18 222,208 ----a-w C:\WINDOWS\system32\dllcache\WMASF.dll - 2004-08-10 22:45:16 30,208 ----a-w C:\WINDOWS\system32\dllcache\wmdmlog.dll + 2006-10-18 19:47:18 33,792 ----a-w C:\WINDOWS\system32\dllcache\wmdmlog.dll - 2004-08-10 22:45:16 34,304 ----a-w C:\WINDOWS\system32\dllcache\wmdmps.dll + 2006-10-18 19:47:18 37,376 ----a-w C:\WINDOWS\system32\dllcache\wmdmps.dll - 2004-08-11 18:49:20 226,304 ----a-w C:\WINDOWS\system32\dllcache\wmerror.dll + 2006-11-03 07:58:42 272,384 ----a-w C:\WINDOWS\system32\dllcache\wmerror.dll - 2004-08-10 20:07:06 150,016 ----a-w C:\WINDOWS\system32\dllcache\wmidx.dll + 2006-10-18 19:47:20 157,184 ----a-w C:\WINDOWS\system32\dllcache\wmidx.dll - 2004-08-10 22:41:04 1,027,072 ----a-w C:\WINDOWS\system32\dllcache\wmnetmgr.dll + 2006-10-18 19:47:20 937,984 ----a-w C:\WINDOWS\system32\dllcache\WMNetMgr.dll - 2004-08-10 22:41:20 5,550,080 ----a-w C:\WINDOWS\system32\dllcache\wmp.dll + 2006-10-18 19:47:20 10,834,432 ----a-w C:\WINDOWS\system32\dllcache\wmp.dll - 2004-08-10 22:45:16 135,168 ----a-w C:\WINDOWS\system32\dllcache\wmpasf.dll + 2006-10-18 19:47:20 242,688 ----a-w C:\WINDOWS\system32\dllcache\wmpasf.dll - 2004-08-11 18:49:10 77,824 ----a-w C:\WINDOWS\system32\dllcache\wmpband.dll + 2006-11-03 07:58:48 96,256 ----a-w C:\WINDOWS\system32\dllcache\wmpband.dll - 2004-08-10 22:45:16 282,624 ----a-w C:\WINDOWS\system32\dllcache\wmpdxm.dll + 2006-10-18 19:47:20 314,880 ----a-w C:\WINDOWS\system32\dllcache\wmpdxm.dll - 2004-08-11 18:49:10 73,728 ----a-w C:\WINDOWS\system32\dllcache\wmplayer.exe + 2006-11-03 07:59:00 64,000 ----a-w C:\WINDOWS\system32\dllcache\wmplayer.exe - 2004-08-11 18:49:12 3,424,256 ----a-w C:\WINDOWS\system32\dllcache\wmploc.dll + 2006-11-03 08:03:34 8,292,352 ----a-w C:\WINDOWS\system32\dllcache\wmploc.dll - 2004-08-11 18:49:12 86,016 ----a-w C:\WINDOWS\system32\dllcache\wmpshell.dll + 2006-11-03 07:59:06 99,840 ----a-w C:\WINDOWS\system32\dllcache\wmpshell.dll - 2004-08-10 23:39:00 773,368 ----a-w C:\WINDOWS\system32\dllcache\wmsdmod.dll + 2006-10-18 19:47:22 4,096 ----a-w C:\WINDOWS\system32\dllcache\wmsdmod.dll - 2004-08-10 22:45:14 1,116,160 ----a-w C:\WINDOWS\system32\dllcache\wmsdmoe2.dll + 2006-10-18 19:47:22 4,096 ----a-w C:\WINDOWS\system32\dllcache\wmsdmoe2.dll - 2004-08-10 23:38:52 531,192 ----a-w C:\WINDOWS\system32\dllcache\wmspdmod.dll + 2006-10-18 19:47:22 603,648 ----a-w C:\WINDOWS\system32\dllcache\WMSPDMOD.dll - 2004-08-10 22:45:14 936,960 ----a-w C:\WINDOWS\system32\dllcache\wmspdmoe.dll + 2006-10-18 19:47:22 1,329,152 ----a-w C:\WINDOWS\system32\dllcache\WMSPDMOE.dll - 2006-12-07 06:40:49 2,362,184 ----a-w C:\WINDOWS\system32\dllcache\wmvcore.dll + 2006-10-18 19:47:22 2,450,944 ----a-w C:\WINDOWS\system32\dllcache\wmvcore.dll - 2004-08-10 23:38:56 871,160 ----a-w C:\WINDOWS\system32\dllcache\wmvdmod.dll + 2006-10-18 19:47:22 4,096 ----a-w C:\WINDOWS\system32\dllcache\wmvdmod.dll - 2004-08-10 22:45:14 999,424 ----a-w C:\WINDOWS\system32\dllcache\wmvdmoe2.dll + 2006-10-18 19:47:22 4,096 ----a-w C:\WINDOWS\system32\dllcache\wmvdmoe2.dll + 2008-01-21 16:12:56 41,792 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys + 2008-01-21 16:11:28 22,336 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys + 2008-03-04 11:28:53 79,424 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys + 2007-03-01 08:34:22 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys + 2006-10-18 19:47:22 671,232 ------w C:\WINDOWS\system32\drivers\UMDF\wpdmtpdr.dll - 2004-08-10 20:05:50 18,944 ----a-w C:\WINDOWS\system32\drivers\wpdusb.sys + 2006-10-18 18:00:00 38,528 ----a-w C:\WINDOWS\system32\drivers\wpdusb.sys + 2006-09-28 16:55:50 77,568 ------w C:\WINDOWS\system32\drivers\WudfPf.sys + 2006-09-28 17:00:34 82,944 ------w C:\WINDOWS\system32\drivers\WudfRd.sys + 2006-10-18 18:00:46 249,856 ------w C:\WINDOWS\system32\drmupgds.exe - 2004-08-10 23:36:58 527,360 ----a-w C:\WINDOWS\system32\drmv2clt.dll + 2006-10-18 19:47:10 991,744 ----a-w C:\WINDOWS\system32\drmv2clt.dll - 2004-08-10 20:07:06 6,656 ----a-w C:\WINDOWS\system32\laprxy.dll + 2006-10-18 19:47:14 11,264 ----a-w C:\WINDOWS\system32\LAPRXY.dll - 2004-08-10 19:46:46 96,768 ----a-w C:\WINDOWS\system32\logagent.exe + 2006-10-18 18:03:58 100,864 ----a-w C:\WINDOWS\system32\logagent.exe + 2006-10-18 19:47:14 212,992 ------w C:\WINDOWS\system32\MFPLAT.dll + 2006-10-18 19:47:14 259,072 ------w C:\WINDOWS\system32\MP43DECD.dll - 2004-08-05 12:00:00 310,272 ----a-w C:\WINDOWS\system32\mp43dmod.dll + 2006-10-18 19:47:14 4,096 ----a-w C:\WINDOWS\system32\MP43DMOD.dll + 2006-10-18 19:47:14 317,440 ------w C:\WINDOWS\system32\MP4SDECD.dll - 2004-08-05 12:00:00 384,512 ----a-w C:\WINDOWS\system32\mp4sdmod.dll + 2006-10-18 19:47:14 4,096 ----a-w C:\WINDOWS\system32\MP4SDMOD.dll + 2006-10-18 19:47:14 259,072 ------w C:\WINDOWS\system32\MPG4DECD.dll - 2008-04-14 02:33:30 240,640 ----a-w C:\WINDOWS\system32\mpg4dmod.dll + 2006-10-18 19:47:14 4,096 ----a-w C:\WINDOWS\system32\MPG4DMOD.dll + 2006-10-02 13:28:42 312,128 ------w C:\WINDOWS\system32\msdelta.dll - 2004-08-10 23:36:42 141,312 ----a-w C:\WINDOWS\system32\msnetobj.dll + 2006-10-18 19:47:16 179,712 ----a-w C:\WINDOWS\system32\msnetobj.dll - 2004-08-10 22:45:16 25,088 ----a-w C:\WINDOWS\system32\MsPMSNSv.dll + 2006-10-18 19:47:16 27,136 ----a-w C:\WINDOWS\system32\mspmsnsv.dll - 2004-08-10 22:45:16 169,472 ----a-w C:\WINDOWS\system32\MsPMSP.dll + 2006-10-18 19:47:16 175,616 ----a-w C:\WINDOWS\system32\mspmsp.dll - 2004-08-10 23:38:46 360,176 ----a-w C:\WINDOWS\system32\MSSCP.dll + 2006-10-18 19:47:16 414,208 ----a-w C:\WINDOWS\system32\msscp.dll - 2004-08-11 18:49:10 311,808 ----a-w C:\WINDOWS\system32\MSWMDM.dll + 2006-10-18 19:47:16 321,536 ----a-w C:\WINDOWS\system32\mswmdm.dll + 2006-10-18 19:47:18 284,160 ------w C:\WINDOWS\system32\PortableDeviceApi.dll + 2006-10-18 19:47:18 101,888 ------w C:\WINDOWS\system32\PortableDeviceClassExtension.dll + 2006-10-18 19:47:18 166,912 ------w C:\WINDOWS\system32\PortableDeviceTypes.dll + 2006-10-18 19:47:18 132,096 ------w C:\WINDOWS\system32\PortableDeviceWiaCompat.dll + 2006-10-18 19:47:18 199,168 ------w C:\WINDOWS\system32\PortableDeviceWMDRM.dll - 2004-08-10 22:45:18 221,184 ----a-w C:\WINDOWS\system32\qasf.dll + 2006-10-18 19:47:18 211,456 ----a-w C:\WINDOWS\system32\qasf.dll - 2007-11-30 12:39:29 18,296 ------w C:\WINDOWS\system32\spmsg.dll + 2006-09-25 15:58:48 14,640 ------w C:\WINDOWS\system32\spmsg.dll - 2004-08-10 20:05:20 47,104 ----a-w C:\WINDOWS\system32\uwdf.exe + 2006-10-18 19:58:00 8,704 ----a-w C:\WINDOWS\system32\uwdf.exe - 2004-08-10 20:05:12 15,872 ----a-w C:\WINDOWS\system32\wdfapi.dll + 2006-10-18 19:47:18 4,096 ----a-w C:\WINDOWS\system32\wdfapi.dll - 2004-08-10 20:05:14 38,912 ----a-w C:\WINDOWS\system32\wdfmgr.exe + 2006-10-18 19:58:00 8,704 ----a-w C:\WINDOWS\system32\wdfmgr.exe - 2004-08-10 23:38:48 380,144 ----a-w C:\WINDOWS\system32\wmadmod.dll + 2006-10-18 19:47:18 757,248 ----a-w C:\WINDOWS\system32\WMADMOD.dll - 2004-08-10 22:45:16 712,704 ----a-w C:\WINDOWS\system32\wmadmoe.dll + 2006-10-18 19:47:18 1,117,696 ----a-w C:\WINDOWS\system32\WMADMOE.dll - 2007-10-20 04:01:32 227,328 ----a-w C:\WINDOWS\system32\wmasf.dll + 2006-10-18 19:47:18 222,208 ----a-w C:\WINDOWS\system32\wmasf.dll - 2004-08-10 22:45:16 30,208 ----a-w C:\WINDOWS\system32\WMDMLOG.dll + 2006-10-18 19:47:18 33,792 ----a-w C:\WINDOWS\system32\wmdmlog.dll - 2004-08-10 22:45:16 34,304 ----a-w C:\WINDOWS\system32\WMDMPS.dll + 2006-10-18 19:47:18 37,376 ----a-w C:\WINDOWS\system32\wmdmps.dll - 2004-08-10 23:37:04 344,064 ----a-w C:\WINDOWS\system32\WMDRMdev.dll + 2006-10-18 19:47:18 429,056 ----a-w C:\WINDOWS\system32\wmdrmdev.dll - 2004-08-10 23:37:06 290,816 ----a-w C:\WINDOWS\system32\WMDRMNet.dll + 2006-10-18 19:47:20 348,672 ----a-w C:\WINDOWS\system32\wmdrmnet.dll + 2006-10-18 19:47:20 535,040 ------w C:\WINDOWS\system32\wmdrmsdk.dll - 2004-08-11 18:49:20 226,304 ----a-w C:\WINDOWS\system32\wmerror.dll + 2006-11-03 07:58:42 272,384 ----a-w C:\WINDOWS\system32\wmerror.dll - 2004-08-10 20:07:06 150,016 ----a-w C:\WINDOWS\system32\wmidx.dll + 2006-10-18 19:47:20 157,184 ----a-w C:\WINDOWS\system32\wmidx.dll - 2004-08-10 22:41:04 1,027,072 ----a-w C:\WINDOWS\system32\wmnetmgr.dll + 2006-10-18 19:47:20 937,984 ----a-w C:\WINDOWS\system32\WMNetMgr.dll - 2004-08-10 22:41:20 5,550,080 ----a-w C:\WINDOWS\system32\wmp.dll + 2006-10-18 19:47:20 10,834,432 ----a-w C:\WINDOWS\system32\wmp.dll - 2004-08-10 22:45:16 135,168 ----a-w C:\WINDOWS\system32\wmpasf.dll + 2006-10-18 19:47:20 242,688 ----a-w C:\WINDOWS\system32\wmpasf.dll - 2004-08-10 22:45:16 282,624 ----a-w C:\WINDOWS\system32\wmpdxm.dll + 2006-10-18 19:47:20 314,880 ----a-w C:\WINDOWS\system32\wmpdxm.dll + 2006-10-18 19:47:20 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll - 2004-08-10 22:45:14 1,589,760 ----a-w C:\WINDOWS\system32\wmpencen.dll + 2006-10-18 19:47:20 1,661,440 ----a-w C:\WINDOWS\system32\wmpencen.dll - 2004-08-11 18:49:12 3,424,256 ----a-w C:\WINDOWS\system32\wmploc.dll + 2006-11-03 08:03:34 8,292,352 ----a-w C:\WINDOWS\system32\wmploc.dll + 2006-10-18 19:47:20 613,376 ------w C:\WINDOWS\system32\wmpmde.dll + 2006-10-18 19:47:20 130,048 ------w C:\WINDOWS\system32\wmpps.dll - 2004-08-11 18:49:12 86,016 ----a-w C:\WINDOWS\system32\wmpshell.dll + 2006-11-03 07:59:06 99,840 ----a-w C:\WINDOWS\system32\wmpshell.dll - 2004-08-10 22:45:14 175,104 ----a-w C:\WINDOWS\system32\wmpsrcwp.dll + 2006-10-18 19:47:20 204,288 ----a-w C:\WINDOWS\system32\wmpsrcwp.dll - 2004-08-10 23:39:00 773,368 ----a-w C:\WINDOWS\system32\wmsdmod.dll + 2006-10-18 19:47:22 4,096 ----a-w C:\WINDOWS\system32\wmsdmod.dll - 2004-08-10 22:45:14 1,116,160 ----a-w C:\WINDOWS\system32\wmsdmoe2.dll + 2006-10-18 19:47:22 4,096 ----a-w C:\WINDOWS\system32\wmsdmoe2.dll - 2004-08-10 23:38:52 531,192 ----a-w C:\WINDOWS\system32\wmspdmod.dll + 2006-10-18 19:47:22 603,648 ----a-w C:\WINDOWS\system32\WMSPDMOD.dll - 2004-08-10 22:45:14 936,960 ----a-w C:\WINDOWS\system32\wmspdmoe.dll + 2006-10-18 19:47:22 1,329,152 ----a-w C:\WINDOWS\system32\WMSPDMOE.dll - 2004-08-10 23:38:52 1,181,944 ----a-w C:\WINDOWS\system32\wmvadvd.dll + 2006-10-18 19:47:22 4,096 ----a-w C:\WINDOWS\system32\WMVADVD.dll - 2004-08-10 22:45:18 1,509,376 ----a-w C:\WINDOWS\system32\WMVADVE.DLL + 2006-10-18 19:47:22 4,096 ----a-w C:\WINDOWS\system32\WMVADVE.DLL - 2006-12-07 06:40:49 2,362,184 ----a-w C:\WINDOWS\system32\wmvcore.dll + 2006-10-18 19:47:22 2,450,944 ----a-w C:\WINDOWS\system32\wmvcore.dll + 2006-10-18 19:47:22 1,543,680 ------w C:\WINDOWS\system32\WMVDECOD.dll - 2004-08-10 23:38:56 871,160 ----a-w C:\WINDOWS\system32\wmvdmod.dll + 2006-10-18 19:47:22 4,096 ----a-w C:\WINDOWS\system32\wmvdmod.dll - 2004-08-10 22:45:14 999,424 ----a-w C:\WINDOWS\system32\wmvdmoe2.dll + 2006-10-18 19:47:22 4,096 ----a-w C:\WINDOWS\system32\wmvdmoe2.dll + 2006-10-18 19:47:22 1,574,912 ------w C:\WINDOWS\system32\WMVENCOD.dll + 2006-10-18 19:47:22 1,382,912 ------w C:\WINDOWS\system32\WMVSDECD.dll + 2006-10-18 19:47:22 767,488 ------w C:\WINDOWS\system32\WMVSENCD.dll + 2006-10-18 19:47:22 656,896 ------w C:\WINDOWS\system32\WMVXENCD.dll - 2004-08-10 20:05:56 38,912 ----a-w C:\WINDOWS\system32\wpd_ci.dll + 2006-10-18 19:47:22 629,760 ----a-w C:\WINDOWS\system32\wpd_ci.dll - 2004-08-10 20:05:44 61,952 ----a-w C:\WINDOWS\system32\wpdconns.dll + 2006-10-18 19:47:22 35,840 ----a-w C:\WINDOWS\system32\wpdconns.dll - 2004-08-10 20:05:46 114,176 ----a-w C:\WINDOWS\system32\wpdmtp.dll + 2006-10-18 19:47:22 154,624 ----a-w C:\WINDOWS\system32\wpdmtp.dll - 2004-08-10 20:05:46 66,560 ----a-w C:\WINDOWS\system32\wpdmtpus.dll + 2006-10-18 19:47:22 63,488 ----a-w C:\WINDOWS\system32\wpdmtpus.dll + 2006-10-18 19:47:22 2,603,008 ------w C:\WINDOWS\system32\WpdShext.dll + 2006-10-18 18:00:14 17,408 ------w C:\WINDOWS\system32\wpdshextautoplay.exe + 2006-11-02 09:52:12 44,032 ------w C:\WINDOWS\system32\wpdshextres.dll + 2006-10-18 19:47:22 133,632 ------w C:\WINDOWS\system32\WPDShServiceObj.dll - 2004-08-10 20:05:54 327,680 ----a-w C:\WINDOWS\system32\wpdsp.dll + 2006-10-18 19:47:22 356,352 ----a-w C:\WINDOWS\system32\wpdsp.dll + 2006-09-28 18:13:26 95,344 ------w C:\WINDOWS\system32\WUDFCoinstaller.dll + 2006-09-28 16:56:38 146,432 ------w C:\WINDOWS\system32\WudfHost.exe + 2006-09-28 16:56:16 165,376 ------w C:\WINDOWS\system32\WudfPlatform.dll + 2006-09-28 16:56:14 55,808 ------w C:\WINDOWS\system32\WudfSvc.dll + 2006-09-28 16:56:38 316,416 ------w C:\WINDOWS\system32\WUDFx.dll + 2006-12-01 20:56:00 96,256 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.ATL_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_cbb27474\ATL80.dll + 2006-12-01 20:54:32 479,232 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcm80.dll + 2006-12-01 20:54:34 548,864 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcp80.dll + 2006-12-01 20:54:32 626,688 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcr80.dll . -- Snapshot reset to current date -- . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{92E5DF6B-D89A-4103-AC7B-F3F10ADB2A47}] C:\DOCUME~1\ARBARNI\LOCALS~1\Temp\dmE.dll [BU] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2008-04-14 04:34 1695232] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-06-04 14:47 171448] "updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2004-11-22 08:18 307200] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:33 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2005-07-28 21:29 102400] "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-05-11 21:03 708697] "SoundMAXPnP"="C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 09:11 1388544] "PCMService"="c:\Apps\Powercinema\PCMService.exe" [2005-05-11 13:48 127118] "UnlockerAssistant"="C:\Program Files\Unlocker\UnlockerAssistant.exe" [2008-05-02 06:15 15872] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401] "SiSPower"="SiSPower.dll" [2005-07-13 02:55 49152 C:\WINDOWS\system32\SiSPower.dll] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "AntiVirusOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%ProgramFiles%\AOL 9.0\aol.exe"= "%ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\logo_ubi.exe"= "%ProgramFiles%\UBISOFT\Splinter Cell Pandora Tomorrow\pandora.exe"= "%windir%\system32\sessmgr.exe"= "C:\APPS\Inventime\my.exe"= "C:\APPS\skype\phone\Skype.exe"= "C:\APPS\Powercinema\PowerCinema.exe"= "C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe"= "C:\Program Files\Fichiers communs\AOL\ACS\AOLacsd.exe"= "C:\Program Files\AOL 9.0\waol.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= R0 Bjg46;Bjg46;C:\WINDOWS\system32\drivers\Bjg46.sys [2008-06-27 23:19] R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 17:24] R0 qhvloatj;qhvloatj;C:\WINDOWS\system32\drivers\qhvloatj.sys [2004-08-05 14:00] R3 ASNDIS5;ASNDIS5 Protocol Driver;C:\WINDOWS\ATK0100\ASNDIS5.SYS [2004-05-28 10:13] R3 HSFHWSIS;HSFHWSIS;C:\WINDOWS\system32\DRIVERS\HSFHWSIS.sys [2005-06-22 14:50] R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys [2004-11-05 16:43] R3 ZD1211U(ASUS);ASUS ZD1211 IEEE 802.11b+g Wireless LAN Driver (USB)(ASUS);C:\WINDOWS\system32\DRIVERS\zd1211u.sys [2005-09-08 09:41] S0 Winva71;Winva71;C:\WINDOWS\system32\Drivers\Winva71.sys [] S3 maconfservice;Ma-Config Service;C:\Program Files\ma-config.com\maconfservice.exe [2008-06-26 09:13] S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 20:45] S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 20:45] . - - - - ORPHANS REMOVED - - - - BHO-{957C849E-DA93-42F4-948B-E7E20208E0D6} - c:\windows\system32\ylroxhk.dll HKCU-Run-RamBoostXp - C:\Program Files\RamBoost XP ambxpfr.exe ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-03 13:30:47 Windows 5.1.2600 Service Pack 3 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySqlInventime] "ImagePath"="c:\mysql\bin\mysqld-max-nt MySqlInventime" . --------------------- DLLs a charg‚ sous des processus courants --------------------- PROCESS: C:\WINDOWS\explorer.exe -> C:\Program Files\Unlocker\UnlockerHook.dll . ------------------------ Other Running Processes ------------------------ . C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe C:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\APPS\HIDSERVICE\HidService.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\APPS\Powercinema\Kernel\TV\CLSched.exe C:\WINDOWS\system32\sistray.exe C:\Program Files\OpenOffice.org 2.4\program\soffice.exe C:\Program Files\OpenOffice.org 2.4\program\soffice.bin C:\WINDOWS\ATK0100\ATKOSD.exe . ************************************************************************** . Temps d'accomplissement: 2008-08-03 13:34:32 - machine was rebooted ComboFix-quarantined-files.txt 2008-08-03 11:34:24 ComboFix2.txt 2008-08-01 02:13:35 Pre-Run: 41,125,658,624 octets libres Post-Run: 41,114,099,712 octets libres 453 --- E O F --- 2008-08-02 22:49:22

Destrio5 · Answer

Utilise OTMoveit2 pour ce texte :

C:\WINDOWS\system32\Drivers\Winva71.sys

K3RB3ROS · Answer

hum

result:
File/Folder C:\WINDOWS\system32\Drivers\Winva71.sys not found.

Destrio5 · Answer

C'est pratiquement fini, ne t'inquiète pas.

---> Télécharge le fichier fix.reg :
http://www.zshare.net/

Utilisation du fichier : fix.reg :
Double-clique sur le fichier (Bureau) / Accepte l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / valide le message disant que la fusion est terminée.

K3RB3ROS · Answer

c'est bon 
c'est fait :)

et maintenant ?

Destrio5 · Answer

Un dernier rapport HijackThis.

K3RB3ROS · Answer

voila le rapport
arf les deux lignes sont toujours la :/


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:04:05, on 03/08/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Apps\Powercinema\PCMService.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32
otepad.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Documents and Settings\ARBARNI\Bureau\Chasse aux virus\OTMoveIt2.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {92E5DF6B-D89A-4103-AC7B-F3F10ADB2A47} - C:\DOCUME~1\ARBARNI\LOCALS~1\Temp\dmE.dll (file missing)
O2 - BHO: (no name) - {957C849E-DA93-42F4-948B-E7E20208E0D6} - c:\windows\system32\ylroxhk.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8AAE048-74CC-46B3-A3D2-041C5967FC68}: NameServer = 192.168.1.1
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Destrio5 · Answer

Oué. Tant pis.

As-tu encore des problèmes ?

K3RB3ROS · Answer

lol !

bun a part les mises a jours windows . . .

non je crois pas :)

ps: tu peux jeter un coup d'oeil sur mon autre topic voir si ce que me conseil elioth vaut le coup ou pas ;)

merci

Destrio5 · Answer

T'as essayé de les désactiver, redémarrer puis réactiver.

Destrio5 · Answer

Essaie de restaurer Windows Update avec Zeb Restore :
http://www.commentcamarche.net/forum/affich 7710959 win32 trojan gen other suite?page=2#25

K3RB3ROS · Answer

hum je viens d'essayer mais sans succes :/

bon aprés si les MAJ Auto sont le seuls probleme c'est pas bien grave ;)

Destrio5 · Answer

Ok. Pour finir :

Télécharge Tools Cleaner sur ton bureau.
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
Clique sur Recherche et laisse le scan agir.
Clique sur Suppression pour finaliser. 
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter pour obtenir le rapport. 
Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

---> Télécharge CCleaner (N'installe pas la Yahoo Toolbar) :
https://www.ccleaner.com/ccleaner/download

---> Lance-le. Va dans "Options" puis "Avancé", tu décoches la case "Effacer uniquement les fichiers etc...". Tu vas dans "Nettoyeur", tu fais "Analyse". Une fois terminé, tu lances le nettoyage. Puis tu vas dans "Registre", tu fais "Chercher des erreurs". Une fois terminé, tu répares toutes les erreurs sans sauvegarder la base de registre.

---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger :
http://www.infos-du-net.com/forum/272480-11-desactiver-activer-restauration-systeme

---> Je te conseille de créer un point de restauration que tu pourras utiliser plus tard si tu as un problème :
https://www.vulgarisation-informatique.com/creer-point-restauration.php

K3RB3ROS · Answer

je viens de faire le scan avec tools
et les seuls fichiers quil trouve sont tous les programmes que tu ma fais utiliser

comboFix, sdfix, hijackthis etc etc etc :/

c'est normal ? je fais suppression ?

Destrio5 · Answer

Oui, c'est fait exprès.

K3RB3ROS · Answer

okok voila le rapport

-->- Recherche: 

C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\ARBARNI\Bureau\Chasse aux virus\SdFix.exe: trouvé !
C:\Documents and Settings\ARBARNI\Bureau\Chasse aux virus\HijackThis.lnk: trouvé !
C:\Documents and Settings\ARBARNI\Bureau\Chasse aux virus\ComboFix.exe: trouvé !
C:\Documents and Settings\ARBARNI\Bureau\Chasse aux virus\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\ARBARNI\Bureau\Chasse aux virus\SmitFraudfix: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\ARBARNI\Bureau\Chasse aux virus\SdFix.exe: supprimé !
C:\Documents and Settings\ARBARNI\Bureau\Chasse aux virus\HijackThis.lnk: supprimé !
C:\Documents and Settings\ARBARNI\Bureau\Chasse aux virus\ComboFix.exe: supprimé !
C:\Documents and Settings\ARBARNI\Bureau\Chasse aux virus\SmitFraudFix.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Qoobox: supprimé !
C:\_OtMoveIt: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\ARBARNI\Bureau\Chasse aux virus\SmitFraudfix: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Destrio5 · Answer

Ok.

K3RB3ROS · Answer

ca y est jai tout fais

il te faut un rapport ?

Destrio5 · Answer

Non mais c'est pour les mises à jour Windows, c'est quand même embêtant.

Vérifie que ton mode sans échec fonctionne.

K3RB3ROS · Answer

okok je vais tester

mais c a d ? je lance juste le mode sans echec ? ou je test le mode sans echec avec trucs internet pour voir si les MAJ marchent ?

ps: dsl je suis long a la detente :/

Destrio5 · Answer

Non, tu vas juste en mode sans échec pour voir s'il fonctionne.

Pour les mises à jour, tu iras sur Windows Update.

K3RB3ROS · Answer

lol
bon je vais passer pour un con...

je reboot en mode sans échec et je test windows update ?
ou je reboot windows normalement et je test ?

et

les instructions de ton message n°67, je devais les faire en mode sans échec ?


parce que la je viens de tester windows update en mode sans échec : aucun résultat (normal :/)
je test a nouveau windows update en mode normal : aucune maj... (normal je les fais manuellement...)

Destrio5 · Answer

"parce que la je viens de tester windows update en mode sans échec"
---> Ça veut dire que le mode sans échec fonctionne, c'est ça que je voulais savoir.

K3RB3ROS · Answer

ha ok ok

oui oui le mode sans échec fonctionne :)  \o/

Destrio5 · Answer

Bonne traque avec g!rly ;)

K3RB3ROS · Answer

lol

serieusement ?!

okok bun merci pour ton aide destrio5 :)

bonne continuation a toi ;)

Destrio5 · Answer

Sur l'autre topic, g!rly veut t'aider.

K3RB3ROS · Answer

oui oui j'ai vu ;)


Problème partiellement résolu !!!!

merci a Destrio5 :)

suite du topic ici ----> http://www.commentcamarche.net/forum/affich 7710959 win32 trojan gen other suite?page=2#33

Virus Win32:Trojan-gen. {Other}

81 réponses

Discussions similaires