win32:rootkit-gen[RTK] Résolu/Fermé

Question

Bonjour,

Je viens d'acheter un nouveau pc et et les virus ne perde pas leur temps ^^ !
Je possède avast antivirus version 4.8

Nom: Klif.sys
localisation : c:\windows\system32\drivers
virus: win32:rootkit-gen [RTK]

J'ai essayé de le supprimer et de le mettre en quarantaine avec avast mais rien n'y fait il réapparait sans cesse!
Quelqu'un serait-il la procédure a suivre pour le supprimer définitivement ?

Merci pour votre aide!

jorginho67 · Accepted Answer

Salut ! Ouais, pas très cool.... Juste pour info : Vu sur des versions non officielles... Voici une information concernant un faux positif détecté par Avast Win32:Rootkit-gen[Rtk] sur svchost.exe Sign of "Win32:Rootkit-gen[Rtk]" has been found in "C:\windows\system32\svchost.exe" file. A ne surtout pas supprimer . Mettre à Jour votre Antivirus Clique sur ce lien : Avast repare svchost.exe --> https://support.avast.com/avast_maintenance_page?startURL=%2Findex.php%3F_m%3Dknowledgebase%26_a%3Dviewarticle%26kbarticleid%3D307%253Fthread Décompresse le fichier et clique sur copyfile.bat Puis clique droit sur les trois fichiers .reg et accepte la fusion avec la base de registre. ( Merci Le Sioux ). @+

sKe69 · Answer

Salut,

Télécharges et installes le logiciel HijackThis : 
 
ici : ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici : http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici : https://www.clubic.com/telecharger-fiche17891-hijackthis.html

1- Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : "C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .
Supprimes le raccourcis stp ...

Important :
Renommer le prg HijackThis (pour contrer une éventuelle infection Vundo): 
Rends toi sur ton PC ici "C:\ program files\Trend Micro\HijackThis\HijackThis.exe"<---cliques droit sur ce dernier et choisis "renommer" : tapes monjack et valides .
Puis cliques droit sur "monjack.exe" et choisis "envoyer vers" -> le bureau ( créer un raccourci ). 

tuto pour utilisation 
Regardes ici, c'est parfaitement expliqué en images (merci balltrap34) :
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

2-!! Déconnectes toi et fermes toute tes applications en cours !!

Cliques sur le raccourci du bureau pour lancer le prg :
fais un scan "monjack" (ou HijackThis renommé) en cliquant sur : "Do a system scan and save a logfile" 

---> Postes le rapport généré pour analyse ...

darksqual · Answer

Voila

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:54:12, on 25/08/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20815)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: ;Tag&rename
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
O4 - HKUS\S-1-5-19\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Global Startup: Utilitaire sans fil Belkin.lnk = C:\Program Files\Belkin\F5D8001v2\Belkinwcui.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

sKe69 · Answer

Vu ...

Déjà , version de Xp Cracké ! T'as pas finis d'être emmerder vu que les failles de sécurité ont été exploitées pour pirater le système ... ;)

plusieurs infections ...

commences par ce-ci :

->Avoir accès aux fichiers cachés :
 
Vas dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage 
* "Afficher les fichiers et dossiers cachés" ---> coché 
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché 
* "masquer les fichiers du système" ---> décoché
-> valides la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... ) 

*************************************************
Puis fais ce qui suit :

A-Télécharges le patch "Amvo variants" sur ton bureau : 
http://www.net-studio.org/software/AmvoRemover.rar 

Extrais l'exécutable sur ton bureau et n 'y touches pas pour le moment . 

Attention :
Si tu possèdes des unité externes (clé usb , disk dur externe , lecteur mp3,...) laisses les bien branchées à ton PC , c'est très important ! le virus s'y cache peut-être ... 

B-Redémarrer l'ordinateur en mode sans échec (et sans prise en charge du réseau) .
Comment aller en Mode sans échec 
1) Redémarre ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreur ...) 

C- Lances le Patch en double clickant dessus et laisses faire . 

Une fois finis, redémarres ton PC et refais un nouveau scan Hijacthis et postes le ...

darksqual · Answer

En effet je viens de monter ce pc piece par piece mais c'est un ami qui ma installer le windows et je n'es pas fait gaffe a sa version ^^!

Apres avoir démarré en mode sans echec je lance le patch mais impossible de linstaller je tombe sur ce message

" Windows - lecteur non pret

Exception processing message xxxxxxxxx...."  (les X sont des chiffres et des lettres)

:(

sKe69 · Answer

Il faut que tu faces clique droit sur "AmvoRemover.rar"  -> extraire tout sur ton bureau AVANT d'aller en mode sans échec ! ...

Donc supprimes le patch et le .rar et recommences la manipe stp ....

darksqual · Answer

C'est ce que j'ai fait pourtant !

Je refais une tentative et je te donne des nouvelles dans 5 minutes
Merci

darksqual · Answer

toujours le meme message...

J'ai extrait le .exe sur mon bureau, je redémarre le pc en tapotant f8 je lance en mode sans echec, je double clic sur le patch puis je clique sur patché et la je tombe sur ce message.

sKe69 · Answer

bon ... il doit avoir un prb à l'extraction ...  

Supprimes le patch ( .exe ) et il faut que l'archive AmvoRemover.rar soit sur ton bureau ...

on va faire une dernière tentative :

Télécharges ce petit logiciel " 7-Zip " (gratuit) pour extraire des archives, et installes le :
http://www.commentcamarche.net/telecharger/telecharger 91 7zip

Après l'installe , 
-> cliques droit sur "AmvoRemover.rar" et utilises "7-Zip" pour extraire ( " extraire ici " )

Puis reprends la manipe ...

darksqual · Answer

encore et encore le meme message....

Quand je fait f8 avant d'arrivé a la selection du mode sans echec j'arrive d'abord a une page qui me demande si je veux booter sur "1st floppy drive / ou mon dd ou mon dd externe" je sais pas si ca peux causer le probleme j'ai essayé avec les trois...sans succès

sKe69 · Answer

Changeons le fusil d'épaule ...

Toujours tes unités externes branché , sans les ouvrir ...

Télécharges SmitfraudFix (de S!Ri, balltrap34 et moe31 ) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

!! Déconnectes toi, fermes toute tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!

Installes le soft à la racine de C\ ( et pas ailleurs! --->"C\:SmitfraudFix.exe" ) .

Tuto ( aide ) : http://siri.urz.free.fr/Fix/SmitfraudFix.php
 
Utilisation ---> option 1 / Recherche : 
Double clique sur l'icône "Smitfraudfix.exe" et sélectionnes 1 (et pas sur autre chose sans notre accord !) pour créer un rapport des fichiers responsables de l'infection.
 
Postes le rapport ( "rapport.txt" qui se trouve sous C\: ) et attends la suite . 

(Attention : process.exe, un composant de l'outil, est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)

darksqual · Answer

SmitFraudFix v2.339

Rapport fait à 10:24:13,37, 25/08/2008
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\Belkin\F5D8001v2\Belkinwcui.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
D:\Philippe\SmitfraudFix\Policies.exe
C:\WINDOWS\explorer.exe
C:\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1  hk.digitaltrends.com
127.0.0.1  microsoft.com.org
127.0.0.1  www.www.microsoft.com.org
127.0.0.1	legal-at-spybot.info
127.0.0.1	www.legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Atheros AR8121/AR8113 PCI-E Ethernet Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.0.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{369A852C-D7F7-4DAA-B6F2-83AD0CFAC7BD}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{369A852C-D7F7-4DAA-B6F2-83AD0CFAC7BD}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{369A852C-D7F7-4DAA-B6F2-83AD0CFAC7BD}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{47DB7C90-AE81-4AD1-BBFD-98200E6BABEF}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

sKe69 · Answer

bon ... fichier Hosts corrompu ... c'était à prévoir ...

1- pour réparer le mode sans échec car semble avoir un prb : 
Cliques droit sur ce lien :
http://www.malekal.com/download/SafeBoot.reg 
Et choisis " enregistrer la cible sous " afin de télécharger "SafeBoot.reg" sur ton Bureau . 
Doubles cliques sur ce .reg et acceptes la fusion avec le registre 


2- Suite de la manipe ( nettoyage ), fais exactement ce qui suit : 

* Impératif : Redémarrer l'ordinateur en mode sans échec . 
Comment aller en Mode sans échec 
1) Redémarre ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 
( ps : n'oublies pas , en mode sans échec , pas de connexion ! Donc copies ou imprimes bien les info ci-dessous ...)

*Double click sur SmitfraudFix.exe 

* Sélectionnes 2 et presses "Entrée" dans le menu pour supprimer les fichiers responsables de l'infection. 

* A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et presser Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection. 

( Le correctif déterminera si le fichier wininet.dll est infecté.)
 
* A la question: "Corriger le fichier infecté ?" répondre O (oui) et presser Entrée 
pour remplacer le fichier corrompu. 

* Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage ( sinon fais le manuellement ) 

Le rapport se trouve à la racine de C\: 
(dans le fichier "rapport.txt") 

Postes moi ce dernier rapport ( surtout le début et la fin car il sera très long, tu ne pourras pas le poster en entier )

Postes moi dans une autre réponse , un nouveau rapport 
hijackthis ( fais en mode normal ) et attends les instructions ...

darksqual · Answer

Petite frayeur! Apres le redemarrage mon dd c'est eteint pour laisser place a un message derreur " stop: d0000144 unknown hard error" j'ai reboot et ca remarche ouf lol !

Il ne ma pas demandé "corriger les fichiers infectée" j'ai eu droit uniquement a "nettoyé le registre"

Voici le rapport

SmitFraudFix v2.339

Rapport fait à 10:40:29,10, 25/08/2008
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1  localhost

127.0.0.1  ad.a8.net
127.0.0.1  asy.a8ww.net
127.0.0.1  www.abx4.com #[Adware.ABXToolbar]
127.0.0.1  acezip.net #[SiteAdvisor.acezip.net]
127.0.0.1  www.acezip.net #[Win32/Adware.180Solutions]
127.0.0.1  phpadsnew.abac.com
127.0.0.1  a.abnad.net
127.0.0.1  b.abnad.net
127.0.0.1  c.abnad.net #[eTrust.Tracking.Cookie]
127.0.0.1  d.abnad.net
127.0.0.1  e.abnad.net
127.0.0.1  t.abnad.net
127.0.0.1  banners.absolpublisher.com
127.0.0.1  tracking.absolstats.com
127.0.0.1  adv.abv.bg
127.0.0.1  bimg.abv.bg
127.0.0.1  www2.a-counter.kiev.ua
127.0.0.1  accuserveadsystem.com
127.0.0.1  www.accuserveadsystem.com
127.0.0.1  gtb5.acecounter.com
127.0.0.1  gtcc1.acecounter.com
127.0.0.1  gtp1.acecounter.com #[eTrust.Tracking.Cookie]
127.0.0.1  acestats.com
127.0.0.1  www.acestats.com
127.0.0.1  achmedia.com
127.0.0.1  ads.active.com
127.0.0.1  am1.activemeter.com
127.0.0.1  www.activemeter.com #[eTrust.Tracking.Cookie]
127.0.0.1  ads.activepower.net
127.0.0.1  stat.active24stats.nl #[eTrust.Tracking.Cookie]
127.0.0.1  web.acumenpi.com #[AdvertPro]
127.0.0.1  ad.ad24.ru
127.0.0.1  at.ad2click.nl
127.0.0.1  cms.ad2click.nl
127.0.0.1  banner.ad.nu
127.0.0.1  ad-up.com
127.0.0.1  www.ad-up.com
127.0.0.1  www.adagencypro.com
127.0.0.1  ads.adap.tv
127.0.0.1  vad.adbasket.net
127.0.0.1  ad.pop1.adbn.ru
127.0.0.1  adserv.adbonus.com
127.0.0.1  www.adbonus.com
127.0.0.1  james.adbutler.de #[Tenebril.TrackingCookie]
127.0.0.1  www.adbutler.de #[SunBelt.AdButler.de]
127.0.0.1  adc2.adcentriconline.com
127.0.0.1  adcp.adcentriconline.com
127.0.0.1  bell.adcentriconline.com #[Wildcard DNS]
127.0.0.1  content.adcentriconline.com
127.0.0.1  media.adcentriconline.com
127.0.0.1  publicis.adcentriconline.com
127.0.0.1  ad-clix.com
127.0.0.1  www.ad-clix.com
127.0.0.1  adcomplete.com
127.0.0.1  www.adcomplete.com
127.0.0.1  axa.addcontrol.net #[Ewido.TrackingCookie.Addcontrol]
127.0.0.1  ads.addynamix.com #[SpySweeper.Spy.Cookie]
127.0.0.1  e13.media.addynamix.com
127.0.0.1  www.adeos.eu
127.0.0.1  adcode.adengage.com
127.0.0.1  stats2.adengage.com
127.0.0.1  www.adengage.com
127.0.0.1  pt.server1.adexit.com
127.0.0.1  www.adexit.com
127.0.0.1  www.ad4ever.com
127.0.0.1  track.adform.net
127.0.0.1  adfun.ru
127.0.0.1  ad1.adfun.ru
127.0.0.1  ad2.adfun.ru
127.0.0.1  ad3.adfun.ru
127.0.0.1  ad4.adfun.ru
127.0.0.1  harvest.adgardener.com
127.0.0.1  harvest6.adgardener.com
127.0.0.1  harvest7.adgardener.com
127.0.0.1  harvest8.adgardener.com
127.0.0.1  harvest11.adgardener.com
127.0.0.1  harvest12.adgardener.com
127.0.0.1  harvest13.adgardener.com
127.0.0.1  harvest163.adgardener.com
127.0.0.1  harvest176.adgardener.com
127.0.0.1  seeds.adgardener.com
127.0.0.1  www.adgroups.net
127.0.0.1  www.ad-groups.com #[Ban Man Pro Banner Code]
127.0.0.1  host1.adhese.be #[Adhese Datamine Tag]
127.0.0.1  host2.adhese.be
127.0.0.1  host3.adhese.be #[ad.be.doubleclick.net]
127.0.0.1  host4.adhese.be
127.0.0.1  ads.adhsm.adhese.com
127.0.0.1  pool.adhsm.adhese.com
127.0.0.1  ssl3.adhost.com
127.0.0.1  www2.adhost.com
127.0.0.1  zone10.adicate.com
127.0.0.1  www.adimpact.com
127.0.0.1  adfarm1.adition.com
127.0.0.1  imagesrv.adition.com
127.0.0.1  ad.adition.net
127.0.0.1  hosting.adjug.com
127.0.0.1  tracking.adjug.com
127.0.0.1  adsearch.adkontekst.pl
127.0.0.1  community.adlandpro.com #[Ad-Aware Tracking.Cookie]
127.0.0.1  pk.adlandpro.com
127.0.0.1  te.adlandpro.com #[eTrust.Tracking.Cookie]
127.0.0.1  trafficex.adlandpro.com
127.0.0.1  www.adlandpro.com #[Ad-Aware Tracking.Cookie]
127.0.0.1  engine.adland.ru #[eTrust.Tracking.Cookie]
127.0.0.1  publicidad.adlead.com
127.0.0.1  www.adlimg03.com
127.0.0.1  classic.adlink.de
127.0.0.1  regio.adlink.de
127.0.0.1  west.adlink.de
127.0.0.1  rc.de.adlink.net #[eTrust.Tracking.Cookie]
127.0.0.1  tr.de.adlink.net
127.0.0.1  ads3.adman.gr #[eTrust.Tracking.Cookie]
127.0.0.1  r2d2.adman.gr
127.0.0.1  www.adminder.com #[SpySweeper.Spy.Cookie]
127.0.0.1  apps.admission.net #[Spotlight Ads]
127.0.0.1  appcache.admission.net
127.0.0.1  view.admission.net
127.0.0.1  rms.admeta.com #[admeta.basefarm.net][eTrust.Tracking.Cookie]
127.0.0.1  ads.admodus.com #[eTrust.Tracking.Cookie]
127.0.0.1  ad.adnet.biz #[eTrust.Tracking.Cookie]
127.0.0.1  engine.adnet.ru
127.0.0.1  ad2.adnetinteractive.com
127.0.0.1  ad.adnetwork.com.br
127.0.0.1  agoraua.adocean.pl
127.0.0.1  s1.ad.adocean.pl #[Ewido.Tracking.Cookie]
127.0.0.1  s1.advicepl.adocean.pl
127.0.0.1  s1.centrumcz.adocean.pl #[eTrust.Tracking.Cookie]
127.0.0.1  s1.cz.adocean.pl
127.0.0.1  s1.czgde.adocean.pl
127.0.0.1  s1.myao.adocean.pl
127.0.0.1  s1.pracuj.adocean.pl
127.0.0.1  s1.skgde.adocean.pl
127.0.0.1  s2.ad.adocean.pl
127.0.0.1  ad01.adonspot.com
127.0.0.1  ad02.adonspot.com
127.0.0.1  isohunt.adonspot.com #[server down?]
127.0.0.1  ab.adpro.com.ua
127.0.0.1  ac.adpro.com.ua #[server down?]
127.0.0.1  system.adquick.nl
127.0.0.1  www.adquest.nl
127.0.0.1  adx.adrenaline.cz
127.0.0.1  c.adroll.com
127.0.0.1  www.adsforindians.com
127.0.0.1  ad.adrefer.net
127.0.0.1  www.adreporting.com #[SunBelt.Adreporting.com]
127.0.0.1  cntr.adrime.com
127.0.0.1  images.adrime.com
127.0.0.1  ad.adriver.ru
127.0.0.1  www.adrotate.net
127.0.0.1  serv.ad-rotator.com #[SpySweeper.Spy.Cookie]
127.0.0.1  ad.ads8.com
127.0.0.1  vip.ads8.com
127.0.0.1  www.ads183.com
127.0.0.1  antevenio.flux.ads-click.com
127.0.0.1  acnetwork.flux.acsyndication.com
127.0.0.1  img.ads-click.com
127.0.0.1  ad.ads.dk
127.0.0.1  tdkads.ads.dk
127.0.0.1  adservercentral.com
127.0.0.1  banners.adservercentral.com
127.0.0.1  www.adservercentral.com #[SunBelt.adservercentral.com]
127.0.0.1  www.adservtech.com
127.0.0.1  adservicedomain.info
127.0.0.1  adsfac.net #[Facilitate Tracking Code]
127.0.0.1  images.adshuffle.com
127.0.0.1  this.content.served.by.adshuffle.com
127.0.0.1  adsaway.com #[HTML/TrojanDownloader.Agent.BP trojan]
127.0.0.1  www.adsaway.com #[Google.Warning]
127.0.0.1  adsfac.eu
127.0.0.1  www.adshot.de
127.0.0.1  network.adsmarket.com
127.0.0.1  allchix.adsmax.com
127.0.0.1  www2.adsmax.com
127.0.0.1  www.adsodainteractive.com
127.0.0.1  www.adspace.be
127.0.0.1  g.adspeed.net
127.0.0.1  ads.adsponse.de
127.0.0.1  banner.adsrevenue.net
127.0.0.1  creative.adsrevenue.net
127.0.0.1  popunder.adsrevenue.net
127.0.0.1  adserve.adster.com
127.0.0.1  images.adster.com
127.0.0.1  adsvert.com
127.0.0.1  o.adtargeter.com
127.0.0.1  ads.adtiger.de
127.0.0.1  www.adtiger.de
127.0.0.1  ads.adgoto.com
127.0.0.1  adsrv.admindshare.com
127.0.0.1  adtology.com
127.0.0.1  adtology2.com
127.0.0.1  adtology3.com
127.0.0.1  www.adtology3.com
127.0.0.1  ad.adtoma.com
127.0.0.1  downldcl.adtoolsinc.com
127.0.0.1  www.adtoolsinc.com
127.0.0.1  www.adtrade.net
127.0.0.1  www.adtrader.com
127.0.0.1  survey.advantageresearch.com
127.0.0.1  ad.adver.com.tw
127.0.0.1  www.adventideas.com #[Adcycle]
127.0.0.1  www.adversal.com
127.0.0.1  ads.advertise.net
127.0.0.1  www.advertisingspaces.net
127.0.0.1  www.advertisingstats.com
127.0.0.1  advertisingpurchase.com
127.0.0.1  ad.adverticum.net
127.0.0.1  img.adverticum.net
127.0.0.1  imgs.adverticum.net
127.0.0.1  www.advertising365.com
127.0.0.1  ads.advertisingforyou.info
127.0.0.1  ads.advertisingz.com
127.0.0.1  ad.advertstream.com
127.0.0.1  adviva.com
127.0.0.1  www.adviva.com
127.0.0.1  ads.adviva.net #[Panda.Spyware:Cookie/Adviva]
127.0.0.1  de.ads.adviva.net
127.0.0.1  adstats.adviva.net
127.0.0.1  www.traf.advscripts.com
127.0.0.1  ad.adworx.at
127.0.0.1  www.ad-z.de
127.0.0.1  banners.adzones.com
127.0.0.1  clicks.adzones.com
127.0.0.1  feeds.adzones.com
127.0.0.1  www.adzones.com
127.0.0.1  w.aeaer.com #[Google.Warning]
127.0.0.1  aeoworld.de
127.0.0.1  www.aeoworld.de #[W32/WMF-exploit]
127.0.0.1  banners.affilimatch.de
127.0.0.1  tracker.affistats.com #[msvrl.dll]
127.0.0.1  adz.afterdawn.net
127.0.0.1  ad.afy11.net
127.0.0.1  stats.agent.co.il
127.0.0.1  rmbannerserver.agestado.com.br
127.0.0.1  stats.agentinteractive.com
127.0.0.1  api.aggregateknowledge.com
127.0.0.1  aams1.aim4media.com
127.0.0.1  artwork.aim4media.com
127.0.0.1  www.aim4media.com #[SunBelt.Adserver.aim4media]
127.0.0.1  ads.airamerica.com
127.0.0.1  adserver.akqa.net #[Ad-Aware Tracking.Cookie]
127.0.0.1  download.alexa.com #[Trackware.Alexa][SPYW_ALEXA.A]
127.0.0.1  download.china.alibaba.com #[Adware.AlibabaTB][AdWare.ToolBar.Alibabar.b]
127.0.0.1  ad.alldanzradio.com
127.0.0.1  tracking.allposters.com
127.0.0.1  ad.allstar.cz
127.0.0.1  bokee.allyes.com
127.0.0.1  demoafp.allyes.com
127.0.0.1  eastmoney.allyes.com
127.0.0.1  smarttrade.allyes.com
127.0.0.1  sroomafp.allyes.com
127.0.0.1  taobaoafp.allyes.com
127.0.0.1  tom.allyes.com
127.0.0.1  uuseeafp.allyes.com
127.0.0.1  www.almondnetworks.com
127.0.0.1  www.almoso3h.com #[Trojan-PSW.Win32.VB.cl]
127.0.0.1  www.alsaloumainvestment.com #[Win32/SpamTool.Gadina]
127.0.0.1  ad.altervista.org
127.0.0.1  pqwaker.altervista.org
127.0.0.1  bantam.ai.net
127.0.0.1  fiona.ai.net
127.0.0.1  adimg.alice.it
127.0.0.1  adv.alice.it
127.0.0.1  altmedia101.com
127.0.0.1  adserver.alt.com
127.0.0.1  count1.altastat.com
127.0.0.1  feed1.altastat.com
127.0.0.1  www.alwayson-network.com
127.0.0.1  rcm.amazon.com
127.0.0.1  rcm-images.amazon.com
127.0.0.1  ads.amdmb.com
127.0.0.1  whos.amung.us #[WebBug]
127.0.0.1  advert.ananzi.co.za
127.0.0.1  advert2.ananzi.co.za
127.0.0.1  adserver.ancestry.com #[RealMedia]
127.0.0.1  adserver04.ancestry.com #[RealMedia]
127.0.0.1  www.andyhoppe.com
127.0.0.1  ads.angryape.com
127.0.0.1  banners.ads.angryape.com
127.0.0.1  www.antarasystems.com
127.0.0.1  www.anticlown.com
127.0.0.1  ads.antionline.com
127.0.0.1  junior.apk.net
127.0.0.1  www.arcadebannerexchange.com
127.0.0.1  ard114.info #[Spamdexing]
127.0.0.1  nu.arnostat.nl
127.0.0.1  demiurge.arstechnica.com
127.0.0.1  banner.arttoday.com
127.0.0.1  ads.asia1.com.sg
127.0.0.1  asimpleinternet.com #[Tenebril.SpecialOffers]
127.0.0.1  www.asimpleinternet.com
127.0.0.1  ads.ask.com #[sv-click.looksmart.com]
127.0.0.1  contextual.syndication.ask.com
127.0.0.1  www.asknew.com #[Spamdexing]
127.0.0.1  www.askyaya.com #[SunBelt.AskYaya]
127.0.0.1  ads.aspalliance.com
127.0.0.1  ads.associatedcontent.com
127.0.0.1  f.astaz.info #[Malicious.Links.Codec]
127.0.0.1  www.ati-etailer.de
127.0.0.1  dist.atlas-ia.com #[ADW_ATLAST.A]
127.0.0.1  www.atlas-ia.com #[Adware.OfferAgent][Adware-Atlas]
127.0.0.1  ads.auctionads.com
127.0.0.1  audiogalaxy.com
127.0.0.1  www.audiogalaxy.com
127.0.0.1  banners.audioholics.com
127.0.0.1  ads.auctioncity.co.nz
127.0.0.1  ads.autotrader.co.za
127.0.0.1  adserving.autotrader.com #[SunBelt.AdServing.AutoTrader.com]
127.0.0.1  www.avsads.com
127.0.0.1  engine.awaps.net
127.0.0.1  b3a70b.t.axf8.net
127.0.0.1  caea4e.t.axf8.net
127.0.0.1  fdff44.r.axf8.net
127.0.0.1  www.axill.com

.....

127.0.0.1	schuldentipps.de
127.0.0.1	www.searchdrive.info
127.0.0.1	www.securepccleaner.com
127.0.0.1	www.shuixian.net
127.0.0.1	shuixian.net
127.0.0.1	www.stromverbrauch.de
127.0.0.1	stromverbrauch.de
127.0.0.1	www.sudoku.de
127.0.0.1	sudoku.de
127.0.0.1	www.sudoku-jetzt.de
127.0.0.1	sudoku-jetzt.de
127.0.0.1	www.sudoku-welt.com
127.0.0.1	sudoku-welt.com
127.0.0.1	www.tattoo-paradies.de
127.0.0.1	tattoo-paradies.de
127.0.0.1	www.tattoo-server.com
127.0.0.1	tattoo-server.com
127.0.0.1	www.tattoos-paradies.de
127.0.0.1	tattoos-paradies.de
127.0.0.1	www.thespybot.com
127.0.0.1	www.tiere-infos.de
127.0.0.1	tiere-infos.de
127.0.0.1	www.trauergedichte.de
127.0.0.1	trauergedichte.de
127.0.0.1	www.verkehrsprofi.com
127.0.0.1	verkehrsprofi.com
127.0.0.1	www.verwandschafts-test.de
127.0.0.1	verwandschafts-test.de
127.0.0.1	www.vorlagen-archiv.com
127.0.0.1	vorlagen-archiv.com
127.0.0.1	www.vorlagen-paradies.de
127.0.0.1	vorlagen-paradies.de
127.0.0.1	www.vorlagen-world.de
127.0.0.1	vorlagen-world.de
127.0.0.1	www.wer-bumst-mich.de
127.0.0.1	wer-bumst-mich.de
127.0.0.1	www.xlarea.com
127.0.0.1	xlarea.com
127.0.0.1	www.xldd.com
127.0.0.1	xldd.com

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{369A852C-D7F7-4DAA-B6F2-83AD0CFAC7BD}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{47DB7C90-AE81-4AD1-BBFD-98200E6BABEF}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{369A852C-D7F7-4DAA-B6F2-83AD0CFAC7BD}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{47DB7C90-AE81-4AD1-BBFD-98200E6BABEF}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{369A852C-D7F7-4DAA-B6F2-83AD0CFAC7BD}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{47DB7C90-AE81-4AD1-BBFD-98200E6BABEF}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

darksqual · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:52:18, on 25/08/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20815)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\Belkin\F5D8001v2\Belkinwcui.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: ;Tag&rename
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
O4 - HKUS\S-1-5-19\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Global Startup: Utilitaire sans fil Belkin.lnk = C:\Program Files\Belkin\F5D8001v2\Belkinwcui.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

sKe69 · Answer

bien ... on continue :

-Télécharges SDFix sur ton bureau :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe. 

--->Double-cliques sur SDFix.exe et choisis "Install" .

( tuto ici : https://www.malekal.com/slenfbot-still-an-other-irc-bot/ )

Puis une fois l'installe faite ,
Impératif : redémarres en mode sans échec . 
Comment aller en Mode sans échec :
1) Redémarres ton ordi 
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
 
( ps : n'oublies pas , en mode sans échec , pas de connexion ! Donc copies ou imprimes bien les info ci-dessous ...) 

Ouvres le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double cliques sur RunThis.bat pour lancer le script. 
--->Tapes Y pour lancer le script ... 
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc :
presses une touche pour redémarrer quand il te le sera demandé . 

Le PC va mettre du temps avant de démarrer ( c'est normale ), après le chargement du Bureau presses une touche lorsque "Finished" s'affiche .

Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier C:\SDFix sous le nom "Report.txt".
Postes ce dernier dans ta prochaine réponse accompagné d'un nouveau rapport Hijakcthis pour analyse ...

darksqual · Answer

Je precise que si je suis en administrateur c parce que je n'es pas d'autre compte utilisateur ;)


[b]SDFix: Version 1.219 [/b]
Run by Administrateur on 25/08/2008 at 11:06

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File
Restoring Missing Security Center Service 

Rebooting


[b]Checking Files [/b]: 

Trojan Files Found:

C:\autorun.inf - Deleted





Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-25 11:08:56
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\Program Files\Bonjour\mDNSResponder.exe"="C:\Program Files\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\WINDOWS\system32\PnkBstrA.exe"="C:\WINDOWS\system32\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\WINDOWS\system32\PnkBstrB.exe"="C:\WINDOWS\system32\PnkBstrB.exe:*:Enabled:PnkBstrB"
"C:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe"="C:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM)"
"C:\Program Files\Sierra\FEARCombat\FEARMP.exe"="C:\Program Files\Sierra\FEARCombat\FEARMP.exe:*:Enabled:FEAR Combat"
"C:\Program Files\uTorrent\uTorrent.exe"="C:\Program Files\uTorrent\uTorrent.exe:*:Enabled:æTorrent"
"C:\Program Files\iTunes\iTunes.exe"="C:\Program Files\iTunes\iTunes.exe:*:Enabled:iTunes"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Sat 23 Aug 2008        90,366 ..SHR --- "C:\mnl6on3.com"
Mon 25 Aug 2008        90,120 ..SHR --- "C:
.com"
Sun  9 Mar 2008           236 A..H. --- "C:\Program Files\Fichiers communs\dx.reg"
Mon 25 Aug 2008        90,120 ..SHR --- "C:\WINDOWS\system32\ckvo.exe"
Mon 25 Aug 2008        84,992 ..SHR --- "C:\WINDOWS\system32\ckvo0.dll"
Mon 25 Aug 2008        84,992 ..SHR --- "C:\WINDOWS\system32\ckvo1.dll"

[b]Finished![/b]











Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:15:17, on 25/08/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20815)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32
otepad.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\Belkin\F5D8001v2\Belkinwcui.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
O4 - HKUS\S-1-5-19\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Global Startup: Utilitaire sans fil Belkin.lnk = C:\Program Files\Belkin\F5D8001v2\Belkinwcui.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

sKe69 · Answer

Ok ...

Essayes ce-ci :

Télécharger le Logiciel Kavokiller :
pour le Télécharger:
http://home.cdl.ch/cw/wp-content/uploads/File/kavo_killer.zip

--> Extraire le contenu du .ZIP sur votre bureau ( et pas ailleur ! )

-> Impératif : Redemarrer en mode sans echec :
Comment aller en Mode sans échec
1) Redémarres ton ordi
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreur ...)

Important :
!! Connecter vos médias amovibles (Clé USB, Disque dur externe, Ipod...) sans les ouvrir !!
( car le ver s'y cache surement ... )

-> double-cliquer sur "kavo_killer" : une fenêtre s'ouvre (avec plein de truc écrit en chinois).
cliquez sur le panda
une autre fenêtre apparait avec des points d'interrogations > cliquez sur ok

Une fois terminé , redémarres ton ordi ( retour mode normal ) ...

--> dis moi ce que cela à donner et postes moi un nouvel hijackthis stp ...

darksqual · Answer

j'ai fais comme tu ma dis, ca n'a rien fait d'apparant...si ce n'est que avast a detecté ce logiciel comme etant un virus nommé "win32:rootkit-gen (other) "
voici le rapport 


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:35:52, on 25/08/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20815)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\Belkin\F5D8001v2\Belkinwcui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
O4 - HKUS\S-1-5-19\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Global Startup: Utilitaire sans fil Belkin.lnk = C:\Program Files\Belkin\F5D8001v2\Belkinwcui.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

sKe69 · Answer

bizard ...

Fais ce-ci maintenant :

Télécharges MalwareByte's : 
ici ftp://ftp.commentcamarche.com/download/mbam-setup.exe
ou ici : http://www.malwarebytes.org/mbam.php
 
Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour . 

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : https://www.malekal.com/tutorial-aboutbuster/ )

Potasses le tuto pour te familiariser avec le prg : https://forum.pcastuces.com/sujet.asp?f=31&s=3 
( cela dis, il est très simple d'utilisation ).

Impératif : redémarres en mode sans échec : 
Comment aller en Mode sans échec 
1) Redémarres ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...)
 
Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tout tes disks avant le scan )  et supprimes tout ce qu'il peut trouver, c.a.d :
--->une fois le scan terminé , click sur "résultat" : puis vérifies que tous les objets infectés soient validés, puis click sur " suppression " .

Redémarres ton PC ( mode normal ). 

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) accompagné d'un nouvel hijackthis ( fait en mode normal ) ...

darksqual · Answer

Mmmm de plus en plus bizar je peux meme pas installer le logiciel ca me dit 

"c:\.....\bureau\mbam-setup.exe n'est pas une application win32 valide....

sKe69 · Answer

Ahhh ? ... peut-être que tout s'explique ...


Fais ce-ci pour voir :

Télécharges FindB de Chiquitine29 sur ton bureau :

---> http://sd-1.archive-host.com/membres/up/116615172019703188/FindB.rar 


1) Extrait le contenu de l'archive sur ton bureau 

2) Double clic sur FindB 

3) Post le rapport FindB.txt dans ton prochain message 

note le rapport FindB.txt est sauvegardé a la racine du disque

darksqual · Answer

+- FindB mis a jours le  21/08/08 par Chiquitine29



+- Recherche de fichier infectueux :




+- Recherche dans : C:\WINDOWS\Prefetch :




+- Recherche dans : C:\WINDOWS\system32 :




+- Recherche dans : C:\WINDOWS\system32\drivers :




+- Recherche dans : C:\Documents and Settings\Administrateur\Application Data :


C:\Documents and Settings\Administrateur\Application Data\m\flec006.exe Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\list.oct Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\data.octt Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\srvlist.oct Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m Présent!! )
C:\Documents and Settings\Administrateur\Application Data\m\shared Présent!! )


+- Registre :


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    Alcmtr	REG_SZ	ALCMTR.EXE
    AppleSyncNotifier	REG_SZ	C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
    QuickTime Task	REG_SZ	"C:\Program Files\QuickTime\QTTask.exe" -atboottime
    iTunesHelper	REG_SZ	"C:\Program Files\iTunes\iTunesHelper.exe"
    avast!	REG_SZ	C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    TaskSwitchXP	REG_SZ	C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
    ctfmon.exe	REG_SZ	C:\WINDOWS\system32\ctfmon.exe
    RocketDock	REG_SZ	"C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
    amva	REG_SZ	C:\WINDOWS\system32\amvo.exe
    kamsoft	REG_SZ	C:\WINDOWS\system32\ckvo.exe


+- Registre, recherche Srosa :



+- Recherche terminee !



+- Execute le : 25/08/2008 a 12:07:03,95

sKe69 · Answer

Ok ... en plus tu es infecté par un bagle , ce qui explique les échecs précédant !

je ne sais pas ce que tu as fait avec ton PC , mais c'est la totale ! Et tu pourras dire merci à ton potes qui t'as installé un Windows cracké et deplus infecté par de belles sa****ries !  ^^ 

Donc , Infection par un bagle : 

1-IMPORTANT : 
je rappelle que bagle est amené par un crack et qu'il se relance dès que tu te sers de celui ci; même si tu ne sers pas, il peut se relancer de lui même au démarrage de ton PC . En claire : 
Essayes surtout de te rappeler si récemment tu n' as pas clicker sur un "patch" ou un "keygen" pour instaler un logiciel, un jeu cracké ou avoir une version complète d'un soft , et qu'il ne se soit rien passé de particulier ... C'est la que les bagles s'infiltrent ! Si tu retrouves ce crack en particulier ,scratch tout ( le crack, le soft ou encore les zip concernés). Si tu ne te rappelles plus trop , je te conseille fortement de supprimer tous les cracks qui sont sur ton PC ... ;)

Note : si tu as déjà le "Elibagla" sur ton PC -> supprimes le !!! 

2- tu vas faire ceci dans l'ordre indiqué et en respectant les consignes . 
Rends toi sur ce site : 
http://www.zonavirus.com/datos/descargas/95/elibagla.asp 

A -Tout en bas de cette page tu trouveras un outil à télécharger, 
cliques sur "Descargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour) 
choisis --->"enregistrer " ---> et enregistres le à la racine de ton disk dur et pas ailleur !
( c.a.d. ici -> C:\Elibagla.XXXXX.exe )

B- Puis clik droit sur ce dernier et choisi "renommé" : tapes " mdelk.exe " . 

Note :
/!\ Attention, un mauvais renommage rendra l'astuce et la désinfection inefficace !


Déconnectes toi et fermes toutes tes applications en cours (si tu en as ...). 


C- Pour exécuter Elibagla renommé : 

Appuyer simultanément sur les touches Windows (drapeau à côté de alt) + R (pour ouvrir le Menu Démarrer -> "Exécuter") 
Dans la boîte de dialogue "Exécuter" taper : cmd et valider
 
Dans la fenêtre de "l'invite de commande" qui s'ouvra, taper : 
C:\mdelk.exe  et Valider avec la touche [Entrée] 

L'outil ce lance :
-->laisses la case "eliminar ficheros automaticamente" coché  .
-->cliques sur " explorar " .
-->laisses-le travailler 
-->Enfin postes le rapport final qui sera dans " C:\infosat.txt " 

PS : Si, dans le rapport, tu vois un texte semblable à celui-ci 

Por favor, envienos una muestra del fichero 
C:MuestrasHLDRRR.EXE.Muestra EliBagle v10.24 
a "virus@satinfo.es". Gracias; 

Envoies ce(s) fichier(s) (dans l'exemple C:MuestrasHLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es). 

--> L'outil a rencontré un fichier qu'il reconnaît mais ne sait pas encore éradiquer ... 

3- Une fois le scan terminé : redémarres le pc, c'est très important.
 
Avant l'apparition du bureau, Elibagla va se relancer et neutraliser le reste de l'infection. 
Dès que le menu principal d'Elibagla apparaîtra : 
- Laisser la case "Eliminar ficheros automaticamente" cochée 
- Clic sur "Explorar" pour lancer le scan complet du pc. 
Une fois le scan terminé, refermer l'outil pour permettre au bureau de réapparaître ...

--> postes ce nouveau rapport pour analyse et attends la suite ...

darksqual · Answer

premier rapport 


	  Mon Aug 25 12:32:14 2008
EliBagle v11.66  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Mon Aug 25 12:32:19 2008
EliBagle v11.66  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   3690
Nº Total de Ficheros:      30051
Nº de Ficheros Analizados: 4231
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0



je redemarre le pc

darksqual · Answer

au redémarrage le programme ne c'est pas relancé.... normal ?

sKe69 · Answer

Oui car les composantes principales du bagle ne sont plus apprement ... On va détruire les restes autrement ;)

Fais exactement ce qui suit :

Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleur !): 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clik droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix et valide . 

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe : 
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après  !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques C-Fix.exe ( = combofix.exe ) . 

Appuyes sur la touche Y (Yes) pour démarrer le scan . 

Attention : 
--> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
--> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire . 
--> si un message d'erreur windows apparait à un momment  : clik sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... ) 

Le rapport sera crée dans: C:\Combofix.txt 
 
Postes le rapport Combofix accompagné d'un nouveau rapport hijackthis pour analyse ...

darksqual · Answer

ComboFix 08-08-24.02 - Administrateur 2008-08-25 12:46:16.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.2557 [GMT 2:00] Endroit: C:\Documents and Settings\Administrateur\Bureau\C-Fix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\autorun.inf C:\InfoSat.txt C:\krg62.cmd C:\WINDOWS\system32\ckvo.exe C:\WINDOWS\system32\ckvo0.dll C:\WINDOWS\system32\ckvo1.dll D:\Autorun.inf D:\krg62.cmd D:\yssjnngm.cmd F:\83l3v.cmd F:\Autorun.inf F:\MS32DLL.dll.vbs F:\yssjnngm.cmd . ((((((((((((((((((((((((((((( Fichiers créés 2008-07-25 to 2008-08-25 )))))))))))))))))))))))))))))))))))) . 2008-08-25 12:17 . 2008-08-25 12:16 55,819 --a------ C:\mdelk.exe 2008-08-25 11:08 . 2008-08-25 11:08 d-------- C:\WINDOWS\system32\xircom 2008-08-25 11:08 . 2008-08-25 11:08 d-------- C:\WINDOWS\system32\oobe 2008-08-25 11:08 . 2008-08-25 11:08 d-------- C:\WINDOWS\system32 pp 2008-08-25 11:08 . 2008-08-25 11:08 d-------- C:\WINDOWS\msagent 2008-08-25 11:08 . 2008-08-25 11:08 d-------- C:\Program Files\microsoft frontpage 2008-08-25 11:06 . 2008-08-25 11:06 579,584 --a------ C:\WINDOWS\system32\dllcache\user32.dll 2008-08-25 11:05 . 2008-08-25 11:05 d-------- C:\WINDOWS\ERUNT 2008-08-25 10:58 . 2008-08-25 11:09 d-------- C:\SDFix 2008-08-25 10:24 . 2008-08-25 10:42 d-------- C:\SmitfraudFix 2008-08-25 10:24 . 2008-08-25 10:20 1,574,524 --a------ C:\SmitfraudFix.exe 2008-08-25 10:24 . 2008-08-25 10:41 892 --a------ C:\WINDOWS\system32 mp.reg 2008-08-25 10:22 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-08-25 10:22 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-08-25 10:22 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe 2008-08-25 10:22 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-08-25 10:22 . 2008-08-14 21:52 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe 2008-08-25 10:22 . 2008-08-18 12:19 82,432 --a------ C:\WINDOWS\system32\404Fix.exe 2008-08-25 10:22 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-08-25 10:22 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-08-25 10:22 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-08-25 10:04 . 2008-08-25 10:04 d-------- C:\Program Files\7-Zip 2008-08-25 08:47 . 2008-08-25 08:47 d-------- C:\Program Files\Trend Micro 2008-08-24 19:57 . 2008-08-25 08:10 90,120 -r-hs---- C: .com 2008-08-23 11:26 . 2008-08-23 10:40 90,366 -r-hs---- C:\mnl6on3.com 2008-08-21 19:05 . 2008-08-21 19:05 d-------- C:\Program Files\Belkin 2008-08-21 19:05 . 2006-08-16 14:44 572,160 --a------ C:\WINDOWS\system32 etmw143.sys 2008-08-21 19:05 . 2006-08-16 14:43 553,984 --a------ C:\WINDOWS\system32 etmw145.sys 2008-08-21 19:05 . 2006-08-16 14:43 553,984 --a------ C:\WINDOWS\system32\drivers\NETMW145.sys 2008-08-21 19:05 . 2006-09-15 14:04 105,716 --a------ C:\WINDOWS\system32\NetMW14x.inf 2008-08-21 19:05 . 2006-10-17 19:52 8,485 --a------ C:\WINDOWS\system32 etmw14x.cat 2008-08-20 14:40 . 2008-08-20 14:40 d-------- C:\Program Files\Alwil Software 2008-08-20 14:40 . 2003-03-18 22:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll 2008-08-20 14:40 . 2003-03-18 21:14 499,712 --a------ C:\WINDOWS\system32\MSVCP71.dll 2008-08-20 14:40 . 2003-02-21 05:42 348,160 --a------ C:\WINDOWS\system32\MSVCR71.dll 2008-08-20 01:28 . 2008-08-20 01:28 d-------- C:\Logs 2008-08-19 13:32 . 2008-08-19 13:32 d-------- C:\Program Files\iPod 2008-08-19 12:39 . 2008-08-19 12:39 d-------- C:\Program Files\Safari 2008-08-18 19:20 . 2008-08-18 19:20 d-------- C:\Program Files\uTorrent 2008-08-18 19:20 . 2008-08-20 01:57 d-------- C:\Documents and Settings\Administrateur\Application Data\uTorrent 2008-08-18 18:56 . 2008-08-18 18:56 d-------- C:\Documents and Settings\Administrateur\Contacts 2008-08-18 18:54 . 2008-08-18 18:54 d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller 2008-08-18 18:53 . 2008-08-18 18:53 d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller 2008-08-18 16:19 . 2008-08-18 16:19 8,192 --a------ C:\WINDOWS\REGLOCS.OLD 2008-08-18 16:17 . 2008-08-18 16:17 0 --a------ C:\WINDOWS sreg.dat 2008-08-17 05:27 . 2008-08-20 01:36 d-------- C:\Program Files\World of Warcraft 2008-08-17 05:27 . 2008-08-17 05:27 d-------- C:\Program Files\Fichiers communs\Blizzard Entertainment 2008-08-16 15:19 . 2008-08-20 14:04 d-------- C:\Program Files\WowCartographe 2008-08-16 15:13 . 2008-03-09 06:25 236 --ah----- C:\Program Files\Fichiers communs\dx.reg 2008-08-16 15:07 . 2008-08-16 15:07 d-------- C:\Program Files\TeamSpeak 3 2008-08-16 15:07 . 2008-08-16 15:07 d-------- C:\Documents and Settings\Administrateur\Application Data eamspeak2 2008-08-16 07:11 . 2007-05-16 16:45 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll 2008-08-16 07:10 . 2005-05-26 15:34 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll 2008-08-16 07:10 . 2008-08-16 07:10 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-08-16 07:10 . 2008-08-16 07:10 22,328 --a------ C:\Documents and Settings\Administrateur\Application Data\PnkBstrK.sys 2008-08-16 07:09 . 2008-08-16 07:09 d-------- C:\WINDOWS\system32\LogFiles 2008-08-16 07:09 . 2008-08-16 07:10 103,736 --a------ C:\WINDOWS\system32\PnkBstrB.exe 2008-08-16 07:09 . 2008-08-16 07:09 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe 2008-08-16 07:09 . 2008-08-16 07:09 319 --a------ C:\WINDOWS\game.ini 2008-08-16 07:01 . 2008-08-16 07:01 d-------- C:\Program Files\Activision 2008-08-16 06:59 . 2008-08-16 06:59 d--hs---- C:\WINDOWS\ftpcache 2008-08-15 21:35 . 2008-08-15 21:35 d-------- C:\Documents and Settings\Administrateur\Application Data\vlc 2008-08-15 21:34 . 2008-08-15 21:34 d-------- C:\Program Files\VideoLAN 2008-08-15 13:20 . 2008-08-19 13:32 d-------- C:\Program Files\iTunes 2008-08-15 13:20 . 2008-08-15 13:20 d-------- C:\Documents and Settings\Administrateur\Application Data\Apple Computer 2008-08-15 13:20 . 2008-08-19 12:09 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-08-15 13:20 . 2008-08-15 13:20 1,409 --a------ C:\WINDOWS\QTFont.for 2008-08-15 13:19 . 2008-08-19 13:32 d-------- C:\Program Files\QuickTime 2008-08-15 13:19 . 2008-08-15 13:19 d-------- C:\Program Files\Fichiers communs\Apple 2008-08-15 13:19 . 2008-08-15 13:19 d-------- C:\Program Files\Bonjour 2008-08-15 13:19 . 2008-08-19 18:47 d-------- C:\Program Files\Apple Software Update 2008-08-15 13:19 . 2008-08-15 13:20 d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer 2008-08-15 13:19 . 2008-08-15 13:19 d-------- C:\Documents and Settings\All Users\Application Data\Apple 2008-08-15 13:19 . 2008-01-15 02:39 30,464 --a------ C:\WINDOWS\system32\drivers\usbaapl.sys 2008-08-15 08:46 . 2008-08-15 08:46 3,932,214 --a------ C:\WINDOWS\BricoPack Wallpaper.bmp 2008-08-15 08:46 . 2008-08-15 08:46 51,145 --a------ C:\WINDOWS\BricoPackUninst.cmd 2008-08-15 08:45 . 2008-08-15 08:45 d-------- C:\WINDOWS\BricoPacks 2008-08-15 08:45 . 2008-08-15 08:46 6,120 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd 2008-08-15 05:47 . 2008-08-15 05:47 d-------- C:\Documents and Settings\Administrateur\Application Data\Lavasoft 2008-08-15 05:42 . 2008-08-15 05:42 d-------- C:\WINDOWS\system32\Atheros_L1e 2008-08-15 05:42 . 2008-02-02 17:54 36,864 -ra------ C:\WINDOWS\system32\drivers\l1e51x86.sys 2008-08-15 05:32 . 2008-08-15 05:32 d-------- C:\Program Files\Realtek 2008-08-15 05:31 . 2008-03-05 20:07 520,192 -r------- C:\WINDOWS\RtlExUpd.dll 2008-08-15 05:31 . 2008-08-15 05:31 315,392 --a------ C:\WINDOWS\HideWin.exe 2008-08-15 05:27 . 2008-08-15 05:27 0 --a------ C:\WINDOWS\ativpsrm.bin 2008-08-15 05:26 . 2008-08-21 19:05 d--h----- C:\Program Files\InstallShield Installation Information 2008-08-15 05:26 . 2008-08-15 05:31 d-------- C:\Program Files\Fichiers communs\InstallShield 2008-08-15 05:26 . 2008-08-15 05:26 d-------- C:\Documents and Settings\Administrateur\Application Data\Xentient 2008-08-15 05:26 . 2008-05-15 03:37 3,107,788 -ra------ C:\WINDOWS\system32\ativvaxx.dat 2008-08-15 05:26 . 2008-05-15 03:37 3,107,788 -ra------ C:\WINDOWS\system32\ativva5x.dat 2008-08-15 05:26 . 2008-05-15 03:37 887,724 -ra------ C:\WINDOWS\system32\ativva6x.dat 2008-08-15 05:26 . 2008-05-14 21:05 593,920 --------- C:\WINDOWS\system32\ati2sgag.exe 2008-08-15 05:26 . 2008-05-15 04:12 413,696 -ra------ C:\WINDOWS\system32\ATIDEMGX.dll 2008-08-15 05:26 . 2008-05-15 03:57 307,200 -ra------ C:\WINDOWS\system32\atiiiexx.dll 2008-08-15 05:26 . 2008-04-28 23:09 172,033 -ra------ C:\WINDOWS\system32\atiicdxx.dat 2008-08-15 05:26 . 2008-05-06 19:41 12,787 -ra------ C:\WINDOWS\atiogl.xml 2008-08-15 05:26 . 2007-08-31 15:20 7,167 -ra------ C:\WINDOWS\system32\atifglpf.xml 2008-08-15 05:16 . 2008-08-15 05:16 d-------- C:\WINDOWS\ASUSInstAll 2008-08-15 05:13 . 2008-08-15 05:13 d-------- C:\Program Files\Intel 2008-08-15 05:13 . 2008-08-15 05:13 d-------- C:\Intel 2008-08-15 05:13 . 2008-03-26 05:15 53,248 -ra------ C:\WINDOWS\system32\CSVer.dll 2008-08-15 05:12 . 2008-08-15 05:16 36,807 --a------ C:\WINDOWS\Ascd_log.ini 2008-08-15 05:12 . 2008-08-15 05:40 36,447 --a------ C:\WINDOWS\Ascd_tmp.ini 2008-08-15 05:12 . 2007-12-28 17:22 10,296 --a------ C:\WINDOWS\system32\drivers\ASUSHWIO.SYS 2008-08-15 05:10 . 2008-08-15 05:10 d---s---- C:\WINDOWS\system32\Microsoft 2008-08-15 05:10 . 2008-08-15 05:10 d--hs---- C:\Documents and Settings\NetworkService 2008-08-15 05:10 . 2008-08-20 14:41 d--hs---- C:\Documents and Settings\LocalService 2008-08-15 05:10 . 2008-08-25 10:21 d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau 2008-08-15 05:10 . 2008-08-15 06:52 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression 2008-08-15 05:10 . 2008-08-15 05:03 d-------- C:\Documents and Settings\Administrateur ro.log 2008-08-15 05:10 . 2008-08-15 06:52 d--h----- C:\Documents and Settings\Administrateur\Modèles 2008-08-15 05:10 . 2008-08-18 18:57 dr------- C:\Documents and Settings\Administrateur\Mes documents 2008-08-15 05:10 . 2006-10-30 01:40 d-------- C:\Documents and Settings\Administrateur\Menu Démarrer 2008-08-15 05:10 . 2008-08-15 05:01 d-------- C:\Documents and Settings\Administrateur\IXP000.TMP 2008-08-15 05:10 . 2008-08-16 15:13 dr------- C:\Documents and Settings\Administrateur\Favoris 2008-08-15 05:10 . 2008-08-25 12:44 d-------- C:\Documents and Settings\Administrateur\Bureau 2008-08-15 05:10 . 2008-08-25 12:36 d-------- C:\Documents and Settings\Administrateur 2008-08-15 05:08 . 2008-08-15 06:52 d--h----- C:\WINDOWS\system32\config\systemprofile\Voisinage réseau 2008-08-15 05:08 . 2008-08-15 06:52 d--h----- C:\WINDOWS\system32\config\systemprofile\Voisinage d'impression 2008-08-15 05:08 . 2008-08-15 05:03 d-------- C:\WINDOWS\system32\config\systemprofile sy6FC.tmp 2008-08-15 05:08 . 2008-08-15 05:03 d-------- C:\WINDOWS\system32\config\systemprofile sw6FA.tmp 2008-08-15 05:08 . 2008-08-15 05:03 d-------- C:\WINDOWS\system32\config\systemprofile ro.log 2008-08-15 05:08 . 2008-08-15 06:52 d--h----- C:\WINDOWS\system32\config\systemprofile\Modèles 2008-08-15 05:08 . 2008-08-15 06:52 d-------- C:\WINDOWS\system32\config\systemprofile\Mes documents 2008-08-15 05:08 . 2006-10-30 01:40 d-------- C:\WINDOWS\system32\config\systemprofile\Menu Démarrer . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-15 06:46 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll 2008-08-15 04:25 --------- d-----w C:\Program Files\counter-strike 2008-08-15 02:56 --------- d-----w C:\Program Files\Windows Media Connect 2 2006-06-24 06:48 32,768 ----a-r C:\WINDOWS\inf\UpdateUSB.exe . ------- Sigcheck ------- 2008-05-03 00:57 818176 e6823e19ad276a9c4758d07c5ee08af2 C:\WINDOWS\system32\wininet.dll 2008-05-03 00:57 361344 accf5a9a1ffaa490f33dba1c632b95e1 C:\WINDOWS\system32\drivers cpip.sys 2008-05-03 00:57 2364928 3391f4ddea530297e720357f40ad06eb C:\WINDOWS\system32 tkrnlpa.exe 2008-05-03 00:57 2486272 2e36c8be37e4e86277e559462322375c C:\WINDOWS\system32 toskrnl.exe 2008-05-03 00:57 1012224 80168dbff613f671f1bcae0e169fb321 C:\WINDOWS\explorer.exe 2008-05-03 00:57 68440 84d9a61860272d6177d46c86b8431557 C:\WINDOWS\system32\wuauclt.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TaskSwitchXP"="C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-05 00:29 62976] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-05-03 00:57 15360] "RocketDock"="C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe" [2007-03-19 00:05 630784] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AppleSyncNotifier"="C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-22 20:42 116040] "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-05-27 10:50 413696] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-07-30 10:47 289064] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 16:38 78008] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "TaskSwitchXP"="C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-05 00:29 62976] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nltide_2"="shell32" [X] C:\Documents and Settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\ RocketDock.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-19 00:05:02 630784] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Utilitaire sans fil Belkin.lnk - C:\Program Files\Belkin\F5D8001v2\Belkinwcui.exe [2008-08-21 19:05:26 1576960] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoDesktopCleanupWizard"= 1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSMHelp"= 1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoSMHelp"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL] -r------- 2008-03-26 18:14 16859136 C:\WINDOWS\RTHDCPL.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\Network Diagnostic\xpnetdiag.exe"= "%windir%\system32\sessmgr.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "C:\Program Files\Bonjour\mDNSResponder.exe"= "C:\WINDOWS\system32\PnkBstrA.exe"= "C:\WINDOWS\system32\PnkBstrB.exe"= "C:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe"= "C:\Program Files\Sierra\FEARCombat\FEARMP.exe"= "C:\Program Files\uTorrent\uTorrent.exe"= "C:\Program Files\iTunes\iTunes.exe"= R0 Si3124;Si3124;C:\WINDOWS\system32\drivers\Si3124.sys [2008-05-03 00:57] R0 Si3132r5;Si3132r5;C:\WINDOWS\system32\drivers\Si3132r5.sys [2008-05-03 00:57] R0 Si3531;Si3531;C:\WINDOWS\system32\drivers\Si3531.sys [2008-05-03 00:57] R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37] R3 L1e;Miniport Driver for Atheros AR8121/AR8113 PCI-E Ethernet Controller;C:\WINDOWS\system32\DRIVERS\l1e51x86.sys [2008-02-02 17:54] R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 09:45] S3 NETMW145;Belkin N1 Wireless Desktop Card Service for Windows XP;C:\WINDOWS\system32\DRIVERS\NETMW145.sys [2006-08-16 14:43] *Newly Created Service* - PROCEXP90 . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' 2008-08-22 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34] . - - - - ORPHANS REMOVED - - - - Toolbar-ITBar7Layout - (no file) Toolbar-ITBar7Position - (no file) HKCU-Run-kamsoft - C:\WINDOWS\system32\ckvo.exe . ------- Supplementary Scan ------- . FireFox -: Profile - C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\k9fydjum.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr/ig FF -: plugin - C:\Program Files\iTunes\Mozilla Plugins pitunes.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-25 12:47:08 Windows 5.1.2600 Service Pack 3 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-08-25 12:47:32 ComboFix-quarantined-files.txt 2008-08-25 10:47:30 Pre-Run: 10,528,550,912 octets libres Post-Run: 10,515,927,040 octets libres 249

darksqual · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:49:17, on 25/08/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20815)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\Belkin\F5D8001v2\Belkinwcui.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKUS\S-1-5-19\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Global Startup: Utilitaire sans fil Belkin.lnk = C:\Program Files\Belkin\F5D8001v2\Belkinwcui.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

darksqual · Answer

En effet le bagle n'est plus apparent surement parce que j'ai supprimé tout mes crak et keygen ^^

Je reviens d'une lan... merci les lan c'est pour ca :p lol

darksqual · Answer

Vu l'heure tu as du prendre une pause miam !

Je ne suis pas un genie en informatique mais d'apres le rapport il me semble que ceci a marché? si tu peux me confirmer la chose lol!

En tout cas merci pour le temps que tu as passé pour m'aider et les reponses rapides !! je t'en remercie fortement!

sKe69 · Answer

la suite : 

1-Crées un doc texte sur ton bureau : 
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" . 

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer : 

File:: 
C:\mdelk.exe 
C:\Documents and Settings\Administrateur\Application Data\m\flec006.exe 
C:\Documents and Settings\Administrateur\Application Data\m\list.oct  
C:\Documents and Settings\Administrateur\Application Data\m\data.octt 
C:\Documents and Settings\Administrateur\Application Data\m\srvlist.oct 
c:\windows\system32\drivers\Klif.sys  

Folder:: 
C:\Documents and Settings\Administrateur\Application Data\m 
C:\Documents and Settings\Administrateur\Application Data\m\shared 

Driver::
Klif


Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : 
CFScript puis valides ...
 

2-Nettoyage :

!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENSES ( tu les réactiveras après )  !! 

--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe . 

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide. 

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!) 

!! Ne touches à rien tant que le scan n'est pas terminé !! 

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport HijackThis pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

darksqual · Answer

Je nest pas eu de fenetre bleu me demandant de choisir entre 1 et 2.... ca ma quand meme lance un scan ComboFix 08-08-24.02 - Administrateur 2008-08-25 13:33:39.2 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.2582 [GMT 2:00] Endroit: C:\Documents and Settings\Administrateur\Bureau\C-Fix.exe Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] FILE :: C:\Documents and Settings\Administrateur\Application Data\m\data.octt C:\Documents and Settings\Administrateur\Application Data\m\flec006.exe C:\Documents and Settings\Administrateur\Application Data\m\list.oct C:\Documents and Settings\Administrateur\Application Data\m\srvlist.oct C:\mdelk.exe c:\windows\system32\drivers\Klif.sys . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\mdelk.exe . ((((((((((((((((((((((((((((( Fichiers créés 2008-07-25 to 2008-08-25 )))))))))))))))))))))))))))))))))))) . 2008-08-25 11:08 . 2008-08-25 11:08 d-------- C:\WINDOWS\system32\xircom 2008-08-25 11:08 . 2008-08-25 11:08 d-------- C:\WINDOWS\system32\oobe 2008-08-25 11:08 . 2008-08-25 11:08 d-------- C:\WINDOWS\system32 pp 2008-08-25 11:08 . 2008-08-25 11:08 d-------- C:\WINDOWS\msagent 2008-08-25 11:08 . 2008-08-25 11:08 d-------- C:\Program Files\microsoft frontpage 2008-08-25 11:06 . 2008-08-25 11:06 579,584 --a------ C:\WINDOWS\system32\dllcache\user32.dll 2008-08-25 11:05 . 2008-08-25 11:05 d-------- C:\WINDOWS\ERUNT 2008-08-25 10:58 . 2008-08-25 11:09 d-------- C:\SDFix 2008-08-25 10:24 . 2008-08-25 10:42 d-------- C:\SmitfraudFix 2008-08-25 10:24 . 2008-08-25 10:20 1,574,524 --a------ C:\SmitfraudFix.exe 2008-08-25 10:24 . 2008-08-25 10:41 892 --a------ C:\WINDOWS\system32 mp.reg 2008-08-25 10:22 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-08-25 10:22 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-08-25 10:22 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe 2008-08-25 10:22 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-08-25 10:22 . 2008-08-14 21:52 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe 2008-08-25 10:22 . 2008-08-18 12:19 82,432 --a------ C:\WINDOWS\system32\404Fix.exe 2008-08-25 10:22 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-08-25 10:22 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-08-25 10:22 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-08-25 10:04 . 2008-08-25 10:04 d-------- C:\Program Files\7-Zip 2008-08-25 08:47 . 2008-08-25 08:47 d-------- C:\Program Files\Trend Micro 2008-08-24 19:57 . 2008-08-25 08:10 90,120 -r-hs---- C: .com 2008-08-23 11:26 . 2008-08-23 10:40 90,366 -r-hs---- C:\mnl6on3.com 2008-08-21 19:05 . 2008-08-21 19:05 d-------- C:\Program Files\Belkin 2008-08-21 19:05 . 2006-08-16 14:44 572,160 --a------ C:\WINDOWS\system32 etmw143.sys 2008-08-21 19:05 . 2006-08-16 14:43 553,984 --a------ C:\WINDOWS\system32 etmw145.sys 2008-08-21 19:05 . 2006-08-16 14:43 553,984 --a------ C:\WINDOWS\system32\drivers\NETMW145.sys 2008-08-21 19:05 . 2006-09-15 14:04 105,716 --a------ C:\WINDOWS\system32\NetMW14x.inf 2008-08-21 19:05 . 2006-10-17 19:52 8,485 --a------ C:\WINDOWS\system32 etmw14x.cat 2008-08-20 14:40 . 2008-08-20 14:40 d-------- C:\Program Files\Alwil Software 2008-08-20 14:40 . 2003-03-18 22:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll 2008-08-20 14:40 . 2003-03-18 21:14 499,712 --a------ C:\WINDOWS\system32\MSVCP71.dll 2008-08-20 14:40 . 2003-02-21 05:42 348,160 --a------ C:\WINDOWS\system32\MSVCR71.dll 2008-08-20 01:28 . 2008-08-20 01:28 d-------- C:\Logs 2008-08-19 13:32 . 2008-08-19 13:32 d-------- C:\Program Files\iPod 2008-08-19 12:39 . 2008-08-19 12:39 d-------- C:\Program Files\Safari 2008-08-18 19:20 . 2008-08-18 19:20 d-------- C:\Program Files\uTorrent 2008-08-18 19:20 . 2008-08-20 01:57 d-------- C:\Documents and Settings\Administrateur\Application Data\uTorrent 2008-08-18 18:56 . 2008-08-18 18:56 d-------- C:\Documents and Settings\Administrateur\Contacts 2008-08-18 18:54 . 2008-08-18 18:54 d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller 2008-08-18 18:53 . 2008-08-18 18:53 d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller 2008-08-18 16:19 . 2008-08-18 16:19 8,192 --a------ C:\WINDOWS\REGLOCS.OLD 2008-08-18 16:17 . 2008-08-18 16:17 0 --a------ C:\WINDOWS sreg.dat 2008-08-17 05:27 . 2008-08-20 01:36 d-------- C:\Program Files\World of Warcraft 2008-08-17 05:27 . 2008-08-17 05:27 d-------- C:\Program Files\Fichiers communs\Blizzard Entertainment 2008-08-16 15:19 . 2008-08-20 14:04 d-------- C:\Program Files\WowCartographe 2008-08-16 15:13 . 2008-03-09 06:25 236 --ah----- C:\Program Files\Fichiers communs\dx.reg 2008-08-16 15:07 . 2008-08-16 15:07 d-------- C:\Program Files\TeamSpeak 3 2008-08-16 15:07 . 2008-08-16 15:07 d-------- C:\Documents and Settings\Administrateur\Application Data eamspeak2 2008-08-16 07:11 . 2007-05-16 16:45 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll 2008-08-16 07:10 . 2005-05-26 15:34 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll 2008-08-16 07:10 . 2008-08-16 07:10 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-08-16 07:10 . 2008-08-16 07:10 22,328 --a------ C:\Documents and Settings\Administrateur\Application Data\PnkBstrK.sys 2008-08-16 07:09 . 2008-08-16 07:09 d-------- C:\WINDOWS\system32\LogFiles 2008-08-16 07:09 . 2008-08-16 07:10 103,736 --a------ C:\WINDOWS\system32\PnkBstrB.exe 2008-08-16 07:09 . 2008-08-16 07:09 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe 2008-08-16 07:09 . 2008-08-16 07:09 319 --a------ C:\WINDOWS\game.ini 2008-08-16 07:01 . 2008-08-16 07:01 d-------- C:\Program Files\Activision 2008-08-16 06:59 . 2008-08-16 06:59 d--hs---- C:\WINDOWS\ftpcache 2008-08-15 21:35 . 2008-08-15 21:35 d-------- C:\Documents and Settings\Administrateur\Application Data\vlc 2008-08-15 21:34 . 2008-08-15 21:34 d-------- C:\Program Files\VideoLAN 2008-08-15 13:20 . 2008-08-19 13:32 d-------- C:\Program Files\iTunes 2008-08-15 13:20 . 2008-08-15 13:20 d-------- C:\Documents and Settings\Administrateur\Application Data\Apple Computer 2008-08-15 13:20 . 2008-08-19 12:09 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-08-15 13:20 . 2008-08-15 13:20 1,409 --a------ C:\WINDOWS\QTFont.for 2008-08-15 13:19 . 2008-08-19 13:32 d-------- C:\Program Files\QuickTime 2008-08-15 13:19 . 2008-08-15 13:19 d-------- C:\Program Files\Fichiers communs\Apple 2008-08-15 13:19 . 2008-08-15 13:19 d-------- C:\Program Files\Bonjour 2008-08-15 13:19 . 2008-08-19 18:47 d-------- C:\Program Files\Apple Software Update 2008-08-15 13:19 . 2008-08-15 13:20 d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer 2008-08-15 13:19 . 2008-08-15 13:19 d-------- C:\Documents and Settings\All Users\Application Data\Apple 2008-08-15 13:19 . 2008-01-15 02:39 30,464 --a------ C:\WINDOWS\system32\drivers\usbaapl.sys 2008-08-15 08:46 . 2008-08-15 08:46 3,932,214 --a------ C:\WINDOWS\BricoPack Wallpaper.bmp 2008-08-15 08:46 . 2008-08-15 08:46 51,145 --a------ C:\WINDOWS\BricoPackUninst.cmd 2008-08-15 08:45 . 2008-08-15 08:45 d-------- C:\WINDOWS\BricoPacks 2008-08-15 08:45 . 2008-08-15 08:46 6,120 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd 2008-08-15 05:47 . 2008-08-15 05:47 d-------- C:\Documents and Settings\Administrateur\Application Data\Lavasoft 2008-08-15 05:42 . 2008-08-15 05:42 d-------- C:\WINDOWS\system32\Atheros_L1e 2008-08-15 05:42 . 2008-02-02 17:54 36,864 -ra------ C:\WINDOWS\system32\drivers\l1e51x86.sys 2008-08-15 05:32 . 2008-08-15 05:32 d-------- C:\Program Files\Realtek 2008-08-15 05:31 . 2008-03-05 20:07 520,192 -r------- C:\WINDOWS\RtlExUpd.dll 2008-08-15 05:31 . 2008-08-15 05:31 315,392 --a------ C:\WINDOWS\HideWin.exe 2008-08-15 05:27 . 2008-08-15 05:27 0 --a------ C:\WINDOWS\ativpsrm.bin 2008-08-15 05:26 . 2008-08-25 13:00 d--h----- C:\Program Files\InstallShield Installation Information 2008-08-15 05:26 . 2008-08-15 05:31 d-------- C:\Program Files\Fichiers communs\InstallShield 2008-08-15 05:26 . 2008-08-15 05:26 d-------- C:\Documents and Settings\Administrateur\Application Data\Xentient 2008-08-15 05:26 . 2008-05-15 03:37 3,107,788 -ra------ C:\WINDOWS\system32\ativvaxx.dat 2008-08-15 05:26 . 2008-05-15 03:37 3,107,788 -ra------ C:\WINDOWS\system32\ativva5x.dat 2008-08-15 05:26 . 2008-05-15 03:37 887,724 -ra------ C:\WINDOWS\system32\ativva6x.dat 2008-08-15 05:26 . 2008-05-14 21:05 593,920 --------- C:\WINDOWS\system32\ati2sgag.exe 2008-08-15 05:26 . 2008-05-15 04:12 413,696 -ra------ C:\WINDOWS\system32\ATIDEMGX.dll 2008-08-15 05:26 . 2008-05-15 03:57 307,200 -ra------ C:\WINDOWS\system32\atiiiexx.dll 2008-08-15 05:26 . 2008-04-28 23:09 172,033 -ra------ C:\WINDOWS\system32\atiicdxx.dat 2008-08-15 05:26 . 2008-05-06 19:41 12,787 -ra------ C:\WINDOWS\atiogl.xml 2008-08-15 05:26 . 2007-08-31 15:20 7,167 -ra------ C:\WINDOWS\system32\atifglpf.xml 2008-08-15 05:16 . 2008-08-15 05:16 d-------- C:\WINDOWS\ASUSInstAll 2008-08-15 05:13 . 2008-08-15 05:13 d-------- C:\Program Files\Intel 2008-08-15 05:13 . 2008-08-15 05:13 d-------- C:\Intel 2008-08-15 05:13 . 2008-03-26 05:15 53,248 -ra------ C:\WINDOWS\system32\CSVer.dll 2008-08-15 05:12 . 2008-08-15 05:16 36,807 --a------ C:\WINDOWS\Ascd_log.ini 2008-08-15 05:12 . 2008-08-15 05:40 36,447 --a------ C:\WINDOWS\Ascd_tmp.ini 2008-08-15 05:12 . 2007-12-28 17:22 10,296 --a------ C:\WINDOWS\system32\drivers\ASUSHWIO.SYS 2008-08-15 05:10 . 2008-08-15 05:10 d---s---- C:\WINDOWS\system32\Microsoft 2008-08-15 05:10 . 2008-08-15 05:10 d--hs---- C:\Documents and Settings\NetworkService 2008-08-15 05:10 . 2008-08-25 12:47 d--hs---- C:\Documents and Settings\LocalService 2008-08-15 05:10 . 2008-08-25 10:21 d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau 2008-08-15 05:10 . 2008-08-15 06:52 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression 2008-08-15 05:10 . 2008-08-15 05:03 d-------- C:\Documents and Settings\Administrateur ro.log 2008-08-15 05:10 . 2008-08-15 06:52 d--h----- C:\Documents and Settings\Administrateur\Modèles 2008-08-15 05:10 . 2008-08-18 18:57 dr------- C:\Documents and Settings\Administrateur\Mes documents 2008-08-15 05:10 . 2006-10-30 01:40 d-------- C:\Documents and Settings\Administrateur\Menu Démarrer 2008-08-15 05:10 . 2008-08-15 05:01 d-------- C:\Documents and Settings\Administrateur\IXP000.TMP 2008-08-15 05:10 . 2008-08-16 15:13 dr------- C:\Documents and Settings\Administrateur\Favoris 2008-08-15 05:10 . 2008-08-25 13:33 d-------- C:\Documents and Settings\Administrateur\Bureau 2008-08-15 05:10 . 2008-08-25 12:36 d-------- C:\Documents and Settings\Administrateur 2008-08-15 05:08 . 2008-08-15 06:52 d--h----- C:\WINDOWS\system32\config\systemprofile\Voisinage réseau 2008-08-15 05:08 . 2008-08-15 06:52 d--h----- C:\WINDOWS\system32\config\systemprofile\Voisinage d'impression 2008-08-15 05:08 . 2008-08-15 05:03 d-------- C:\WINDOWS\system32\config\systemprofile sy6FC.tmp 2008-08-15 05:08 . 2008-08-15 05:03 d-------- C:\WINDOWS\system32\config\systemprofile sw6FA.tmp 2008-08-15 05:08 . 2008-08-15 05:03 d-------- C:\WINDOWS\system32\config\systemprofile ro.log 2008-08-15 05:08 . 2008-08-15 06:52 d--h----- C:\WINDOWS\system32\config\systemprofile\Modèles 2008-08-15 05:08 . 2008-08-15 06:52 d-------- C:\WINDOWS\system32\config\systemprofile\Mes documents 2008-08-15 05:08 . 2006-10-30 01:40 d-------- C:\WINDOWS\system32\config\systemprofile\Menu Démarrer 2008-08-15 05:08 . 2008-08-15 05:01 d-------- C:\WINDOWS\system32\config\systemprofile\IXP000.TMP . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-25 11:01 --------- d-----w C:\Program Files\counter-strike 2008-08-15 06:46 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll 2008-08-15 02:56 --------- d-----w C:\Program Files\Windows Media Connect 2 2006-06-24 06:48 32,768 ----a-r C:\WINDOWS\inf\UpdateUSB.exe . ------- Sigcheck ------- 2008-05-03 00:57 818176 e6823e19ad276a9c4758d07c5ee08af2 C:\WINDOWS\system32\wininet.dll 2008-05-03 00:57 361344 accf5a9a1ffaa490f33dba1c632b95e1 C:\WINDOWS\system32\drivers cpip.sys 2008-05-03 00:57 2364928 3391f4ddea530297e720357f40ad06eb C:\WINDOWS\system32 tkrnlpa.exe 2008-05-03 00:57 2486272 2e36c8be37e4e86277e559462322375c C:\WINDOWS\system32 toskrnl.exe 2008-05-03 00:57 1012224 80168dbff613f671f1bcae0e169fb321 C:\WINDOWS\explorer.exe 2008-05-03 00:57 68440 84d9a61860272d6177d46c86b8431557 C:\WINDOWS\system32\wuauclt.exe . ((((((((((((((((((((((((((((( snapshot@2008-08-25_12.47.17.18 ))))))))))))))))))))))))))))))))))))))))) . - 2008-08-25 10:41:29 61,074 ----a-w C:\WINDOWS\system32\perfc009.dat + 2008-08-25 10:49:06 61,074 ----a-w C:\WINDOWS\system32\perfc009.dat - 2008-08-25 10:41:29 73,570 ----a-w C:\WINDOWS\system32\perfc00C.dat + 2008-08-25 10:49:06 73,570 ----a-w C:\WINDOWS\system32\perfc00C.dat - 2008-08-25 10:41:29 398,554 ----a-w C:\WINDOWS\system32\perfh009.dat + 2008-08-25 10:49:06 398,554 ----a-w C:\WINDOWS\system32\perfh009.dat - 2008-08-25 10:41:29 465,206 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2008-08-25 10:49:06 465,206 ----a-w C:\WINDOWS\system32\perfh00C.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TaskSwitchXP"="C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-05 00:29 62976] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-05-03 00:57 15360] "RocketDock"="C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe" [2007-03-19 00:05 630784] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AppleSyncNotifier"="C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-22 20:42 116040] "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-05-27 10:50 413696] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-07-30 10:47 289064] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 16:38 78008] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "TaskSwitchXP"="C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-05 00:29 62976] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nltide_2"="shell32" [X] C:\Documents and Settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\ RocketDock.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-19 00:05:02 630784] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Utilitaire sans fil Belkin.lnk - C:\Program Files\Belkin\F5D8001v2\Belkinwcui.exe [2008-08-21 19:05:26 1576960] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoDesktopCleanupWizard"= 1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSMHelp"= 1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoSMHelp"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL] -r------- 2008-03-26 18:14 16859136 C:\WINDOWS\RTHDCPL.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\Network Diagnostic\xpnetdiag.exe"= "%windir%\system32\sessmgr.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "C:\Program Files\Bonjour\mDNSResponder.exe"= "C:\WINDOWS\system32\PnkBstrA.exe"= "C:\WINDOWS\system32\PnkBstrB.exe"= "C:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe"= "C:\Program Files\uTorrent\uTorrent.exe"= "C:\Program Files\iTunes\iTunes.exe"= R0 Si3124;Si3124;C:\WINDOWS\system32\drivers\Si3124.sys [2008-05-03 00:57] R0 Si3132r5;Si3132r5;C:\WINDOWS\system32\drivers\Si3132r5.sys [2008-05-03 00:57] R0 Si3531;Si3531;C:\WINDOWS\system32\drivers\Si3531.sys [2008-05-03 00:57] R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37] R3 L1e;Miniport Driver for Atheros AR8121/AR8113 PCI-E Ethernet Controller;C:\WINDOWS\system32\DRIVERS\l1e51x86.sys [2008-02-02 17:54] R3 NETMW145;Belkin N1 Wireless Desktop Card Service for Windows XP;C:\WINDOWS\system32\DRIVERS\NETMW145.sys [2006-08-16 14:43] R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 09:45] *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' 2008-08-22 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34] . - - - - ORPHANS REMOVED - - - - Toolbar-ITBar7Layout - (no file) Toolbar-ITBar7Position - (no file) ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-25 13:34:16 Windows 5.1.2600 Service Pack 3 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-08-25 13:34:33 ComboFix-quarantined-files.txt 2008-08-25 11:34:31 ComboFix2.txt 2008-08-25 10:47:33 Pre-Run: 15,090,696,192 octets libres Post-Run: 15,080,022,016 octets libres 249

sKe69 · Answer

ok ...

1- On va nettoyer les outils utilisés et repartir sur des bases propres ,

Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau. 
http://pc-system.fr/

Déconnectes toi et fermes bien toutes tes applications en cours .

Lances le . 
*Cliques sur Recherche et laisses le scan se terminer (cela peut être long). 
*Cliques sur Suppression pour finaliser. 
*Tu peux, si tu le souhaites, te servir des Options facultatives 
*Click sur "quitter" pour générer un rapport :
---> Postes le (TCleaner.txt), il se trouve à la racine de ton disque dur (C:\). 

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolsclaener2 n'a pas supprimé . 


2- Télécharges : - CCleaner 
https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première.
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ). 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 

---> Utilisation:
! déconnectes toi et fermes toutes applications en cours !
* vas dans "nettoyeur" : fait analyse puis nettoyage 
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

-> redémarre ton PC .


3- Tu vas retélécharger hijackthis ( car supprimeé par ToolsCleaner2) ,

Télécharges et installes le logiciel HijackThis : 

ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe 
ou ici  http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe 

-->Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation . 
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge . 
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : "C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan de suite ) 


4- refais ce-ci ( cela devrais marcher maintenant ) :

Télécharges MalwareByte's : 
ici ftp://ftp.commentcamarche.com/download/mbam-setup.exe
ou ici : http://www.malwarebytes.org/mbam.php
 
Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour . 

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : https://www.malekal.com/tutorial-aboutbuster/ )

Potasses le tuto pour te familiariser avec le prg : https://forum.pcastuces.com/sujet.asp?f=31&s=3 
( cela dis, il est très simple d'utilisation ).

Impératif : redémarres en mode sans échec : 
Comment aller en Mode sans échec 
1) Redémarres ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...)
 
Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tous tes disks avant le scan ! )  et supprimes tout ce qu'il peut trouver, c'est à dire :
-->Laisses le scan se terminer,puis à la fin tu cliques sur "résultat" . 
-->Vérifies que tous les objets infectés soient validés, puis cliques sur " suppression " .

Redémarres ton PC ( mode normal ). 

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) accompagné d'un nouvel hijackthis ( fait en mode normal ) ...

darksqual · Answer

-->- Recherche: 

C:\SmitFraudFix.exe: trouvé !
C:\Combofix.txt: trouvé !
C:\SDFIX: trouvé !
C:\SmitFraudfix: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\Administrateur\Bureau\SdFix.exe: trouvé !
C:\Documents and Settings\Administrateur\Recent\HijackThis.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
-->- Suppression: 

C:\SmitFraudFix.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\SdFix.exe: supprimé !
C:\Documents and Settings\Administrateur\Recent\HijackThis.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Combofix.txt: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\SDFIX: supprimé !
C:\SmitFraudfix: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

darksqual · Answer

Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1087
Windows 5.1.2600 Service Pack 3

16:14:13 25/08/2008
mbam-log-08-25-2008 (16-14-13).txt

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|F:\|)
Eléments examinés: 67369
Temps écoulé: 1 hour(s), 42 minute(s), 6 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
D:\System Volume Information\_restore{D57C5EF9-A875-4C09-B5E4-2D06C613207C}\RP50\A0004578.exe (Trojan.Agent) -> Quarantined and deleted successfully.









Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:24:51, on 25/08/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20815)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Program Files\Belkin\F5D8001v2\Belkinwcui.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKUS\S-1-5-19\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Global Startup: Utilitaire sans fil Belkin.lnk = C:\Program Files\Belkin\F5D8001v2\Belkinwcui.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

sKe69 · Answer

Bien ...

1- Fermes toutes tes applications et déconnectes toi .

Relances Hijackthis mais click sur " Do a scan only " 
Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide . 
Tu vas cliquer sur les carrés des lignes suivantes : 

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe 
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL') 
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU') 
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') 
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') 

O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU) 

Tu cliques en bas sur le bouton FIX CHECKED et valides .


2- Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Copies ce qui suit et colles le dans l'espace pour la recherche : 
C:\Program Files\Belkin\F5D8001v2\Belkinwcui.exe 

Cliques sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copies le dans ta prochaine réponse ... 

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )


3- Pour vérifier en profondeur,

Télécharge DiagHelp.zip sur ton bureau :
( note : si ton anti-virus s'affolle lors du téléchargement ou de l'installe, c'est normal , ignore l'alerte ).

-> http://www.malekal.com/download/DiagHelp.zip

!! déconnectes toi et fermes toutes tes applications en cours !!  

Fais un clic droit sur le fichier et extraire tout .

--> Un nouveau dossier va être créé : "DiagHelp"  
Ouvres le et double-clic sur go.cmd et pas sur autre chose ! (le .cmd peut ne pas apparaître )
 
--> Une fenêtre va s'ouvrir, choisis l'option 1 
L'analyse va commencer, ce-ci peut durer quelques minutes, laisses faire et appuies sur une touche quand on te le demandera : 
une page IE va s'ouvrir , fermes la . 
Re-appuis sur une touche, le bloc-note s'ouvre : 
Sauvegardes ce rapport de façon à le retrouver et postes tout son contenu dans ta prochaine réponse ...

darksqual · Answer

Antivirus  	Version  	Dernière mise à jour  	Résultat
AhnLab-V3	2008.8.21.0	2008.08.25	-
AntiVir	7.8.1.23	2008.08.25	-
Authentium	5.1.0.4	2008.08.25	-
Avast	4.8.1195.0	2008.08.25	-
AVG	8.0.0.161	2008.08.25	-
BitDefender	7.2	2008.08.25	-
CAT-QuickHeal	9.50	2008.08.25	-
ClamAV	0.93.1	2008.08.25	-
DrWeb	4.44.0.09170	2008.08.25	-
eSafe	7.0.17.0	2008.08.24	-
eTrust-Vet	31.6.6044	2008.08.23	-
Ewido	4.0	2008.08.25	-
F-Prot	4.4.4.56	2008.08.25	-
Fortinet	3.14.0.0	2008.08.25	-
GData	2.0.7306.1023	2008.08.20	-
Ikarus	T3.1.1.34.0	2008.08.25	-
K7AntiVirus	7.10.427	2008.08.23	-
Kaspersky	7.0.0.125	2008.08.25	-
McAfee	5368	2008.08.22	-
Microsoft	1.3807	2008.08.25	-
NOD32v2	3385	2008.08.25	-
Norman	5.80.02	2008.08.25	-
Panda	9.0.0.4	2008.08.25	-
PCTools	4.4.2.0	2008.08.25	-
Prevx1	V2	2008.08.25	-
Rising	20.59.00.00	2008.08.25	-
Sophos	4.32.0	2008.08.25	-
Sunbelt	3.1.1575.1	2008.08.23	-
Symantec	10	2008.08.25	-
TheHacker	6.3.0.6.060	2008.08.23	-
TrendMicro	8.700.0.1004	2008.08.25	-
VBA32	3.12.8.4	2008.08.25	-
ViRobot	2008.8.25.1348	2008.08.25	-
VirusBuster	4.5.11.0	2008.08.25	-
Webwasher-Gateway	6.6.2	2008.08.25	-
Information additionnelle
File size: 1576960 bytes
MD5...: d6ec4e6ebeddbbf7a10eb6ce8c5ec76f
SHA1..: 5ce3c4d5d6e6700eda3fff5a73fc6b637a8e5765
SHA256: 32c3a98ee33ca01ffa846d20b335deb7b7defae9297c6c502e35a5c51306131c
SHA512: 26dee23301a1fb7af23d67c7bc9a77fe092356df1324abbcf8f29b9f1cc21b12
45f3ff477f9c3044cb0f637a7fd162cff44eedf141a3a98c0834747c3c6fda55
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x468049
timedatestamp.....: 0x453debd0 (Tue Oct 24 10:32:48 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8eac3 0x8f000 6.33 a551bc7507d92c708fdf8c14aab597cf
.rdata 0x90000 0x1f2e4 0x20000 4.99 3b568a62dcfc6d8e6b8773adeba9d4f8
.data 0xb0000 0x6330 0x3000 4.16 672a9ef8ca533dda5dfe6db40779cdae
.rsrc 0xb7000 0xcdaf0 0xce000 3.58 2a0df1f9066ffc195ccad78153ff0952

( 19 imports )
> KERNEL32.dll: LoadLibraryA, FindClose, FindFirstFileA, GetSystemTime, GlobalFree, lstrcpyA, SetEvent, CreateEventA, GlobalAlloc, WaitForMultipleObjects, SystemTimeToTzSpecificLocalTime, FileTimeToSystemTime, DeleteFileA, MoveFileA, GetTickCount, TerminateThread, GlobalUnlock, GlobalLock, TerminateProcess, OpenProcess, GetSystemDirectoryA, GetPrivateProfileSectionA, VirtualAllocEx, ReadProcessMemory, VirtualFreeEx, InterlockedIncrement, ResetEvent, FreeResource, ResumeThread, GetWindowsDirectoryA, lstrcmpA, ReleaseMutex, CreateMutexA, MulDiv, lstrcpynA, HeapAlloc, SetLastError, GetCommandLineA, GetCurrentDirectoryA, FreeLibrary, GetCurrentProcess, FlushInstructionCache, GetCurrentThreadId, GetModuleHandleA, GetTempPathA, SetEnvironmentVariableA, SetStdHandle, IsBadCodePtr, IsBadReadPtr, GetFileType, SetHandleCount, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStdHandle, GetStringTypeA, UnhandledExceptionFilter, GetTimeZoneInformation, LCMapStringA, SetUnhandledExceptionFilter, IsBadWritePtr, VirtualFree, HeapCreate, HeapDestroy, GetCurrentProcessId, QueryPerformanceCounter, HeapSize, HeapReAlloc, GetStartupInfoA, CreateThread, ExitThread, GetDateFormatA, GetTimeFormatA, GetSystemTimeAsFileTime, CreateProcessA, WaitForSingleObject, CloseHandle, Sleep, RaiseException, DeleteCriticalSection, InitializeCriticalSection, GetLastError, LoadResource, LockResource, SizeofResource, FindResourceA, GetModuleFileNameA, lstrlenA, lstrcmpiA, CompareStringA, GetVersion, GetThreadLocale, GetLocaleInfoA, GetACP, InterlockedExchange, HeapFree, VirtualQuery, GetSystemInfo, VirtualAlloc, RtlUnwind, ExitProcess, GetFileTime, GetFileAttributesA, FileTimeToLocalFileTime, SetErrorMode, FindResourceExA, GetOEMCP, TlsFree, LocalReAlloc, TlsSetValue, TlsAlloc, TlsGetValue, EnterCriticalSection, GlobalHandle, GlobalReAlloc, LeaveCriticalSection, LocalAlloc, GlobalFlags, CreateFileA, GetFullPathNameA, GetVolumeInformationA, DuplicateHandle, GetFileSize, SetEndOfFile, UnlockFile, LockFile, FlushFileBuffers, SetFilePointer, WriteFile, ReadFile, WritePrivateProfileStringA, GetPrivateProfileIntA, GetCurrentThread, ConvertDefaultLocale, EnumResourceLanguagesA, VirtualProtect, SuspendThread, SetThreadPriority, InterlockedDecrement, GlobalGetAtomNameA, GlobalAddAtomA, GlobalFindAtomA, GlobalDeleteAtom, lstrcatA, CopyFileA, GlobalSize, FormatMessageA, LocalFree, GetVersionExA
> ADVAPI32.dll: RegEnumKeyA, RegQueryValueExA, RegOpenKeyA, RegCreateKeyExA, RegSetValueExA, RegOpenKeyExA, RegQueryValueA, RegCloseKey, RegDeleteKeyA, RegSetValueA
> USER32.dll: InvalidateRect, GetCursorPos, GetCapture, SetCapture, ClientToScreen, GetMonitorInfoA, MonitorFromPoint, IsRectEmpty, CopyRect, OffsetRect, GetClientRect, DrawFrameControl, SetRectEmpty, SetWindowRgn, RedrawWindow, RegisterClassExA, GetSysColorBrush, LoadCursorA, ReleaseCapture, SetWindowsHookExA, UnhookWindowsHookEx, PtInRect, EqualRect, InflateRect, CallNextHookEx, BringWindowToTop, ShowWindow, FindWindowA, SystemParametersInfoA, MessageBoxA, LoadIconA, RegisterDeviceNotificationA, CreatePopupMenu, DestroyIcon, SetForegroundWindow, GetDesktopWindow, UpdateWindow, GetQueueStatus, CloseClipboard, OpenClipboard, SetCaretPos, IsWindowVisible, EnumWindows, GetWindowThreadProcessId, DestroyCursor, GetFocus, SetCursor, UnionRect, DrawTextA, FillRect, DrawEdge, GetMenuItemCount, GetMenuItemInfoA, GetSubMenu, GetMenuItemID, AppendMenuA, LoadBitmapA, SetRect, IsWindow, PostQuitMessage, PeekMessageA, GetClassNameA, EnumChildWindows, MapWindowPoints, FrameRect, GetSystemMetrics, LoadImageA, GetDC, ReleaseDC, DrawIconEx, GetIconInfo, SetMenuDefaultItem, GetSysColor, PostMessageA, PostThreadMessageA, RegisterClipboardFormatA, KillTimer, SetTimer, GetParent, UnregisterClassA, GetWindowRect, SendMessageA, SendNotifyMessageA, MessageBeep, GetNextDlgGroupItem, InvalidateRgn, CopyAcceleratorTableA, CharNextA, WindowFromPoint, DestroyMenu, SetWindowContextHelpId, MapDialogRect, GetAsyncKeyState, GetMessageA, CharUpperA, IsChild, EndDialog, GetNextDlgTabItem, IsWindowEnabled, GetDlgItem, DestroyWindow, CreateDialogIndirectParamA, SetActiveWindow, GetActiveWindow, RemoveMenu, InsertMenuA, GetMenuStringA, GetMenuState, GetWindow, GetWindowPlacement, IsIconic, IntersectRect, SetWindowPos, DefWindowProcA, GetDlgCtrlID, RegisterClassA, GetClassInfoA, ScreenToClient, AdjustWindowRectEx, GetMenu, GetScrollPos, GetKeyState, TrackPopupMenu, GetMessagePos, GetMessageTime, GetTopWindow, DispatchMessageA, GetLastActivePopup, GetForegroundWindow, GetWindowTextA, GetWindowTextLengthA, SetFocus, SendDlgItemMessageA, GetClassInfoExA, GetClassLongA, CreateWindowExA, WinHelpA, RegisterWindowMessageA, CheckRadioButton, IsDlgButtonChecked, IsDialogMessageA, SetWindowTextA, MoveWindow, GetMenuCheckMarkDimensions, CheckMenuItem, EnableMenuItem, ModifyMenuA, SetMenuItemBitmaps, TabbedTextOutA, DrawTextExA, GrayStringA, GetWindowDC, BeginPaint, EndPaint, wsprintfA, ValidateRect, TranslateMessage
> GDI32.dll: CopyMetaFileA, GetPixel, MaskBlt, SetTextColor, SetBkColor, DeleteDC, CreateDIBitmap, CreateBitmap, GetTextColor, SelectObject, CreatePen, Rectangle, SetPixel, BitBlt, SetBkMode, PatBlt, GetCurrentObject, GetDeviceCaps, GetTextExtentPoint32A, EqualRgn, CombineRgn, CreateRoundRectRgn, CreatePolygonRgn, CreateRectRgn, FrameRgn, OffsetRgn, CreateSolidBrush, GetStockObject, StretchBlt, CreateCompatibleDC, CreateCompatibleBitmap, DeleteObject, CreateFontA, GetObjectA, GetRgnBox, GetBkColor, EnumFontFamiliesExA, DPtoLP, GetMapMode, CreateRectRgnIndirect, ExtSelectClipRgn, ScaleWindowExtEx, SetWindowExtEx, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, CreateFontIndirectA, Escape, ExtTextOutA, TextOutA, RectVisible, PtVisible, GetWindowExtEx, GetViewportExtEx, SelectClipRgn, MoveToEx, LineTo, ExcludeClipRect, SetMapMode, SetStretchBltMode, SetViewportOrgEx, RestoreDC, SaveDC, GetClipBox
> SHELL32.dll: Shell_NotifyIconA, SHGetMalloc, ShellExecuteA, ShellExecuteExA, SHGetSpecialFolderLocation
> iphlpapi.dll: NotifyAddrChange, GetAdaptersInfo, IpRenewAddress, GetInterfaceInfo, GetIfEntry, IpReleaseAddress, GetNetworkParams
> WININET.dll: InternetCanonicalizeUrlA, InternetOpenUrlA, InternetSetFilePointer, InternetReadFile, InternetOpenA, InternetSetStatusCallback, InternetCloseHandle, InternetConnectA, FtpGetFileSize, FtpOpenFileA, FtpGetFileA, FtpSetCurrentDirectoryA
> SETUPAPI.dll: SetupDiDestroyDeviceInfoList, SetupDiGetDeviceInstanceIdA, SetupDiClassGuidsFromNameA, SetupDiGetClassDevsA, SetupDiEnumDeviceInfo
> WINTRUST.dll: WinVerifyTrust
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA
> WSOCK32.dll: -, -, -, -
> COMCTL32.dll: -, -, ImageList_SetBkColor, ImageList_Draw, ImageList_GetIconSize, ImageList_GetIcon, ImageList_GetImageCount, ImageList_Add, ImageList_AddMasked, ImageList_GetImageInfo, ImageList_GetBkColor, ImageList_ReplaceIcon, ImageList_Create, ImageList_Destroy, PropertySheetA, DestroyPropertySheetPage, CreatePropertySheetPageA, ImageList_DrawIndirect
> CRYPT32.dll: CertFreeCertificateContext, CertOpenSystemStoreA, CertEnumCertificatesInStore, CertCloseStore, CertDuplicateCertificateContext, CertFindCertificateInStore, CertGetNameStringA, CertFindExtension, CryptDecodeObject, CertGetCertificateContextProperty
> SHLWAPI.dll: PathFindExtensionA, PathFindFileNameA, PathStripToRootA, PathIsUNCA
> ole32.dll: OleLoad, OleGetIconOfClass, CreateItemMoniker, CreateGenericComposite, StgOpenStorageOnILockBytes, GetHGlobalFromILockBytes, CoDisconnectObject, CoGetClassObject, OleGetClipboard, OleIsCurrentClipboard, OleFlushClipboard, OleSetMenuDescriptor, OleUninitialize, CoFreeUnusedLibraries, OleInitialize, CoRevokeClassObject, CoRegisterMessageFilter, OleCreateStaticFromData, OleSetContainedObject, OleLockRunning, OleSaveToStream, WriteClassStm, OleSave, CreateILockBytesOnHGlobal, StgCreateDocfileOnILockBytes, CLSIDFromString, CLSIDFromProgID, OleDuplicateData, ReleaseStgMedium, CoTaskMemAlloc, CreateBindCtx, CoTreatAsClass, StringFromCLSID, ReadClassStg, ReadFmtUserTypeStg, OleRegGetUserType, WriteClassStg, WriteFmtUserTypeStg, SetConvertStg, CoTaskMemFree, CreateStreamOnHGlobal
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -
> WINSPOOL.DRV: OpenPrinterA, ClosePrinter, DocumentPropertiesA
> comdlg32.dll: GetOpenFileNameA, GetFileTitleA, GetSaveFileNameA
> oledlg.dll: -

( 0 exports )

darksqual · Answer

DiagHelp version v1.4 - http://www.malekal.com excute le 25/08/2008 à 16:57:05,25 Liste des derniers fichies modifies/crees dans windir\system32 et prefetch C:\WINDOWS\prefetch\NTOSBOOT-B00DFAAD.pf -->25/08/2008 16:16:51 C:\WINDOWS\prefetch\Layout.ini -->24/08/2008 19:28:02 C:\WINDOWS\System32\drivers\mbamswissarmy.sys -->17/08/2008 15:01:18 C:\WINDOWS\System32\drivers\mbam.sys -->17/08/2008 15:01:14 C:\WINDOWS\System32\drivers\PnkBstrK.sys -->16/08/2008 07:10:10 C:\WINDOWS\System32\drivers\aswFsBlk.sys -->19/07/2008 16:37:42 C:\WINDOWS\System32\drivers\aswmon2.sys -->19/07/2008 16:37:21 C:\WINDOWS\System32\drivers\aswSP.sys -->19/07/2008 16:35:18 C:\WINDOWS\System32\drivers\aswRdr.sys -->19/07/2008 16:33:42 C:\WINDOWS\System32\PerfStringBackup.INI -->25/08/2008 16:49:49 C:\WINDOWS\System32\perfh00C.dat -->25/08/2008 16:49:49 C:\WINDOWS\System32\perfh009.dat -->25/08/2008 16:49:49 C:\WINDOWS\System32\perfc00C.dat -->25/08/2008 16:49:49 C:\WINDOWS\System32\perfc009.dat -->25/08/2008 16:49:49 C:\WINDOWS\System32 mp.txt -->25/08/2008 10:41:07 C:\WINDOWS\System32 mp.reg -->25/08/2008 10:41:07 C:\WINDOWS\System32\wpa.dbl -->24/08/2008 19:13:29 C:\WINDOWS\System32\CONFIG.NT -->23/08/2008 11:46:00 C:\WINDOWS\System32\404Fix.exe -->18/08/2008 12:19:03 C:\WINDOWS\System32\PnkBstrB.exe -->16/08/2008 07:10:00 C:\WINDOWS\System32\PnkBstrA.exe -->16/08/2008 07:09:54 C:\WINDOWS\System32\uxtheme.dll -->15/08/2008 08:46:16 C:\WINDOWS\System32\h323log.txt -->15/08/2008 06:55:44 C:\WINDOWS\System32\pid.PNF -->15/08/2008 06:45:00 C:\WINDOWS\System32\FNTCACHE.DAT -->15/08/2008 05:10:09 C:\WINDOWS\System32\$winnt$.inf -->15/08/2008 05:09:09 C:\WINDOWS\System32 scompat.tlb -->15/08/2008 04:59:05 C:\WINDOWS\System32\amcompat.tlb -->15/08/2008 04:59:05 C:\WINDOWS\System32\WindowsLogon.manifest -->15/08/2008 04:58:28 C:\WINDOWS\System32\logonui.exe.manifest -->15/08/2008 04:58:28 C:\WINDOWS\System32\wuaucpl.cpl.manifest -->15/08/2008 04:58:27 C:\WINDOWS\System32\sapi.cpl.manifest -->15/08/2008 04:58:27 C:\WINDOWS\System32 wc.cpl.manifest -->15/08/2008 04:58:27 C:\WINDOWS\System32 cpa.cpl.manifest -->15/08/2008 04:58:27 C:\WINDOWS\setupapi.log -->25/08/2008 16:48:49 C:\WINDOWS\0.log -->25/08/2008 16:15:51 C:\WINDOWS\WindowsUpdate.log -->25/08/2008 16:15:47 C:\WINDOWS\bootstat.dat -->25/08/2008 16:15:27 C:\WINDOWS tbtlog.txt -->25/08/2008 16:14:21 C:\WINDOWS\SchedLgU.Txt -->25/08/2008 14:29:08 C:\WINDOWS\system.ini -->25/08/2008 13:56:23 C:\WINDOWS\QTFont.qfn -->19/08/2008 12:09:33 C:\WINDOWS\REGLOCS.OLD -->18/08/2008 16:19:06 C:\WINDOWS sreg.dat -->18/08/2008 16:17:01 C:\WINDOWS\game.ini -->16/08/2008 07:09:53 C:\WINDOWS\QTFont.for -->15/08/2008 13:20:24 C:\WINDOWS\BricoPackUninst.txt -->15/08/2008 08:46:16 C:\WINDOWS\BricoPackUninst.cmd -->15/08/2008 08:46:16 C:\WINDOWS\BricoPackFoldersDelete.cmd -->15/08/2008 08:46:16 winlogon.exe Verified: Signed svchost.exe Verified: Signed ws2_32.dll Verified: Signed user32.dll Verified: Signed tcpip.sys Verified: Unsigned ndis.sys Verified: Signed null.sys Verified: Signed ListDLLs v2.25 - DLL lister for Win9x/NT Copyright (C) 1997-2004 Mark Russinovich Sysinternals - www.sysinternals.com ------------------------------------------------------------------------------ explorer.exe pid: 1928 Command line: C:\WINDOWS\Explorer.EXE Base Size Version Path 0x77be0000 0x58000 7.00.2600.5512 C:\WINDOWS\system32\msvcrt.dll 0x779e0000 0x97000 5.131.2600.5512 C:\WINDOWS\system32\CRYPT32.dll 0x76610000 0x145000 5.131.2600.5512 C:\WINDOWS\system32\CRYPTUI.dll 0x44080000 0xce000 7.00.6000.20815 C:\WINDOWS\system32\WININET.dll 0x00450000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll 0x43e00000 0x45000 7.00.6000.20815 C:\WINDOWS\system32\iertutil.dll 0x76be0000 0x2e000 5.131.2600.5512 C:\WINDOWS\system32\WINTRUST.dll 0x58b50000 0x9a000 5.82.2900.5512 C:\WINDOWS\system32\comctl32.dll 0x76f80000 0x7f000 2001.12.4414.0700 C:\WINDOWS\system32\CLBCATQ.DLL 0x01100000 0x196000 2001.12.4414.0700 C:\WINDOWS\system32\COMRes.dll 0x01820000 0x2bc000 3.01.4001.5512 C:\WINDOWS\system32\msi.dll 0x76ac0000 0x11000 3.05.2284.0001 C:\WINDOWS\system32\ATL.DLL 0x44360000 0x5cd000 7.00.6000.20815 C:\WINDOWS\system32\ieframe.dll 0x44160000 0x139000 7.00.6000.20815 C:\WINDOWS\system32\urlmon.dll 0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll 0x10000000 0x12000 C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll 0x164a0000 0x23000 5.02.5721.5145 C:\WINDOWS\system32\wpdshserviceobj.dll 0x442b0000 0x63000 7.00.6000.20815 C:\WINDOWS\system32\webcheck.dll 0x109c0000 0x2c000 5.02.5721.5145 C:\WINDOWS\system32\portabledevicetypes.dll 0x10930000 0x49000 5.02.5721.5145 C:\WINDOWS\system32\portabledeviceapi.dll 0x04880000 0x1db000 3.01.0000.0011 C:\Program Files\Fichiers communs\Nero\Lib\NeroDigitalExt.dll 0x781d0000 0x10f000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_3bf8fa05\MFC80.DLL 0x78130000 0x9b000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll 0x7c420000 0x87000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCP80.dll 0x5d360000 0xf000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\MFC80FRA.DLL 0x04bd0000 0x2e000 C:\Program Files\WinRAR arext.dll 0x05190000 0x13000 4.57.0000.0000 C:\Program Files\7-Zip\7-zip.dll 0x60990000 0x7000 3.01.4001.5512 C:\WINDOWS\system32\MSISIP.DLL 0x7e6a0000 0x16000 5.07.0000.16599 C:\WINDOWS\system32\wshext.dll ListDLLs v2.25 - DLL lister for Win9x/NT Copyright (C) 1997-2004 Mark Russinovich Sysinternals - www.sysinternals.com ------------------------------------------------------------------------------ winlogon.exe pid: 912 Command line: winlogon.exe Base Size Version Path 0x01000000 0x82000 \??\C:\WINDOWS\system32\winlogon.exe 0x77be0000 0x58000 7.00.2600.5512 C:\WINDOWS\system32\msvcrt.dll 0x779e0000 0x97000 5.131.2600.5512 C:\WINDOWS\system32\CRYPT32.dll 0x76be0000 0x2e000 5.131.2600.5512 C:\WINDOWS\system32\WINTRUST.dll 0x58b50000 0x9a000 5.82.2900.5512 C:\WINDOWS\system32\COMCTL32.dll 0x74730000 0x3d000 3.525.1132.0000 C:\WINDOWS\system32\ODBC32.dll 0x1f840000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll 0x10000000 0x24000 6.14.0010.4177 C:\WINDOWS\system32\Ati2evxx.dll 0x015b0000 0x32000 1.07.0069.0002 C:\WINDOWS\system32\WgaLogon.dll 0x76f80000 0x7f000 2001.12.4414.0700 C:\WINDOWS\system32\CLBCATQ.DLL 0x01840000 0x196000 2001.12.4414.0700 C:\WINDOWS\system32\COMRes.dll Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 708F-F165 Répertoire de C:\WINDOWS\system32 03/05/2008 00:57 6 144 csrss.exe 1 fichier(s) 6 144 octets 0 Rép(s) 15 085 113 344 octets libres Contenu de Downloaded Program Files Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 708F-F165 Répertoire de C:\WINDOWS\Downloaded Program Files 15/08/2008 06:38 . 15/08/2008 06:38 .. 15/08/2008 04:58 65 desktop.ini 1 fichier(s) 65 octets Total des fichiers listés : 1 fichier(s) 65 octets 2 Rép(s) 15 085 113 344 octets libres Recherche de rootkit! (Merci S!Ri) Recherche d'infections connues Export des clefs sensibles.. Liste des fichiers en exception sur le pare-feu XP SP2 "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" "C:\Program Files\Bonjour\mDNSResponder.exe"="C:\Program Files\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour" "C:\WINDOWS\system32\PnkBstrA.exe"="C:\WINDOWS\system32\PnkBstrA.exe:*:Enabled:PnkBstrA" "C:\WINDOWS\system32\PnkBstrB.exe"="C:\WINDOWS\system32\PnkBstrB.exe:*:Enabled:PnkBstrB" "C:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe"="C:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM)" "C:\Program Files\uTorrent\uTorrent.exe"="C:\Program Files\uTorrent\uTorrent.exe:*:Enabled:µTorrent" "C:\Program Files\iTunes\iTunes.exe"="C:\Program Files\iTunes\iTunes.exe:*:Enabled:iTunes" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" "C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)" Export de la clef SharedTaskScheduler [SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant" exports des policies REGEDIT4 [system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 "DisableRegistryTools"=dword:00000000 "HideLegacyLogonScripts"=dword:00000000 "HideLogoffScripts"=dword:00000000 "RunLogonScriptSync"=dword:00000001 "RunStartupScriptSync"=dword:00000000 "HideStartupScripts"=dword:00000000 Export des clefs sensibles.. Rechercher adresses sensibles dans le fichier HOSTS... catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-25 16:57:29 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden services & system hive ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden services: 0 hidden files: 0 KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg) Process list by traversal of KiWaitListHead 4 - System 232 - usnsvc.exe 560 - PnkBstrA.exe 648 - PnkBstrB.exe 756 - iTunesHelper.ex 760 - ashDisp.exe 772 - TaskSwitchXP.ex 828 - Belkinwcui.exe 880 - csrss.exe 912 - winlogon.exe 960 - services.exe 972 - lsass.exe 1156 - svchost.exe 1224 - svchost.exe 1276 - svchost.exe 1464 - ati2evxx.exe 1488 - ashWebSv.exe 1536 - ashMaiSv.exe 1768 - ashServ.exe 1816 - iPodService.exe 1844 - AppleMobileDevi 1888 - mDNSResponder.e 1928 - explorer.exe 1944 - wmiprvse.exe 2372 - alg.exe 2380 - cmd.exe 3976 - firefox.exe Total number of processes = 27 NOTE: Under WinXP, this will not show all processes. KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg) Driver/Module list by traversal of PsLoadedModuleList 804D7000 - \WINDOWS\system32 tkrnlpa.exe 80737000 - \WINDOWS\system32\hal.dll BA5A8000 - \WINDOWS\system32\KDCOM.DLL BA4B8000 - \WINDOWS\system32\BOOTVID.dll B9F78000 - ACPI.sys BA5AA000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS B9F67000 - pci.sys BA0A8000 - isapnp.sys BA0B8000 - ohci1394.sys BA0C8000 - \WINDOWS\system32\DRIVERS\1394BUS.SYS BA670000 - pciide.sys BA328000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS BA0D8000 - MountMgr.sys B9F48000 - ftdisk.sys BA5AC000 - dmload.sys B9F22000 - dmio.sys BA330000 - PartMgr.sys B9F0A000 - atapi.sys BA0E8000 - Si3112.sys B9E2A000 - \WINDOWS\System32\Drivers\SCSIPORT.SYS B9DF6000 - Si3114r5.sys B9DE5000 - Si3124.sys B9DD4000 - Si3132.sys B9D9E000 - Si3132r5.sys B9D68000 - Si3531.sys BA0F8000 - disk.sys BA108000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS B9D48000 - fltMgr.sys B9D36000 - sr.sys B9D1F000 - KSecDD.sys B9C92000 - Ntfs.sys B9C65000 - NDIS.sys B9C4B000 - Mup.sys BA198000 - \SystemRoot\system32\DRIVERS\intelppm.sys B9784000 - \SystemRoot\system32\DRIVERS\ati2mtag.sys B9770000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS B9748000 - \SystemRoot\system32\DRIVERS\HDAudBus.sys BA3A0000 - \SystemRoot\system32\DRIVERS\usbuhci.sys B9724000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS BA3A8000 - \SystemRoot\system32\DRIVERS\usbehci.sys BA1A8000 - \SystemRoot\system32\DRIVERS\cdrom.sys BA1B8000 - \SystemRoot\system32\DRIVERS edbook.sys B9701000 - \SystemRoot\system32\DRIVERS\ks.sys BA554000 - \SystemRoot\System32\Drivers\GEARAspiWDM.sys BA1C8000 - \SystemRoot\system32\DRIVERS\l1e51x86.sys BA1D8000 - \SystemRoot\system32\DRIVERS ic1394.sys BA3B0000 - \SystemRoot\system32\DRIVERS\fdc.sys BA5BC000 - \SystemRoot\system32\DRIVERS\ASACPI.sys B9668000 - \SystemRoot\system32\DRIVERS\serial.sys BA55C000 - \SystemRoot\system32\DRIVERS\serenum.sys BA1E8000 - \SystemRoot\system32\DRIVERS\i8042prt.sys BA3B8000 - \SystemRoot\system32\DRIVERS\mouclass.sys BA765000 - \SystemRoot\system32\DRIVERS\audstub.sys BA1F8000 - \SystemRoot\system32\DRIVERS asl2tp.sys BA560000 - \SystemRoot\system32\DRIVERS distapi.sys B9640000 - \SystemRoot\system32\DRIVERS diswan.sys BA208000 - \SystemRoot\system32\DRIVERS aspppoe.sys BA218000 - \SystemRoot\system32\DRIVERS aspptp.sys BA3C0000 - \SystemRoot\system32\DRIVERS\TDI.SYS B962F000 - \SystemRoot\system32\DRIVERS\psched.sys BA228000 - \SystemRoot\system32\DRIVERS\msgpc.sys BA3C8000 - \SystemRoot\system32\DRIVERS\ptilink.sys BA3D0000 - \SystemRoot\system32\DRIVERS aspti.sys BA5C0000 - \SystemRoot\System32\Drivers\RootMdm.sys BA3D8000 - \SystemRoot\System32\Drivers\Modem.SYS B955F000 - \SystemRoot\system32\DRIVERS dpdr.sys BA258000 - \SystemRoot\system32\DRIVERS ermdd.sys BA3E0000 - \SystemRoot\system32\DRIVERS\kbdclass.sys BA5C2000 - \SystemRoot\system32\DRIVERS\swenum.sys B94D9000 - \SystemRoot\system32\DRIVERS\update.sys BA588000 - \SystemRoot\system32\DRIVERS\mssmbios.sys BA268000 - \SystemRoot\System32\Drivers\NDProxy.SYS AD49D000 - \SystemRoot\system32\drivers\AtiHdAud.sys AD479000 - \SystemRoot\system32\drivers\portcls.sys BA298000 - \SystemRoot\system32\drivers\drmk.sys BA2A8000 - \SystemRoot\system32\DRIVERS\usbhub.sys BA5CE000 - \SystemRoot\system32\DRIVERS\USBD.SYS ACFA9000 - \SystemRoot\system32\drivers\RtkHDAud.sys BA3E8000 - \SystemRoot\system32\DRIVERS\flpydisk.sys BA5D2000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS BA7D3000 - \SystemRoot\System32\Drivers\Null.SYS BA3F8000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS BA400000 - \SystemRoot\System32\drivers\vga.sys BA5D4000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys BA408000 - \SystemRoot\System32\Drivers\Msfs.SYS BA410000 - \SystemRoot\System32\Drivers\Npfs.SYS B9553000 - \SystemRoot\system32\DRIVERS asacd.sys ACE6E000 - \SystemRoot\system32\DRIVERS\ipsec.sys ACE15000 - \SystemRoot\system32\DRIVERS cpip.sys BA318000 - \SystemRoot\System32\Drivers\aswTdi.SYS ACDC7000 - \SystemRoot\system32\DRIVERS\ipnat.sys ACD9F000 - \SystemRoot\system32\DRIVERS etbt.sys ACD7D000 - \SystemRoot\System32\drivers\afd.sys BA158000 - \SystemRoot\system32\DRIVERS etbios.sys ACD52000 - \SystemRoot\system32\DRIVERS dbss.sys ACCE2000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys BA178000 - \SystemRoot\System32\Drivers\Fips.SYS ACCCB000 - \SystemRoot\System32\Drivers\aswSP.SYS BA418000 - \SystemRoot\System32\Drivers\Aavmker4.SYS BA440000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS B960F000 - \SystemRoot\System32\Drivers\Cdfs.SYS BA468000 - \SystemRoot\system32\DRIVERS\usbccgp.sys B955B000 - \SystemRoot\system32\DRIVERS\hidusb.sys B95FF000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS ACE11000 - \SystemRoot\system32\DRIVERS\kbdhid.sys B95EF000 - \SystemRoot\system32\DRIVERS\wanarp.sys B95DF000 - \SystemRoot\system32\DRIVERS\arp1394.sys ACC8B000 - \SystemRoot\System32\Drivers\dump_atapi.sys BA624000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS BF800000 - \SystemRoot\System32\win32k.sys ACDFD000 - \SystemRoot\System32\drivers\Dxapi.sys BA478000 - \SystemRoot\System32\watchdog.sys BF000000 - \SystemRoot\System32\drivers\dxg.sys BA742000 - \SystemRoot\System32\drivers\dxgthk.sys BF012000 - \SystemRoot\System32\ati2dvag.dll BF060000 - \SystemRoot\System32\ati2cqag.dll BF0E8000 - \SystemRoot\System32\atikvmag.dll BF14E000 - \SystemRoot\System32\atiok3x2.dll BF18E000 - \SystemRoot\System32\ati3duag.dll BF4E5000 - \SystemRoot\System32\ativvaxx.dll BA380000 - \SystemRoot\system32\DRIVERS\aswFsBlk.sys AA9C2000 - \SystemRoot\system32\DRIVERS disuio.sys AA71C000 - \SystemRoot\System32\Drivers\aswMon2.SYS AA4AF000 - \SystemRoot\system32\drivers\wdmaud.sys AAA2A000 - \SystemRoot\system32\drivers\sysaudio.sys A9F19000 - \SystemRoot\system32\DRIVERS\srv.sys A9ED5000 - \SystemRoot\System32\Drivers\aswRdr.SYS A9976000 - \SystemRoot\system32\drivers\kmixer.sys A98EE000 - \SystemRoot\system32\DRIVERS\NETMW145.sys BA743000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys Total number of drivers = 130 Liste des programmes installes 7-Zip 4.57 Adobe Flash Player ActiveX Adobe Flash Player Plugin Apple Mobile Device Support Apple Software Update Archiveur WinRAR Atheros Communications Inc.(R) AR8121/AR8113 Gigabit/Fast Ethernet Driver ATI Display Driver avast! Antivirus Belkin N1 Wireless Desktop Card Setup Bonjour Call of Duty(R) 4 - Modern Warfare(TM) Call of Duty(R) 4 - Modern Warfare(TM) CCleaner (remove only) HijackThis 2.0.2 iTunes Malwarebytes' Anti-Malware Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 French Language Pack Microsoft .NET Framework 2.0 Microsoft .NET Framework 2.0 Microsoft .NET Framework 2.0 Language Pack - FRA Microsoft Visual C++ 2005 Redistributable Module de prise en charge linguistique de Microsoft .NET Framework 2.0 - FRA Mozilla Firefox (3.0.1) Nero 8 Lite 8.3.2.1 Pack Vista Inspirat 2 1.0 QuickTime Realtek High Definition Audio Driver Safari Security Update pour Microsoft .NET Framework 2.0 (KB928365) TaskSwitchXP TeamSpeak 3 VideoLAN VLC media player 0.8.1 Windows Live Messenger Windows Media Player Firefox Plugin World of Warcraft Wow Cartographe 1.08 Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 708F-F165 Répertoire de C:\Program Files 25/08/2008 14:27 . 25/08/2008 14:27 .. 25/08/2008 10:04 7-Zip 16/08/2008 07:01 Activision 02/06/2008 17:32 Ad-Aware 20/08/2008 14:40 Alwil Software 19/08/2008 18:47 Apple Software Update 05/05/2008 23:09 AusLogics Disk Defrag 05/05/2008 23:09 AusLogics Registry Defrag 12/05/2008 03:36 AusLogics System Information 21/08/2008 19:05 Belkin 15/08/2008 13:19 Bonjour 25/08/2008 14:14 CCleaner 15/08/2008 04:57 ComPlus Applications 25/08/2008 13:01 counter-strike 05/05/2008 23:16 Cpu-z 06/04/2008 17:01 EasyRecovery 06/04/2008 00:16 Everest 25/08/2008 13:56 Fichiers communs 05/04/2008 22:10 Foxit Reader 15/08/2008 05:13 Intel 25/08/2008 11:08 Internet Explorer 19/08/2008 13:32 iPod 19/08/2008 13:32 iTunes 25/08/2008 14:27 Malwarebytes' Anti-Malware 25/08/2008 11:08 microsoft frontpage 25/08/2008 11:08 movie maker 25/08/2008 16:21 Mozilla Firefox 18/08/2008 19:15 Mozilla Thunderbird 25/08/2008 11:08 msn gaming zone 15/08/2008 05:03 Nero 25/08/2008 11:08 netmeeting 05/05/2008 23:06 Occtpt 15/08/2008 04:58 Outlook Express 02/06/2008 17:24 Paint.NET 19/08/2008 13:32 QuickTime 15/08/2008 05:32 Realtek 05/05/2008 23:13 Recuva 19/08/2008 12:39 Safari 15/08/2008 03:53 Sierra 15/08/2008 05:02 TaskSwitchXP 16/08/2008 15:07 TeamSpeak 3 25/08/2008 14:20 Trend Micro 18/08/2008 19:20 uTorrent 15/08/2008 21:34 VideoLAN 18/08/2008 19:16 Windows Live 15/08/2008 04:56 Windows Media Connect 2 15/08/2008 04:59 Windows Media Player 25/08/2008 11:08 windows nt 15/08/2008 05:03 WinRAR 20/08/2008 01:36 World of Warcraft 20/08/2008 14:04 WowCartographe 25/08/2008 11:08 xerox 0 fichier(s) 0 octets 53 Rép(s) 15 084 535 808 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 708F-F165 Répertoire de C:\Program Files\fichiers communs 25/08/2008 13:56 . 25/08/2008 13:56 .. 15/08/2008 13:19 Apple 17/08/2008 05:27 Blizzard Entertainment 15/08/2008 05:31 InstallShield 25/08/2008 11:08 Microsoft Shared 15/08/2008 04:58 MSSoap 15/08/2008 05:03 Nero 15/08/2008 06:44 ODBC 15/08/2008 04:58 Services 25/08/2008 11:08 speechengines 15/08/2008 04:57 System 0 fichier(s) 0 octets 12 Rép(s) 15 084 535 808 octets libres c:\Documents and Settings\Administrateur\Bureau\AmvoRemover.exe c:\Documents and Settings\Administrateur\Bureau\ccsetup210.exe c:\Documents and Settings\Administrateur\Bureau\C-Fix.exe c:\Documents and Settings\Administrateur\Bureau\kavo_killer.exe c:\Documents and Settings\Administrateur\Bureau\mbam-setup.exe c:\Documents and Settings\Administrateur\Bureau\ToolsCleaner2.exe c:\Documents and Settings\Administrateur\Bureau\DiagHelp\catchme.exe c:\Documents and Settings\Administrateur\Bureau\DiagHelp\diff.exe c:\Documents and Settings\Administrateur\Bureau\DiagHelp\dumphive.exe c:\Documents and Settings\Administrateur\Bureau\DiagHelp\FilesInfoCmd.exe c:\Documents and Settings\Administrateur\Bureau\DiagHelp\find2.exe c:\Documents and Settings\Administrateur\Bureau\DiagHelp\Fport.exe c:\Documents and Settings\Administrateur\Bureau\DiagHelp\grep.exe c:\Documents and Settings\Administrateur\Bureau\DiagHelp\gzip.exe c:\Documents and Settings\Administrateur\Bureau\DiagHelp\KProcCheck.exe c:\Documents and Settings\Administrateur\Bureau\DiagHelp\LFiles.exe c:\Documents and Settings\Administrateur\Bureau\DiagHelp\LISTDLLS.exe c:\Documents and Settings\Administrateur\Bureau\DiagHelp\md5sums.exe c:\Documents and Settings\Administrateur\Bureau\DiagHelp\pslist.exe c:\Documents and Settings\Administrateur\Bureau\DiagHelp\sigcheck.exe c:\Documents and Settings\Administrateur\Bureau\DiagHelp\streams.exe c:\Documents and Settings\Administrateur\Bureau\DiagHelp\swreg.exe c:\Documents and Settings\Administrateur\Bureau\DiagHelp ar.exe c:\Documents and Settings\Administrateur\IXP000.TMP\VCREDI~3.EXE c:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 7.7.1.11\SetupAdmin.exe c:\Documents and Settings\Default User\IXP000.TMP\VCREDI~3.EXE c:\Documents and Settings\Administrateur\Application Data\Microsoft\IdentityCRL\Production\ppcrlconfig.dll c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll c:\Documents and Settings\All Users\Application Data\Nero\DrWeb\DRWEB32.DLL ****** Fin du rapport DiagHelp Veuillez svp envoyer le fichier C:\upload_moi_PHILOU.tar.gz a l'adresse http://upload.malekal.com

sKe69 · Answer

Ok , rien d'infectieux apparemment ...

pourrais tu me parler de quoi il s'agit comme prg : C:\Program Files\Belkin  ?

sKe69 · Answer

re,

peux tu me vérifier ce-ci sur Virustotal et me poster les rappots stp :

C:\WINDOWS\System32\pid.PNF
C:\WINDOWS\REGLOCS.OLD 
C:\WINDOWS\game.ini

darksqual · Answer

Belkin est une marque de produit informatique particulièrement spécialisé dans l'accesoire! Il s'agit probablement du logiciel de ma clé wifi (pour activer internet on peu passer par le programme windows ou le programme fourni avec la clé wifi)!

Mon antivirus viens de me detecter 'vbs solow" serait tu m'en dire plus ? lol decidement...

Pour C:\WINDOWS\System32\pid.PNF   0 resultat
Pour C:\WINDOWS\REGLOCS.OLD        0 resultat
pour C:\WINDOWS\game.ini                0 resultat

sKe69 · Answer

fais ce-ci :

Télécharges RavAntivirus d'Evosla sur ton bureau : 
http://ww25.evosla.com/compteur.php?soft=rav_antivirus
 
! Déconnectes toi et fermes toutes tes applications en cours !

!!IMPORTANT : Si tu as une clé USB, disque dur externe, etc, branches-les à ton PC (sans les ouvrir) avant de lancer ce FIX !!
 
--->Fais un clic droit sur le fichier .ZIP : "Extraire tout" --> sur le Bureau
 
Puis doucle-cliques sur  RAV.exe  afin de lancer l'outil.
 
Une fois RAV ANTIVIRUS lancé, laisses le faire : il scanne automatiquement tout les lecteurs (disques dur et amovibles)
 
* Si il détecte une infection : un rapport s'établira --> sauvegardes le ...
* Sinon le soft affichera (rapidement) ce-ci "Votre Ordinateur est sain" --> dans ce cas , tu peux fermé le prg ...
 
Enfin ,tu retires tes disques amovibles et redémarres PC .
 
Puis postes le rapport si il y a infection ...

sKe69 · Answer

re,

si tu voit cela sur le prg : "Votre Ordinateur est sain" --> tu peut arrèter ^^ 

et on passe à autre chose ...

darksqual · Answer

ha c'est pour ca mdr ! parce que depuis tout a l'heure la barre bleu bouge donc je pensé que ca cherché! 

Donc il est sain apparement ;)

Et pour le VBS (que j'ai supprimé avec avast .... a voir si il revient mais je l'avais deja supprimé y a 3 jours donc il va surement revenir) tu as une idée de ce que c'est ?

sKe69 · Answer

tu as une idée de ce que c'est  --> oui .

1- Télécharge ce-ci sur ton bureau :
http://www.softbkk.com/downloads/dl1/10304/NOD32%20VBS[Butsur.A]-Fix.exe

Déconectes toi et fermes toutes tes applications en cours .
!!IMPORTANT : Si tu as une clé USB, disque dur externe, etc, branches-les à ton PC (sans les ouvrir) !!

Lances le pacht , laisses faire et dis ce que cela donne ...


2- Télécharge OAD ( par !aur3n7) : http://sosvirus.changelog.fr/OAD.exe 
----> Enregistre le sur ton bureau .

Double clique sur l'icone OAD pour le lancer ( si ton AV s'affolle , ignore l'alerte ! )

- nom du fichier à rechercher --->tape ou fais un copier coller de : MS32DLL
- Type de recherche : sélectionne l'option 6 puis valide ["entrée"] 

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ait terminé. 
Le rapport de recherche s'affichera automatiquement à l’écran dès qu'il aura terminé. 

Note : suivant la taille des disques durs cette recherche peut prendre plusieurs minutes. Sois patient ...

- Sauvegardes ce rapport sur ton Bureau et fais un copier / coller de celui-ci dans ton prochain post.

darksqual · Answer

mmmm quand je clique sur  do it now il me demande "please enter path to your HDD drive" je selectionne quoi la? si je selectionne le lecteur C par exemple il me dit NOD32 antivirus system no found

sKe69 · Answer

laisse tomber le patch et fais la suite stp ...

darksqual · Answer

quand je double clique sur OAD.exe j'ai ce message d'erreur "windows ne parvient pas a accéder au périphérique, au chemin ou au fichier spécifié. vous ne disposez peut etre pas des autorisations apporpriées pour avoir accès a l'élément"

darksqual · Answer

25/08/2008 ---- 19:50:40,69  

----------------------------------
§§§§§§ [MS32DLL] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

sKe69 · Answer

mouais...

1- supprimes OAD ... si il faut on le retéléchargera après ...


2- Télécharges Flash_Disinfector de sUBs ici :

https://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe

Enregistres le sur ton bureau.

Double cliques sur Flash_Disinfector.exe pour le lancer ...
 
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra : 
->connectes toutes tes clés USB et périphériques USB externes susceptibles d'avoir été infectés .

Puis clique sur Ok .

Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: " Done!! " 

Appuyes sur "Ok", pour faire réapparaitre le bureau ...


3- Débranches tes supports externes .


4- refais un coup de CCleaner ( registre compris ) 


5- Restauration système 
*Désactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK 
--->Redémarres ton PC 
*Réactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK 
--->Redémarres ton PC 


6- Rebranches tous tes disques externes sans les ouvrir !


7- On va faire un scan en ligne sous Internet Exploreur ( et pas avec FireFox ! cela ne marche pas sinon ! )

Fais un scan antivirus en ligne, avec Internet Explorer et accepter l'ActiveX :
https://www.bitdefender.fr/ 
(pour le rapport ,qui est un doc IE , clik sur l'onglet "plus de détailles" : et à la fin du scan tu demandes à le sauvegarder sur ton bureau) 

--->fais un copier/coller et postes le rapport dans ta prochaine réponse ... 

Aide : En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE 
Dans la nouvelle fenêtre, clique sur j’accepte .
La fenêtre change encore, clique sur scanner .
Les signatures se chargent, etc ...

Tutoriel en images ici : 
http://perso.orange.fr/rginformatique/section%20virus/defender.htm (merci à Balltrap34 pour cette réalisation) 
Et ici : http://www.commentcamarche.net/faq/sujet 8872 scanner en ligne avec bitdefender

darksqual · Answer

J'enregistre le rapport mais lorsque je l'ouvre la page reste blanche... j'ai re fait la manip.. pareil je comprend pas ...

sKe69 · Answer

Re,

je vois que tu joues sur plusieurs front...  :=(

--> http://www.commentcamarche.net/forum/affich 8070934 win32 rootkit gen rtk#2

Pas cool .... cela ce fait pas .

A+

darksqual · Answer

salut Ske 69!!! En effet ca n'aurait pas été très cool si ca avait été moi qui avait fait ce post mais ce n'est pas le cas !

Gaet92 est mon meilleur ami (presque voisin) et il était a la lan avec moi (il c'est donc chopé les mêmes virus)! c'est moi qui lui ai conseillé de venir sur ce forum car ton aide m'avait été trèèssss précieuse et j'étais plus que satisfait de ton aide ! Il a fait un nouveau post car il a pas les memes rapport que moi c'est tout !

Sache que je ne me serais jamais permis de crée un post doublon alors que l'aide que tu m'a apporté a corrigé mon probleme, et de plus ca n'aurait pas été honnête vu le temps que tu as passé a m'aider!

Voila toutes mes excuses pour cette histoire ;) !

sKe69 · Answer

Salut,

Vu  :p

Cado ... autant pour moi pour la méprise ... ^^'

où en es tu alors ... est-ce que tout est OK pour toi ? As tu le rapport de Bitdefender on line ? As tu fais la manipe de Jorginho poste 55 ? ...

darksqual · Answer

re !

J'ai fais la manip de jorginho!
Pour le rapport de bitdefender tjs pareil (je suis bien connecté a internet^^) mais impossible de le lire sur une page web que ce soit avec explorer ou mozzilla...

sKe69 · Answer

Fait celui-ci alors , bitdefender one line sans avoir des petits prb à ce niveau là ...

Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >. 
Le scan ne marche que sous Internet Explorer(et pas sous firefox ou autre...). 
- On va te demander de télécharger un contôle active x, accepte . 
- Dans le menu Choisissez la cible de l'analyse, sélectionne Poste de travail. Le scan va commencer. 
- Postes le rapport qui sera généré stp. 
S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3 
Rappel : le scan est à faire sous Internet Explorer !

darksqual · Answer

fff ca me gonfle lol j'ai eu une erreur sur la page donc faut que je recommence ! 

En attendant! 
Total de fichiers analysés : 33693 
Nombre de virus trouvés : 3 
Nombre d'objets infectés : 6 
Nombre d'objets suspects : 0 
Durée de l'analyse : 00:21:41 

Y en a encore ^^ ! je te post le rapport des que c'est fini

darksqual · Answer

Maintenant j'arrive plus a poster ca bug !

Test

darksqual · Answer

Bon des que je met n'importe qu'elle message accompagné du rapport ca marche pas ! tu as une idée d'ou ca peu venir ?

darksqual · Answer

ok merci j'attend de tes nouvelles :)

sKe69 · Answer

Re ,

Essayes de nouveau de poster ce rapport ...

( Sinon essayes aussi en " mp " pour voir )

noctambule28 · Answer

Et hop !!!
il est là le rapport kav

*******************************
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 26/08/2008
Enregistrements dans la base antivirus Kaspersky : 1023641
Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai
Cible de l'analyse Poste de travail
A:\
C:\
D:\
E:\
Statistiques de l'analyse
Total d'objets analysés 33737
Nombre de virus trouvés 3
Nombre d'objets infectés 6 / 0
Nombre d'objets suspects 0
Durée de l'analyse 00:20:59

Nom de l'objet infecté Nom du virus Dernière action
C:\autorun.inf\lpt3.This folder was created by Flash_Disinfector L'objet est verrouillé ignoré
C:\Backups\backups.zip/backups/autor­un.inf Infecté : Worm.Win32.AutoRun.epu ignoré
C:\Backups\backups.zip ZIP: infecté - 1 ignoré
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\k9fydj­um.default\cert8.db L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\k9fydj­um.default\content-prefs.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\k9fydj­um.default\cookies.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\k9fydj­um.default\downloads.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\k9fydj­um.default\formhistory.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\k9fydj­um.default\key3.db L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\k9fydj­um.default\parent.lock L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\k9fydj­um.default\permissions.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\k9fydj­um.default\places.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\k9fydj­um.default\places.sqlite-journal L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\k9fydj­um.default\search.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Cookies\inde­x.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Messenger\philourambe­rt@hotmail.com\SharingMetadata\activ­itylog.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Messenger\philourambe­rt@hotmail.com\SharingMetadata\Logs\­Dfsr00005.log L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Messenger\philourambe­rt@hotmail.com\SharingMetadata\pendi­ng.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Messenger\philourambe­rt@hotmail.com\SharingMetadata\Worki­ng\database_7A70_9030_708F_F165\dfsr­.db L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Messenger\philourambe­rt@hotmail.com\SharingMetadata\Worki­ng\database_7A70_9030_708F_F165\fsr.­log L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Messenger\philourambe­rt@hotmail.com\SharingMetadata\Worki­ng\database_7A70_9030_708F_F165\fsrt­mp.log L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Messenger\philourambe­rt@hotmail.com\SharingMetadata\Worki­ng\database_7A70_9030_708F_F165	mp.­edb L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.­LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows Live Contacts\philourambert@hotmail.com­eal\members.stg L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows Live Contacts\philourambert@hotmail.com\s­hadow\members.stg L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\k9fydj­um.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\k9fydj­um.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\k9fydj­um.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\k9fydj­um.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\k9fydj­um.default\urlclassifier3.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\inde­x.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\MSHi­st012008082620080827\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Temp\etilqs_8ZcMvHkjFnctf0y­eoBRU L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Temp\~DF25AB.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Temp\~DF650F.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Temp\~DF6E37.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Temp\~DF822A.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Temp\~DF826B.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40A­B-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\Administrateur
tuser.dat.L­OG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.­LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService
tuser.dat.LOG­ L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.­LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService
tuser.dat.L­OG L'objet est verrouillé ignoré
C:\mnl6on3.com Infecté : Trojan-GameThief.Win32.OnLineGames.s­wzp ignoré
C:
.com Infecté : Trojan-GameThief.Win32.OnLineGames.s­ych ignoré
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws­ L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.lo­g L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log
shield.log­ L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\selfdef.log­ L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATAeport\Protecti­on résidente.txt L'objet est verrouillé ignoré
C:\System Volume Information\MountPointManagerRemoteD­atabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{D57C5EF9-A875-4­C09-B5E4-2D06C613207C}\RP3\change.lo­g L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\Repo­rtingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log­ L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2	mp.edb­ L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Antivirus­.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.­Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\DEFAULT.L­OG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Internet.­evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.­Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.­LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SOFTWARE.­LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.­Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SYSTEM.LO­G L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\­FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\­FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\­FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\­FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\­FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\­FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\­FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_6e8­.dat L'objet est verrouillé ignoré
C:\WINDOWS\Temp\_avast4_\Webshlock.t­xt L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
D:\autorun.inf\lpt3.This folder was created by Flash_Disinfector L'objet est verrouillé ignoré
D:\mnl6on3.com Infecté : Trojan-GameThief.Win32.OnLineGames.s­wzp ignoré
D:
.com Infecté : Trojan-GameThief.Win32.OnLineGames.s­ych ignoré
D:\System Volume Information\MountPointManagerRemoteD­atabase L'objet est verrouillé ignoré
Analyse terminée.

sKe69 · Answer

Bien ...

A-Supprimes le CFScript que tu as sur ton PC et on vas en refair un autre .

B-Si tu n'as plus Combofix , retélécharge le ainsi :

Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleur !): 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clik droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix et valide . 


C- Attention , branches bien toutes tes unités externes avant la manipe !


D -1-Crées un doc texte sur ton bureau : 
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" . 

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer : 

File:: 
D:\mnl6on3.com 
D:
.com
C:\mnl6on3.com 
C:
.com
C:\Backups\backups.zip
 

Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : 
CFScript puis valides ...
 

2-Nettoyage :

!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENSES ( tu les réactiveras après )  !! 

--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe . 

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide. 

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!) 

!! Ne touches à rien tant que le scan n'est pas terminé !! 

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Postes le pour analyse + un nouvel hijackthis ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

darksqual · Answer

ComboFix 08-08-26.02 - Administrateur 2008-08-27 14:32:39.4 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.2533 [GMT 2:00] Endroit: C:\Documents and Settings\Administrateur\Bureau\C-Fix.exe Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] FILE :: C:\Backups\backups.zip C:\mnl6on3.com C: .com D:\mnl6on3.com D: .com . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Backups\backups.zip C:\mnl6on3.com C: .com D:\mnl6on3.com D: .com . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_poof ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-27 to 2008-08-27 )))))))))))))))))))))))))))))))))))) . 2008-08-26 19:42 . 2008-08-26 19:42 d-------- C:\WINDOWS\system32\Kaspersky Lab 2008-08-26 19:22 . 2008-08-27 12:50 d-------- C:\Documents and Settings\Administrateur\Application Data\OpenOffice.org2 2008-08-26 19:19 . 2008-08-27 12:23 d-------- C:\Program Files\OpenOffice.org 2.1 2008-08-25 20:10 . 2008-08-25 22:24 d-------- C:\WINDOWS\BDOSCAN8 2008-08-25 16:58 . 2008-08-25 16:58 280,090 --a------ C:\upload_moi_PHILOU.tar.gz 2008-08-25 14:27 . 2008-08-25 14:27 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-08-25 14:27 . 2008-08-25 14:27 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-08-25 14:27 . 2008-08-25 14:27 d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes 2008-08-25 14:27 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-25 14:27 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-08-25 11:08 . 2008-08-25 11:08 d-------- C:\WINDOWS\system32\xircom 2008-08-25 11:08 . 2008-08-25 11:08 d-------- C:\WINDOWS\system32\oobe 2008-08-25 11:08 . 2008-08-25 11:08 d-------- C:\WINDOWS\system32 pp 2008-08-25 11:08 . 2008-08-25 11:08 d-------- C:\WINDOWS\msagent 2008-08-25 11:08 . 2008-08-25 11:08 d-------- C:\Program Files\microsoft frontpage 2008-08-25 11:06 . 2008-08-25 11:06 579,584 --a------ C:\WINDOWS\system32\dllcache\user32.dll 2008-08-25 11:05 . 2008-08-25 14:07 d-------- C:\WINDOWS\ERUNT 2008-08-25 11:05 . 2008-08-27 14:32 d-------- C:\Backups 2008-08-25 10:24 . 2008-08-25 10:41 892 --a------ C:\WINDOWS\system32 mp.reg 2008-08-25 10:22 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-08-25 10:22 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-08-25 10:22 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe 2008-08-25 10:22 . 2008-08-14 21:52 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe 2008-08-25 10:22 . 2008-08-18 12:19 82,432 --a------ C:\WINDOWS\system32\404Fix.exe 2008-08-25 10:22 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-08-25 10:22 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-08-25 10:22 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-08-25 10:04 . 2008-08-25 19:43 d-------- C:\Program Files\7-Zip 2008-08-25 08:47 . 2008-08-25 14:20 d-------- C:\Program Files\Trend Micro 2008-08-21 19:05 . 2008-08-21 19:05 d-------- C:\Program Files\Belkin 2008-08-21 19:05 . 2006-08-16 14:44 572,160 --a------ C:\WINDOWS\system32 etmw143.sys 2008-08-21 19:05 . 2006-08-16 14:43 553,984 --a------ C:\WINDOWS\system32 etmw145.sys 2008-08-21 19:05 . 2006-08-16 14:43 553,984 --a------ C:\WINDOWS\system32\drivers\NETMW145.sys 2008-08-21 19:05 . 2006-09-15 14:04 105,716 --a------ C:\WINDOWS\system32\NetMW14x.inf 2008-08-21 19:05 . 2006-10-17 19:52 8,485 --a------ C:\WINDOWS\system32 etmw14x.cat 2008-08-20 14:40 . 2008-08-20 14:40 d-------- C:\Program Files\Alwil Software 2008-08-20 14:40 . 2003-03-18 22:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll 2008-08-20 14:40 . 2003-03-18 21:14 499,712 --a------ C:\WINDOWS\system32\MSVCP71.dll 2008-08-20 14:40 . 2003-02-21 05:42 348,160 --a------ C:\WINDOWS\system32\MSVCR71.dll 2008-08-20 01:28 . 2008-08-20 01:28 d-------- C:\Logs 2008-08-19 13:32 . 2008-08-19 13:32 d-------- C:\Program Files\iPod 2008-08-18 19:20 . 2008-08-18 19:20 d-------- C:\Program Files\uTorrent 2008-08-18 19:20 . 2008-08-20 01:57 d-------- C:\Documents and Settings\Administrateur\Application Data\uTorrent 2008-08-18 18:56 . 2008-08-18 18:56 d-------- C:\Documents and Settings\Administrateur\Contacts 2008-08-18 18:54 . 2008-08-18 18:54 d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller 2008-08-18 18:53 . 2008-08-18 18:53 d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller 2008-08-18 16:19 . 2008-08-18 16:19 8,192 --a------ C:\WINDOWS\REGLOCS.OLD 2008-08-18 16:17 . 2008-08-18 16:17 0 --a------ C:\WINDOWS sreg.dat 2008-08-17 05:27 . 2008-08-20 01:36 d-------- C:\Program Files\World of Warcraft 2008-08-17 05:27 . 2008-08-17 05:27 d-------- C:\Program Files\Fichiers communs\Blizzard Entertainment 2008-08-16 15:19 . 2008-08-20 14:04 d-------- C:\Program Files\WowCartographe 2008-08-16 15:13 . 2008-03-09 06:25 236 --ah----- C:\Program Files\Fichiers communs\dx.reg 2008-08-16 15:07 . 2008-08-16 15:07 d-------- C:\Program Files\TeamSpeak 3 2008-08-16 15:07 . 2008-08-16 15:07 d-------- C:\Documents and Settings\Administrateur\Application Data eamspeak2 2008-08-16 07:11 . 2007-05-16 16:45 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll 2008-08-16 07:10 . 2005-05-26 15:34 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll 2008-08-16 07:10 . 2008-08-16 07:10 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-08-16 07:10 . 2008-08-16 07:10 22,328 --a------ C:\Documents and Settings\Administrateur\Application Data\PnkBstrK.sys 2008-08-16 07:09 . 2008-08-16 07:09 d-------- C:\WINDOWS\system32\LogFiles 2008-08-16 07:09 . 2008-08-16 07:10 103,736 --a------ C:\WINDOWS\system32\PnkBstrB.exe 2008-08-16 07:09 . 2008-08-16 07:09 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe 2008-08-16 07:09 . 2008-08-16 07:09 319 --a------ C:\WINDOWS\game.ini 2008-08-16 07:01 . 2008-08-16 07:01 d-------- C:\Program Files\Activision 2008-08-16 06:59 . 2008-08-16 06:59 d--hs---- C:\WINDOWS\ftpcache 2008-08-15 21:35 . 2008-08-15 21:35 d-------- C:\Documents and Settings\Administrateur\Application Data\vlc 2008-08-15 21:34 . 2008-08-15 21:34 d-------- C:\Program Files\VideoLAN 2008-08-15 13:20 . 2008-08-19 13:32 d-------- C:\Program Files\iTunes 2008-08-15 13:20 . 2008-08-15 13:20 d-------- C:\Documents and Settings\Administrateur\Application Data\Apple Computer 2008-08-15 13:20 . 2008-08-19 12:09 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-08-15 13:20 . 2008-08-15 13:20 1,409 --a------ C:\WINDOWS\QTFont.for 2008-08-15 13:19 . 2008-08-19 13:32 d-------- C:\Program Files\QuickTime 2008-08-15 13:19 . 2008-08-15 13:19 d-------- C:\Program Files\Fichiers communs\Apple 2008-08-15 13:19 . 2008-08-15 13:19 d-------- C:\Program Files\Bonjour 2008-08-15 13:19 . 2008-08-19 18:47 d-------- C:\Program Files\Apple Software Update 2008-08-15 13:19 . 2008-08-15 13:20 d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer 2008-08-15 13:19 . 2008-08-15 13:19 d-------- C:\Documents and Settings\All Users\Application Data\Apple 2008-08-15 13:19 . 2008-01-15 02:39 30,464 --a------ C:\WINDOWS\system32\drivers\usbaapl.sys 2008-08-15 08:46 . 2008-08-15 08:46 3,932,214 --a------ C:\WINDOWS\BricoPack Wallpaper.bmp 2008-08-15 08:46 . 2008-08-15 08:46 51,145 --a------ C:\WINDOWS\BricoPackUninst.cmd 2008-08-15 08:45 . 2008-08-15 08:45 d-------- C:\WINDOWS\BricoPacks 2008-08-15 08:45 . 2008-08-15 08:46 6,120 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd 2008-08-15 05:47 . 2008-08-15 05:47 d-------- C:\Documents and Settings\Administrateur\Application Data\Lavasoft 2008-08-15 05:42 . 2008-08-15 05:42 d-------- C:\WINDOWS\system32\Atheros_L1e 2008-08-15 05:42 . 2008-02-02 17:54 36,864 -ra------ C:\WINDOWS\system32\drivers\l1e51x86.sys 2008-08-15 05:32 . 2008-08-15 05:32 d-------- C:\Program Files\Realtek 2008-08-15 05:31 . 2008-03-05 20:07 520,192 -r------- C:\WINDOWS\RtlExUpd.dll 2008-08-15 05:31 . 2008-08-15 05:31 315,392 --a------ C:\WINDOWS\HideWin.exe 2008-08-15 05:27 . 2008-08-15 05:27 0 --a------ C:\WINDOWS\ativpsrm.bin 2008-08-15 05:26 . 2008-08-25 13:00 d--h----- C:\Program Files\InstallShield Installation Information 2008-08-15 05:26 . 2008-08-15 05:31 d-------- C:\Program Files\Fichiers communs\InstallShield 2008-08-15 05:26 . 2008-08-15 05:26 d-------- C:\Documents and Settings\Administrateur\Application Data\Xentient 2008-08-15 05:26 . 2008-05-15 03:37 3,107,788 -ra------ C:\WINDOWS\system32\ativvaxx.dat 2008-08-15 05:26 . 2008-05-15 03:37 3,107,788 -ra------ C:\WINDOWS\system32\ativva5x.dat 2008-08-15 05:26 . 2008-05-15 03:37 887,724 -ra------ C:\WINDOWS\system32\ativva6x.dat 2008-08-15 05:26 . 2008-05-14 21:05 593,920 --------- C:\WINDOWS\system32\ati2sgag.exe 2008-08-15 05:26 . 2008-05-15 04:12 413,696 -ra------ C:\WINDOWS\system32\ATIDEMGX.dll 2008-08-15 05:26 . 2008-05-15 03:57 307,200 -ra------ C:\WINDOWS\system32\atiiiexx.dll 2008-08-15 05:26 . 2008-04-28 23:09 172,033 -ra------ C:\WINDOWS\system32\atiicdxx.dat 2008-08-15 05:26 . 2008-05-06 19:41 12,787 -ra------ C:\WINDOWS\atiogl.xml 2008-08-15 05:26 . 2007-08-31 15:20 7,167 -ra------ C:\WINDOWS\system32\atifglpf.xml 2008-08-15 05:16 . 2008-08-15 05:16 d-------- C:\WINDOWS\ASUSInstAll 2008-08-15 05:13 . 2008-08-15 05:13 d-------- C:\Program Files\Intel 2008-08-15 05:13 . 2008-08-15 05:13 d-------- C:\Intel 2008-08-15 05:13 . 2008-03-26 05:15 53,248 -ra------ C:\WINDOWS\system32\CSVer.dll 2008-08-15 05:12 . 2008-08-15 05:16 36,807 --a------ C:\WINDOWS\Ascd_log.ini 2008-08-15 05:12 . 2008-08-15 05:40 36,447 --a------ C:\WINDOWS\Ascd_tmp.ini 2008-08-15 05:12 . 2007-12-28 17:22 10,296 --a------ C:\WINDOWS\system32\drivers\ASUSHWIO.SYS 2008-08-15 05:10 . 2008-08-15 05:10 d---s---- C:\WINDOWS\system32\Microsoft 2008-08-15 05:10 . 2008-08-15 05:10 d--hs---- C:\Documents and Settings\NetworkService 2008-08-15 05:10 . 2008-08-25 14:19 d--hs---- C:\Documents and Settings\LocalService 2008-08-15 05:10 . 2008-08-25 10:21 d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau 2008-08-15 05:10 . 2008-08-15 06:52 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression 2008-08-15 05:10 . 2008-08-15 05:03 d-------- C:\Documents and Settings\Administrateur ro.log 2008-08-15 05:10 . 2008-08-15 06:52 d--h----- C:\Documents and Settings\Administrateur\ModŠles 2008-08-15 05:10 . 2008-08-18 18:57 dr------- C:\Documents and Settings\Administrateur\Mes documents 2008-08-15 05:10 . 2006-10-30 01:40 d-------- C:\Documents and Settings\Administrateur\Menu D‚marrer 2008-08-15 05:10 . 2008-08-15 05:01 d-------- C:\Documents and Settings\Administrateur\IXP000.TMP 2008-08-15 05:10 . 2008-08-16 15:13 dr------- C:\Documents and Settings\Administrateur\Favoris 2008-08-15 05:10 . 2008-08-27 14:32 d-------- C:\Documents and Settings\Administrateur\Bureau 2008-08-15 05:10 . 2008-08-26 01:40 d-------- C:\Documents and Settings\Administrateur 2008-08-15 05:08 . 2008-08-15 06:52 d--h----- C:\WINDOWS\system32\config\systemprofile\Voisinage r‚seau 2008-08-15 05:08 . 2008-08-15 06:52 d--h----- C:\WINDOWS\system32\config\systemprofile\Voisinage d'impression 2008-08-15 05:08 . 2008-08-15 05:03 d-------- C:\WINDOWS\system32\config\systemprofile sy6FC.tmp 2008-08-15 05:08 . 2008-08-15 05:03 d-------- C:\WINDOWS\system32\config\systemprofile sw6FA.tmp 2008-08-15 05:08 . 2008-08-15 05:03 d-------- C:\WINDOWS\system32\config\systemprofile ro.log . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-25 11:01 --------- d-----w C:\Program Files\counter-strike 2008-08-15 02:56 --------- d-----w C:\Program Files\Windows Media Connect 2 . ------- Sigcheck ------- 2008-05-03 00:57 818176 e6823e19ad276a9c4758d07c5ee08af2 C:\WINDOWS\system32\wininet.dll 2008-05-03 00:57 361344 accf5a9a1ffaa490f33dba1c632b95e1 C:\WINDOWS\system32\drivers cpip.sys 2008-05-03 00:57 2364928 3391f4ddea530297e720357f40ad06eb C:\WINDOWS\system32 tkrnlpa.exe 2008-05-03 00:57 2486272 2e36c8be37e4e86277e559462322375c C:\WINDOWS\system32 toskrnl.exe 2008-05-03 00:57 1012224 80168dbff613f671f1bcae0e169fb321 C:\WINDOWS\explorer.exe 2008-05-03 00:57 68440 84d9a61860272d6177d46c86b8431557 C:\WINDOWS\system32\wuauclt.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TaskSwitchXP"="C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-05 00:29 62976] "RocketDock"="C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe" [2007-03-19 00:05 630784] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-05-03 00:57 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AppleSyncNotifier"="C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-22 20:42 116040] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-07-30 10:47 289064] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "TaskSwitchXP"="C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-05 00:29 62976] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoDesktopCleanupWizard"= 1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSMHelp"= 1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoSMHelp"= 1 (0x1) [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL] -r------- 2008-03-26 18:14 16859136 C:\WINDOWS\RTHDCPL.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\Network Diagnostic\xpnetdiag.exe"= "%windir%\system32\sessmgr.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "C:\Program Files\Bonjour\mDNSResponder.exe"= "C:\WINDOWS\system32\PnkBstrA.exe"= "C:\WINDOWS\system32\PnkBstrB.exe"= "C:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe"= "C:\Program Files\uTorrent\uTorrent.exe"= "C:\Program Files\iTunes\iTunes.exe"= R0 Si3124;Si3124;C:\WINDOWS\system32\drivers\Si3124.sys [2008-05-03 00:57] R0 Si3132r5;Si3132r5;C:\WINDOWS\system32\drivers\Si3132r5.sys [2008-05-03 00:57] R0 Si3531;Si3531;C:\WINDOWS\system32\drivers\Si3531.sys [2008-05-03 00:57] R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37] R3 L1e;Miniport Driver for Atheros AR8121/AR8113 PCI-E Ethernet Controller;C:\WINDOWS\system32\DRIVERS\l1e51x86.sys [2008-02-02 17:54] R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 09:45] S3 NETMW145;Belkin N1 Wireless Desktop Card Service for Windows XP;C:\WINDOWS\system32\DRIVERS\NETMW145.sys [2006-08-16 14:43] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ff382699-7209-11dd-8d18-00173f3bf280}] \Shell\AutoRun\command - G: .com \Shell\explore\Command - G: .com \Shell\open\Command - G: .com . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' 2008-08-22 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34] . - - - - ORPHANS REMOVED - - - - Toolbar-ITBar7Layout - (no file) Toolbar-ITBar7Position - (no file) ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-27 14:34:55 Windows 5.1.2600 Service Pack 3 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\WINDOWS\system32\ati2evxx.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Belkin\F5D8001v2\Belkinwcui.exe C:\Program Files\Belkin\F5D8001v2\ChkDev.exe C:\Program Files\iPod\bin\iPodService.exe . ************************************************************************** . Temps d'accomplissement: 2008-08-27 14:35:38 - machine was rebooted ComboFix-quarantined-files.txt 2008-08-27 12:35:35 Pre-Run: 15,559,217,152 octets libres Post-Run: 15,486,803,968 octets libres 255

sKe69 · Answer

Il en reste des traces dans ton lecteur G !

Toujours tous tes unités externe branchées !...

Supprimes le CFScript que tu as et rebelotte avec ce qui suit :

1-Crées un doc texte sur ton bureau : 
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" . 

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer : 

Registry:: 
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ff382699-7209-11dd-8d18-00173f3bf280}]

File:: 
G:
.com 

Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : 
CFScript puis valides ...
 

2-Nettoyage :

!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENSES ( tu les réactiveras après )  !! 

--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe . 

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide. 

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!) 

!! Ne touches à rien tant que le scan n'est pas terminé !! 

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport HijackThis pour analyse ... 

Puis donnes moi des nouvelles du PC ... encore des soucis ?

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

darksqual · Answer

ComboFix 08-08-26.02 - Administrateur 2008-08-27 16:52:21.5 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.2578 [GMT 2:00] Endroit: C:\Documents and Settings\Administrateur\Bureau\C-Fix.exe Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] FILE :: G: .com . ((((((((((((((((((((((((((((( Fichiers créés 2008-07-27 to 2008-08-27 )))))))))))))))))))))))))))))))))))) . 2008-08-26 19:42 . 2008-08-26 19:42 d-------- C:\WINDOWS\system32\Kaspersky Lab 2008-08-26 19:22 . 2008-08-27 12:50 d-------- C:\Documents and Settings\Administrateur\Application Data\OpenOffice.org2 2008-08-26 19:19 . 2008-08-27 12:23 d-------- C:\Program Files\OpenOffice.org 2.1 2008-08-25 20:10 . 2008-08-25 22:24 d-------- C:\WINDOWS\BDOSCAN8 2008-08-25 16:58 . 2008-08-25 16:58 280,090 --a------ C:\upload_moi_PHILOU.tar.gz 2008-08-25 14:27 . 2008-08-25 14:27 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-08-25 14:27 . 2008-08-25 14:27 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-08-25 14:27 . 2008-08-25 14:27 d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes 2008-08-25 14:27 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-25 14:27 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-08-25 11:08 . 2008-08-25 11:08 d-------- C:\WINDOWS\system32\xircom 2008-08-25 11:08 . 2008-08-25 11:08 d-------- C:\WINDOWS\system32\oobe 2008-08-25 11:08 . 2008-08-25 11:08 d-------- C:\WINDOWS\system32 pp 2008-08-25 11:08 . 2008-08-25 11:08 d-------- C:\WINDOWS\msagent 2008-08-25 11:08 . 2008-08-25 11:08 d-------- C:\Program Files\microsoft frontpage 2008-08-25 11:06 . 2008-08-25 11:06 579,584 --a------ C:\WINDOWS\system32\dllcache\user32.dll 2008-08-25 11:05 . 2008-08-25 14:07 d-------- C:\WINDOWS\ERUNT 2008-08-25 11:05 . 2008-08-27 14:32 d-------- C:\Backups 2008-08-25 10:24 . 2008-08-25 10:41 892 --a------ C:\WINDOWS\system32 mp.reg 2008-08-25 10:22 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-08-25 10:22 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-08-25 10:22 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe 2008-08-25 10:22 . 2008-08-14 21:52 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe 2008-08-25 10:22 . 2008-08-18 12:19 82,432 --a------ C:\WINDOWS\system32\404Fix.exe 2008-08-25 10:22 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-08-25 10:22 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-08-25 10:22 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-08-25 10:04 . 2008-08-25 19:43 d-------- C:\Program Files\7-Zip 2008-08-25 08:47 . 2008-08-25 14:20 d-------- C:\Program Files\Trend Micro 2008-08-21 19:05 . 2008-08-21 19:05 d-------- C:\Program Files\Belkin 2008-08-21 19:05 . 2006-08-16 14:44 572,160 --a------ C:\WINDOWS\system32 etmw143.sys 2008-08-21 19:05 . 2006-08-16 14:43 553,984 --a------ C:\WINDOWS\system32 etmw145.sys 2008-08-21 19:05 . 2006-08-16 14:43 553,984 --a------ C:\WINDOWS\system32\drivers\NETMW145.sys 2008-08-21 19:05 . 2006-09-15 14:04 105,716 --a------ C:\WINDOWS\system32\NetMW14x.inf 2008-08-21 19:05 . 2006-10-17 19:52 8,485 --a------ C:\WINDOWS\system32 etmw14x.cat 2008-08-20 14:40 . 2008-08-20 14:40 d-------- C:\Program Files\Alwil Software 2008-08-20 14:40 . 2003-03-18 22:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll 2008-08-20 14:40 . 2003-03-18 21:14 499,712 --a------ C:\WINDOWS\system32\MSVCP71.dll 2008-08-20 14:40 . 2003-02-21 05:42 348,160 --a------ C:\WINDOWS\system32\MSVCR71.dll 2008-08-20 01:28 . 2008-08-20 01:28 d-------- C:\Logs 2008-08-19 13:32 . 2008-08-19 13:32 d-------- C:\Program Files\iPod 2008-08-18 19:20 . 2008-08-18 19:20 d-------- C:\Program Files\uTorrent 2008-08-18 19:20 . 2008-08-20 01:57 d-------- C:\Documents and Settings\Administrateur\Application Data\uTorrent 2008-08-18 18:56 . 2008-08-18 18:56 d-------- C:\Documents and Settings\Administrateur\Contacts 2008-08-18 18:54 . 2008-08-18 18:54 d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller 2008-08-18 18:53 . 2008-08-18 18:53 d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller 2008-08-18 16:19 . 2008-08-18 16:19 8,192 --a------ C:\WINDOWS\REGLOCS.OLD 2008-08-18 16:17 . 2008-08-18 16:17 0 --a------ C:\WINDOWS sreg.dat 2008-08-17 05:27 . 2008-08-20 01:36 d-------- C:\Program Files\World of Warcraft 2008-08-17 05:27 . 2008-08-17 05:27 d-------- C:\Program Files\Fichiers communs\Blizzard Entertainment 2008-08-16 15:19 . 2008-08-20 14:04 d-------- C:\Program Files\WowCartographe 2008-08-16 15:13 . 2008-03-09 06:25 236 --ah----- C:\Program Files\Fichiers communs\dx.reg 2008-08-16 15:07 . 2008-08-16 15:07 d-------- C:\Program Files\TeamSpeak 3 2008-08-16 15:07 . 2008-08-16 15:07 d-------- C:\Documents and Settings\Administrateur\Application Data eamspeak2 2008-08-16 07:11 . 2007-05-16 16:45 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll 2008-08-16 07:10 . 2005-05-26 15:34 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll 2008-08-16 07:10 . 2008-08-16 07:10 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-08-16 07:10 . 2008-08-16 07:10 22,328 --a------ C:\Documents and Settings\Administrateur\Application Data\PnkBstrK.sys 2008-08-16 07:09 . 2008-08-16 07:09 d-------- C:\WINDOWS\system32\LogFiles 2008-08-16 07:09 . 2008-08-16 07:10 103,736 --a------ C:\WINDOWS\system32\PnkBstrB.exe 2008-08-16 07:09 . 2008-08-16 07:09 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe 2008-08-16 07:09 . 2008-08-16 07:09 319 --a------ C:\WINDOWS\game.ini 2008-08-16 07:01 . 2008-08-16 07:01 d-------- C:\Program Files\Activision 2008-08-16 06:59 . 2008-08-16 06:59 d--hs---- C:\WINDOWS\ftpcache 2008-08-15 21:35 . 2008-08-15 21:35 d-------- C:\Documents and Settings\Administrateur\Application Data\vlc 2008-08-15 21:34 . 2008-08-15 21:34 d-------- C:\Program Files\VideoLAN 2008-08-15 13:20 . 2008-08-19 13:32 d-------- C:\Program Files\iTunes 2008-08-15 13:20 . 2008-08-15 13:20 d-------- C:\Documents and Settings\Administrateur\Application Data\Apple Computer 2008-08-15 13:20 . 2008-08-19 12:09 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-08-15 13:20 . 2008-08-15 13:20 1,409 --a------ C:\WINDOWS\QTFont.for 2008-08-15 13:19 . 2008-08-19 13:32 d-------- C:\Program Files\QuickTime 2008-08-15 13:19 . 2008-08-15 13:19 d-------- C:\Program Files\Fichiers communs\Apple 2008-08-15 13:19 . 2008-08-15 13:19 d-------- C:\Program Files\Bonjour 2008-08-15 13:19 . 2008-08-19 18:47 d-------- C:\Program Files\Apple Software Update 2008-08-15 13:19 . 2008-08-15 13:20 d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer 2008-08-15 13:19 . 2008-08-15 13:19 d-------- C:\Documents and Settings\All Users\Application Data\Apple 2008-08-15 13:19 . 2008-01-15 02:39 30,464 --a------ C:\WINDOWS\system32\drivers\usbaapl.sys 2008-08-15 08:46 . 2008-08-15 08:46 3,932,214 --a------ C:\WINDOWS\BricoPack Wallpaper.bmp 2008-08-15 08:46 . 2008-08-15 08:46 51,145 --a------ C:\WINDOWS\BricoPackUninst.cmd 2008-08-15 08:45 . 2008-08-15 08:45 d-------- C:\WINDOWS\BricoPacks 2008-08-15 08:45 . 2008-08-15 08:46 6,120 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd 2008-08-15 05:47 . 2008-08-15 05:47 d-------- C:\Documents and Settings\Administrateur\Application Data\Lavasoft 2008-08-15 05:42 . 2008-08-15 05:42 d-------- C:\WINDOWS\system32\Atheros_L1e 2008-08-15 05:42 . 2008-02-02 17:54 36,864 -ra------ C:\WINDOWS\system32\drivers\l1e51x86.sys 2008-08-15 05:32 . 2008-08-15 05:32 d-------- C:\Program Files\Realtek 2008-08-15 05:31 . 2008-03-05 20:07 520,192 -r------- C:\WINDOWS\RtlExUpd.dll 2008-08-15 05:31 . 2008-08-15 05:31 315,392 --a------ C:\WINDOWS\HideWin.exe 2008-08-15 05:27 . 2008-08-15 05:27 0 --a------ C:\WINDOWS\ativpsrm.bin 2008-08-15 05:26 . 2008-08-25 13:00 d--h----- C:\Program Files\InstallShield Installation Information 2008-08-15 05:26 . 2008-08-15 05:31 d-------- C:\Program Files\Fichiers communs\InstallShield 2008-08-15 05:26 . 2008-08-15 05:26 d-------- C:\Documents and Settings\Administrateur\Application Data\Xentient 2008-08-15 05:26 . 2008-05-15 03:37 3,107,788 -ra------ C:\WINDOWS\system32\ativvaxx.dat 2008-08-15 05:26 . 2008-05-15 03:37 3,107,788 -ra------ C:\WINDOWS\system32\ativva5x.dat 2008-08-15 05:26 . 2008-05-15 03:37 887,724 -ra------ C:\WINDOWS\system32\ativva6x.dat 2008-08-15 05:26 . 2008-05-14 21:05 593,920 --------- C:\WINDOWS\system32\ati2sgag.exe 2008-08-15 05:26 . 2008-05-15 04:12 413,696 -ra------ C:\WINDOWS\system32\ATIDEMGX.dll 2008-08-15 05:26 . 2008-05-15 03:57 307,200 -ra------ C:\WINDOWS\system32\atiiiexx.dll 2008-08-15 05:26 . 2008-04-28 23:09 172,033 -ra------ C:\WINDOWS\system32\atiicdxx.dat 2008-08-15 05:26 . 2008-05-06 19:41 12,787 -ra------ C:\WINDOWS\atiogl.xml 2008-08-15 05:26 . 2007-08-31 15:20 7,167 -ra------ C:\WINDOWS\system32\atifglpf.xml 2008-08-15 05:16 . 2008-08-15 05:16 d-------- C:\WINDOWS\ASUSInstAll 2008-08-15 05:13 . 2008-08-15 05:13 d-------- C:\Program Files\Intel 2008-08-15 05:13 . 2008-08-15 05:13 d-------- C:\Intel 2008-08-15 05:13 . 2008-03-26 05:15 53,248 -ra------ C:\WINDOWS\system32\CSVer.dll 2008-08-15 05:12 . 2008-08-15 05:16 36,807 --a------ C:\WINDOWS\Ascd_log.ini 2008-08-15 05:12 . 2008-08-15 05:40 36,447 --a------ C:\WINDOWS\Ascd_tmp.ini 2008-08-15 05:12 . 2007-12-28 17:22 10,296 --a------ C:\WINDOWS\system32\drivers\ASUSHWIO.SYS 2008-08-15 05:10 . 2008-08-15 05:10 d---s---- C:\WINDOWS\system32\Microsoft 2008-08-15 05:10 . 2008-08-15 05:10 d--hs---- C:\Documents and Settings\NetworkService 2008-08-15 05:10 . 2008-08-25 14:19 d--hs---- C:\Documents and Settings\LocalService 2008-08-15 05:10 . 2008-08-27 14:36 d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau 2008-08-15 05:10 . 2008-08-15 06:52 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression 2008-08-15 05:10 . 2008-08-15 05:03 d-------- C:\Documents and Settings\Administrateur ro.log 2008-08-15 05:10 . 2008-08-15 06:52 d--h----- C:\Documents and Settings\Administrateur\Modèles 2008-08-15 05:10 . 2008-08-18 18:57 dr------- C:\Documents and Settings\Administrateur\Mes documents 2008-08-15 05:10 . 2006-10-30 01:40 d-------- C:\Documents and Settings\Administrateur\Menu Démarrer 2008-08-15 05:10 . 2008-08-15 05:01 d-------- C:\Documents and Settings\Administrateur\IXP000.TMP 2008-08-15 05:10 . 2008-08-16 15:13 dr------- C:\Documents and Settings\Administrateur\Favoris 2008-08-15 05:10 . 2008-08-27 16:52 d-------- C:\Documents and Settings\Administrateur\Bureau 2008-08-15 05:10 . 2008-08-26 01:40 d-------- C:\Documents and Settings\Administrateur 2008-08-15 05:08 . 2008-08-15 06:52 d--h----- C:\WINDOWS\system32\config\systemprofile\Voisinage réseau 2008-08-15 05:08 . 2008-08-15 06:52 d--h----- C:\WINDOWS\system32\config\systemprofile\Voisinage d'impression 2008-08-15 05:08 . 2008-08-15 05:03 d-------- C:\WINDOWS\system32\config\systemprofile sy6FC.tmp 2008-08-15 05:08 . 2008-08-15 05:03 d-------- C:\WINDOWS\system32\config\systemprofile sw6FA.tmp 2008-08-15 05:08 . 2008-08-15 05:03 d-------- C:\WINDOWS\system32\config\systemprofile ro.log . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-25 11:01 --------- d-----w C:\Program Files\counter-strike 2008-08-15 06:46 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll 2008-08-15 02:56 --------- d-----w C:\Program Files\Windows Media Connect 2 2006-06-24 06:48 32,768 ----a-r C:\WINDOWS\inf\UpdateUSB.exe . ------- Sigcheck ------- 2008-05-03 00:57 818176 e6823e19ad276a9c4758d07c5ee08af2 C:\WINDOWS\system32\wininet.dll 2008-05-03 00:57 361344 accf5a9a1ffaa490f33dba1c632b95e1 C:\WINDOWS\system32\drivers cpip.sys 2008-05-03 00:57 2364928 3391f4ddea530297e720357f40ad06eb C:\WINDOWS\system32 tkrnlpa.exe 2008-05-03 00:57 2486272 2e36c8be37e4e86277e559462322375c C:\WINDOWS\system32 toskrnl.exe 2008-05-03 00:57 1012224 80168dbff613f671f1bcae0e169fb321 C:\WINDOWS\explorer.exe 2008-05-03 00:57 68440 84d9a61860272d6177d46c86b8431557 C:\WINDOWS\system32\wuauclt.exe . ((((((((((((((((((((((((((((( snapshot@2008-08-27_14.35.26.92 ))))))))))))))))))))))))))))))))))))))))) . - 2008-08-27 09:10:31 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2008-08-27 12:34:44 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat - 2008-08-27 09:10:31 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat + 2008-08-27 12:34:44 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat - 2008-08-27 09:10:31 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat + 2008-08-27 12:34:44 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat - 2008-08-27 09:14:32 61,074 ----a-w C:\WINDOWS\system32\perfc009.dat + 2008-08-27 12:38:47 61,074 ----a-w C:\WINDOWS\system32\perfc009.dat - 2008-08-27 09:14:32 73,570 ----a-w C:\WINDOWS\system32\perfc00C.dat + 2008-08-27 12:38:47 73,570 ----a-w C:\WINDOWS\system32\perfc00C.dat - 2008-08-27 09:14:32 398,554 ----a-w C:\WINDOWS\system32\perfh009.dat + 2008-08-27 12:38:47 398,554 ----a-w C:\WINDOWS\system32\perfh009.dat - 2008-08-27 09:14:32 465,206 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2008-08-27 12:38:47 465,206 ----a-w C:\WINDOWS\system32\perfh00C.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TaskSwitchXP"="C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-05 00:29 62976] "RocketDock"="C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe" [2007-03-19 00:05 630784] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-05-03 00:57 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AppleSyncNotifier"="C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-22 20:42 116040] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-07-30 10:47 289064] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "TaskSwitchXP"="C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-05 00:29 62976] C:\Documents and Settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\ RocketDock.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-19 00:05:02 630784] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Utilitaire sans fil Belkin.lnk - C:\Program Files\Belkin\F5D8001v2\Belkinwcui.exe [2008-08-21 19:05:26 1576960] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoDesktopCleanupWizard"= 1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSMHelp"= 1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoSMHelp"= 1 (0x1) [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL] -r------- 2008-03-26 18:14 16859136 C:\WINDOWS\RTHDCPL.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\Network Diagnostic\xpnetdiag.exe"= "%windir%\system32\sessmgr.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "C:\Program Files\Bonjour\mDNSResponder.exe"= "C:\WINDOWS\system32\PnkBstrA.exe"= "C:\WINDOWS\system32\PnkBstrB.exe"= "C:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe"= "C:\Program Files\uTorrent\uTorrent.exe"= "C:\Program Files\iTunes\iTunes.exe"= R0 Si3124;Si3124;C:\WINDOWS\system32\drivers\Si3124.sys [2008-05-03 00:57] R0 Si3132r5;Si3132r5;C:\WINDOWS\system32\drivers\Si3132r5.sys [2008-05-03 00:57] R0 Si3531;Si3531;C:\WINDOWS\system32\drivers\Si3531.sys [2008-05-03 00:57] R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37] R3 L1e;Miniport Driver for Atheros AR8121/AR8113 PCI-E Ethernet Controller;C:\WINDOWS\system32\DRIVERS\l1e51x86.sys [2008-02-02 17:54] R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 09:45] S3 NETMW145;Belkin N1 Wireless Desktop Card Service for Windows XP;C:\WINDOWS\system32\DRIVERS\NETMW145.sys [2006-08-16 14:43] . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' 2008-08-22 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34] . - - - - ORPHANS REMOVED - - - - Toolbar-ITBar7Layout - (no file) Toolbar-ITBar7Position - (no file) ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-27 16:53:02 Windows 5.1.2600 Service Pack 3 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-08-27 16:53:18 ComboFix-quarantined-files.txt 2008-08-27 14:53:16 ComboFix2.txt 2008-08-27 12:35:39 Pre-Run: 15,465,222,144 octets libres Post-Run: 15,453,724,672 octets libres 242

darksqual · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:56:34, on 27/08/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20815)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Belkin\F5D8001v2\Belkinwcui.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Global Startup: Utilitaire sans fil Belkin.lnk = C:\Program Files\Belkin\F5D8001v2\Belkinwcui.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

darksqual · Answer

Voila!

Mon avast ne s'affole plus c'est plutot bon signe!
Qu'est ce que donne le rapport ?

merci

darksqual · Answer

Ha par contre mon avast ne ce met plus en route (il n'apparait plus en bas a droite dans la barre et en faisant "demarrer => programmes => avast" il n'y a pas de fonction pour le réactiver...
Sait tu comment je pourrais le réactiver?

sKe69 · Answer

Impec...

Disparition de l'icone d'avast ( suite à combofix par expl ... ) :

vas dans "C:\program files", puis recherche le dossier "alwil" (Avast) .
Tu rentres dedans et recherches " ashDisp.exe " -> tu cliques dessus ---> l´icone d´avast devrait réaparaitre ...


1- Refais un coup de CCleaner ( registre compris )


2- Si et seulement si tu n'as plus de prb , fais ce qui suit :

Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau. 
http://pc-system.fr/

Déconnectes toi et fermes bien toutes tes applications en cours .

Lances le . 
*Cliques sur Recherche et laisses le scan se terminer (cela peut être long). 
*Cliques sur Suppression pour finaliser. 
*Tu peux, si tu le souhaites, te servir des Options facultatives 
*Click sur "quitter" pour générer un rapport :
---> Postes le (TCleaner.txt), il se trouve à la racine de ton disque dur (C:\). 

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection ( tu n'en as plus besion ! ) . 
Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé . 

Puis enfin supprimes Toolscleaner2 ... ( Gardes CCleaner et Malwarebytes : très utile )


3- Restauration système 
*Désactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK 
--->Redémarres ton PC 
*Réactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK 
--->Redémarres ton PC 


Une fois cela fait , dis moi si tout est OK ...  ;)

darksqual · Answer

-->- Recherche: 

C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\Administrateur\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

darksqual · Answer

Et voila tout me semble parfait !!!

Je te remercie encore et encore pour ton aide et tes compétences précieuses !!!

A bientot pour de nouvelles aventures :p !!!!

sKe69 · Answer

Prb résolut donc ^^ : 
http://www.commentcamarche.net/faq/sujet 11365 mettre son poste en probleme resolu


Content d'avoir pu te rendre service , et encore désolé pour la méprise ! ;p


potasses ce-ci :

Des informations intéressantes pour toi et ton PC :

=> Comportement à adopter avec son PC : http://assiste.com.free.fr/p/abc/a/safe_cex.html 
et pourquoi ( exemple ) : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html

=> Surveillance : 
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement). 

Pourquoi ? Pour éviter de se retrouver dans ce genre de situation par exemple ( peu commune mais ...) :
-> http://secubox.aldria.com/topic-2373.html

=============================================================

=> Il faut mettre a jour la console Java régulièrement aussi : 

Rends toi sur https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0 
Après avoir installé la dernière version, désinstalle les anciennes versions (de Java) afin d’éliminer les failles de sécurité présentes dans ces anciennes versions. 
via Démarrer / Paramètres / Panneau de config / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme. 
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé . 
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre. 

============================================================= 

=> Afin d’éviter les autres failles de sécurité des différents programmes présents sur ton PC : 

Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html 
-Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/ 
-Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page. 

===========================================================
* le pare- feu de Xp vaut rien , je te conseille fortement dans installer un :
Armor ou Comodo sont très bien ( en anglais mais gratuit ) , tu trouveras tout ce qu'il faut ici :
http://www.commentcamarche.net/telecharger/logiciel 38 firewall

tutos :
https://www.malekal.com/tutorial-online-armor-free/
https://www.malekal.com/tutorial-comodo-firewall/



* tests firewall: http://www.matousec.com/index.html 

=> Un complément au pare-feu pour fermer les ports risqués (dangereux, s’ils restent ouverts) : 

ZebProtect (application ne nécessitant pas d’installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html 

-Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html 

================================================================ 

--> Tutorial pour sécuriser Firefox ( si tu utilises ce navigateur ) :
 https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/ 

=================================================================
=> Rappel sur les principales causes d'infection : 

* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci : 

Les dangers des cracks : http://forum.malekal.com/ftopic893.php 

->Le crack dans toute sa splendeur, journal d'une infection attendue : 
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/ 

->autre exemple en image , où comment s'infiltre une infection par un pseudo crack :
http://secuboxlabs.fr/archives/computertoday.html

* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent): 

Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/ 

Pourquoi éviter le P2P : http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793 
https://lexpansion.lexpress.fr/actualite-economique/ 

* Prévention sur deux autres types d'infection d'actualité : 

MSN prévention : 
->https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/
->autre danger grandissant , le " phishing " (= hameçonnage ) :
http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte
 

Infection par supports amovibles (clefs usb, flash, DD externes ..) :
https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/ 
https://forum.malekal.com/viewtopic.php?f=45&t=5544 

=================================================================
( merci le sioux )


Voili , voilou ...


Bonne continuation à toi ...=)


A+

darksqual · Answer

Fiou je vais potasser tout ca !!!!!!!!!!!!!!! ca vaux le coup je pense de passer du temps pour avoir un pc clean lol

Merci encore et bonne continuation a toi aussi ;)

Le sioux · Answer

Bonsoir les gars.

Sympa ce speech de fin ;)

Au boulot darksqual !  Bon courage.

Salut.

gaga20032000 · Answer

je demmande la procedure comment supprimé le virus;
win32:rootkit-get, malgré j'ai installé un anti virus avaste edution4.8+mise ajour recente
j'ai tout ft scaner mon ps et j'arrive ps le supprimé.merci

Quartzz · Answer

Tu peux tout simplement supprimer le malware sur le registre pas la peine de faire tout sa...

shamrock · Answer

voici ma manip avec hijackthis !

je ne sait pas quoi faire de ces info ? merci de bien vouloir maider

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:38:20, on 2008-12-06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\vVX1000.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\acs.exe
C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
C:\Program Files\NETGEAR\WPN311\wlancfg5.exe
C:\Program Files\Microsoft LifeCam\MSCamS32.exe
C:\Nexon\Mabinogi
pkcmsvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32egsvr32.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://ca.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {3D9C8F45-2FE2-476A-9F16-01031C8CDDB6} - C:\WINDOWS\system32\awtutsss.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\fccaBTnO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: adsoftinc browser enhancer - {B2CB6F94-C088-6892-851D-D9F81218A459} - C:\WINDOWS\system32\xhcenqyxnhqif.dll
O2 - BHO: adsoftinc - {d5a8c712-af89-95fb-1b49-b9d42aefd32b} - C:\WINDOWS\system32
saD.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe
O4 - HKLM\..\Run: [Windows UDP Control Center] fxstaller.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [fitmdvxajwczvfgtk] C:\WINDOWS\System32egsvr32.exe /s "C:\WINDOWS\system32\xhcenqyxnhqif.dll"
O4 - HKLM\..\Run: [spywarefighterguard] C:\Program Files\Fighters\spywarefighter\SpywarefighterUser.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [VnrBlock21] "C:\Program Files\VnrBlock\VnrBlock21.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [Lsass Service] C:\Documents and Settings\Administrateur\Application Data\Microsoft\Windows\lsass.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'Default user')
O4 - Startup: p2pmax.lnk = C:\Program Files\p2pmax\p2pmax.exe
O4 - Startup: ppcb_32.lnk = C:\Program Files\ppcbooster\ppcb_32.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: NETGEAR WPN311 Smart Wizard.lnk = C:\Program Files\NETGEAR\WPN311\wlancfg5.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - AppInit_DLLs: mss.dll
O20 - Winlogon Notify: fccaBTnO - C:\WINDOWS\SYSTEM32\fccaBTnO.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: npkcmsvc - INCA Internet Co., Ltd. - C:\Nexon\Mabinogi
pkcmsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PTK License-FIGHTERS-297811811 - Unknown owner - C:\Program Files\Fighters\licenseservice.exe (file missing)
O23 - Service: PTK Live Update-FIGHTERS-297811811 - Unknown owner - C:\Program Files\Fighters\updateservice.exe (file missing)
O23 - Service: PTK Scanner-FIGHTERS-297811811 - Unknown owner - C:\Program Files\Fighters\ScannerService.exe (file missing)
O23 - Service: PTK SharedAccess-FIGHTERS-297811811 - Unknown owner - C:\Program Files\Fighters\configservice.exe (file missing)
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

sKe69 · Answer

shamrock, 

Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procède comme ceci : 
*Clique sur ce lien -> http://www.commentcamarche.net/forum/forum 7#ecrire

*Puis dans l'encadré, en dessous du "bonjour",expose clairement et précisément ton problème ... 
Pour poster ta question sur le forum, tu n'as plus qu'à cliquer sur "Ajouter" ...
Patiente et un helper finira par te prendre en charge  ;)

Bonne chance  =)

A+

Win32:rootkit-gen[RTK]

80 réponses

Discussions similaires