Xp antivirus 2008 vraiment coriace

Réponse 21 / 42

Le sioux Messages postés 4894 Date d'inscription Statut Contributeur sécurité Dernière intervention 496

Re

Désolé, je fais plusieurs choses à la fois du coup, j'ai mangé une partie des explications :

Clique droit sur la page qui s’est affichée "fichier"/"enregistrer sous" :
dans : sur le Bureau
Nom du fichier : Safeboot.reg
Type de fichier : "tous les fichiers"
Clique sur "enregistrer"

Note: Lors de l'enregistrement, il faut choisir pour le champ "Type": "Tous les fichiers"

Quitte Internet et double clique sur fix.reg sur ton Bureau
=> tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

Normalement tu devrais pouvoir accéder au mode sans échec.

Dis moi ce qu'il en est .

@ suivre

Réponse 22 / 42

Lil

Ben, j'ai enlevé le .txt avant de lire ton message, j'ai relancé le mode sans echec... Je recommence, ou j'attends un signe du ciel ?

Réponse 23 / 42

Lil

Encore un double post vraiment désolée, (je ne trouve pas comment editer -_-")

Mon frère souhaite dormir malgré le fait qu j'ai tué son PC^^, je reviendrais demain, à tête reposée, merci beaucoup pour ton aide

Réponse 24 / 42

Le sioux Messages postés 4894 Date d'inscription Statut Contributeur sécurité Dernière intervention 496

Re essaie donc le mse comme demandé si cela ne fonctionne toujours pas, on fera avec un autre outils.

@ plus.

Réponse 25 / 42

Le sioux Messages postés 4894 Date d'inscription Statut Contributeur sécurité Dernière intervention 496

Re

Ok, a demain, bonne nuit.

Je te donne un autre "truc" pour tenter de réparer le mode sans échec :

Télécharge SREng de Smallfrogs :

http://www.kztechs.com/eng/download.html

Extraits tout son contenu sur ton Bureau.
Du dossier sreng2 qui se trouve maintenant sur ton Bureau, double-clique sur SREngPS.exe afin de lancer l'outil

Clique sur "System Repair" puis sur l’onglet à droite "Advanced Repair" puis en bas clique sur Repair Safe Mode

Fais redémarrer ton PC, normalement tu devrais pouvoir accéder au mode sans échec.

Tu me diras ce qu'il en est ce coup la ;)

@ suivre

Réponse 26 / 42

g!rly Messages postés 18215 Date d'inscription Statut Contributeur Dernière intervention 406

Salut le sioux,

Pour suivre ;)

Réponse 27 / 42

Le sioux Messages postés 4894 Date d'inscription Statut Contributeur sécurité Dernière intervention 496

Hello g!rly

Bonne journée.

Réponse 28 / 42

Lil

Quel miracle, je suis dans le mode sans echec o/
Je vais essayer SDfix et suivre vos instructions chef ^^

Réponse 29 / 42

Lil

Le virus est toujours présent :/
Il est indestructible ?!

[b]SDFix: Version 1.219 [/b]
Run by Thibaut on 28/08/2008 at 14:32

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:

Restoring Default Security Values
Restoring Default Hosts File
Restoring Default Desktop Wallpaper
Restoring Default ScreenSaver value

Rebooting

[b]Checking Files [/b]:

Trojan Files Found:

C:\WINDOWS\system32\lphcejaj0eg1v.exe - Deleted
C:\WINDOWS\system32\pphcejaj0eg1v.exe - Deleted
C:\WINDOWS\system32\phcejaj0eg1v.bmp - Deleted
C:\WINDOWS\system32\blphcejaj0eg1v.scr - Deleted
C:\1.TMP - Deleted
C:\WINDOWS\system32\home.exe.exe - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt1.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt10.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt11.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt12.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt13.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt14.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt15.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt16.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt17.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt18.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt19.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt1A.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt1B.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt1C.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt1D.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt1E.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt1F.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt2.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt21.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt22.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt23.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt24.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt26.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt27.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt28.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt29.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt2A.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt2B.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt2C.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt2E.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt2F.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt3.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt30.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt32.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt33.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt34.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt35.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt36.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt38.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt39.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt3A.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt3B.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt3C.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt3D.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt3F.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt4.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt41.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt42.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt48.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt5.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt6.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt7.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt8.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt9.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.ttA.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.ttB.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.ttC.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.ttD.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.ttE.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.ttF.tmp - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt1.tmp.vbs - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt11.tmp.vbs - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt13.tmp.vbs - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt15.tmp.vbs - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt17.tmp.vbs - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt19.tmp.vbs - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt1B.tmp.vbs - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt1C.tmp.vbs - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt1E.tmp.vbs - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt2.tmp.vbs - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt3.tmp.vbs - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt4.tmp.vbs - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt5.tmp.vbs - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt6.tmp.vbs - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.tt8.tmp.vbs - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.ttA.tmp.vbs - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.ttC.tmp.vbs - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\.ttF.tmp.vbs - Deleted
C:\DOCUME~1\Thibaut\LOCALS~1\Temp\tds1A.tmp - Deleted
C:\1.tmp - Deleted
C:\2.tmp - Deleted
C:\WINDOWS\system32\drivers\tdssserv.sys - Deleted
C:\WINDOWS\system32\tdssadw.dll - Deleted
C:\WINDOWS\system32\tdssinit.dll - Deleted
C:\WINDOWS\system32\tdssl.dll - Deleted
C:\WINDOWS\system32\tdsslog.dll - Deleted
C:\WINDOWS\system32\tdssmain.dll - Deleted

Folder C:\Documents and Settings\Thibaut\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#w*w.redtube.com - Removed

Removing Temp Files

[b]ADS Check [/b]:

[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-28 14:52:22
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\tdssserv.sys"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\tdssserv]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\tdssserv.sys"

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

[b]Remaining Services [/b]:

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\WINDOWS\\system32\\LEXPPS.EXE"="C:\\WINDOWS\\system32\\LEXPPS.EXE:*:Enabled:LEXPPS.EXE"
"C:\\Program Files\\Java\\jre1.5.0_06\\bin\\javaw.exe"="C:\\Program Files\\Java\\jre1.5.0_06\\bin\\javaw.exe:*:Enabled:Java(TM) 2 Platform Standard Edition binary"
"C:\\Program Files\\Azureus\\Azureus.exe"="C:\\Program Files\\Azureus\\Azureus.exe:*:Enabled:Azureus"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\Internet Explorer\\iexplore.exe"="C:\\Program Files\\Internet Explorer\\iexplore.exe:*:Disabled:Internet Explorer"
"C:\\Program Files\\Pando Networks\\Pando\\pando.exe"="C:\\Program Files\\Pando Networks\\Pando\\pando.exe:*:Disabled:pando"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"="C:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe:*:Enabled:Veoh Client"
"C:\\WINDOWS\\system32\\drivers\\svchost.exe"="C:\\WINDOWS\\system32\\drivers\\svchost.exe:*:Disabled:svchost"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[b]Remaining Files [/b]:

File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Tue 1 Mar 2005 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

[b]Finished![/b]

raport Highjack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:01:55, on 28/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\rhcajaj0eg1v\rhcajaj0eg1v.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\RealOneMessageCenter.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Veoh Networks\Veoh\VeohClient.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\pphcejaj0eg1v.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {15651C7C-E812-44a2-A9AC-B467A2233E7D} - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: Barre d'outils &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SMrhcajaj0eg1v] C:\Program Files\rhcajaj0eg1v\rhcajaj0eg1v.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MsgCenterExe] "C:\Program Files\Fichiers communs\Real\Update_OB\RealOneMessageCenter.exe" -osboot
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: 123MP3FR - {76DD9E77-F06C-4471-AB6C-CF03C5C6B5B0} - C:\WINDOWS\system32\123MP3FR (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Réponse 30 / 42

Lil

Hop, triple post o/

Bon, j'ai essayé combofix, je poste le rapport ainsi qu'un nouveau raport Hijack, le rectangle du virus a disparu du bureau pour le moment...

ComboFix 08-08-27.01 - Thibaut 2008-08-28 15:08:37.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.180 [GMT 2:00]
Endroit: C:\Documents and Settings\Thibaut\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\9.tmp
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\DriveCleaner 2006 Free
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\DriveCleaner 2006 Free\DriveCleaner 2006.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\DriveCleaner 2006 Free\Désinstaller DriveCleaner 2006.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\DriveCleaner 2006 Free\Mode d'emploi en ligne de DriveCleaner 2006.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\DriveCleaner 2006 Free\Page d´accueil de DriveCleaner 2006.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\DriveCleaner 2006 Free\Support en ligne de DriveCleaner 2006.lnk
C:\Documents and Settings\Dominique\Application Data\DriveCleaner 2006 Free
C:\Documents and Settings\Dominique\Application Data\DriveCleaner 2006 Free\Logs\update.log
C:\Documents and Settings\Dominique\Application Data\macromedia\Flash Player\#SharedObjects\A5E8DWW7\interclick.com
C:\Documents and Settings\Dominique\Application Data\macromedia\Flash Player\#SharedObjects\A5E8DWW7\interclick.com\ud.sol
C:\Documents and Settings\Dominique\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com
C:\Documents and Settings\Dominique\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com\settings.sol
C:\Documents and Settings\Dominique\Cookies\dominique@bluestreak[2].txt
C:\Documents and Settings\Dominique\Cookies\dominique@clickintext[2].txt
C:\Documents and Settings\Dominique\Cookies\dominique@edt02[1].txt
C:\Documents and Settings\Dominique\Cookies\dominique@tracker.affistats[2].txt
C:\Documents and Settings\Dominique\err.log
C:\Documents and Settings\Poste1\Application Data\rhcajaj0eg1v
C:\Documents and Settings\Thibaut\Application Data\DriveCleaner 2006 Free
C:\Documents and Settings\Thibaut\Application Data\DriveCleaner 2006 Free\Logs\update.log
C:\Documents and Settings\Thibaut\Application Data\macromedia\Flash Player\#SharedObjects\SK5L5C83\interclick.com
C:\Documents and Settings\Thibaut\Application Data\macromedia\Flash Player\#SharedObjects\SK5L5C83\interclick.com\ud.sol
C:\Documents and Settings\Thibaut\Application Data\macromedia\Flash Player\#SharedObjects\SK5L5C83\static.youku.com
C:\Documents and Settings\Thibaut\Application Data\macromedia\Flash Player\#SharedObjects\SK5L5C83\static.youku.com\v1.0.0230\v\swf\qplayer.swf\youku.sol
C:\Documents and Settings\Thibaut\Application Data\macromedia\Flash Player\#SharedObjects\SK5L5C83\static.youku.com\v1.0.0233\v\swf\qplayer.swf\youku.sol
C:\Documents and Settings\Thibaut\Application Data\macromedia\Flash Player\#SharedObjects\SK5L5C83\static.youku.com\v1.0.0236\v\swf\qplayer.swf\youku.sol
C:\Documents and Settings\Thibaut\Application Data\macromedia\Flash Player\#SharedObjects\SK5L5C83\www.broadcaster.com
C:\Documents and Settings\Thibaut\Application Data\macromedia\Flash Player\#SharedObjects\SK5L5C83\www.broadcaster.com\played_list.sol
C:\Documents and Settings\Thibaut\Application Data\macromedia\Flash Player\#SharedObjects\SK5L5C83\www.broadcaster.com\video_queue.sol
C:\Documents and Settings\Thibaut\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com
C:\Documents and Settings\Thibaut\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com\settings.sol
C:\Documents and Settings\Thibaut\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#static.youku.com
C:\Documents and Settings\Thibaut\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#static.youku.com\settings.sol
C:\Documents and Settings\Thibaut\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com
C:\Documents and Settings\Thibaut\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com\settings.sol
C:\Documents and Settings\Thibaut\Application Data\rhcajaj0eg1v
C:\Documents and Settings\Thibaut\Cookies\thibaut@ad.yieldmanager[2].txt
C:\Documents and Settings\Thibaut\Cookies\thibaut@bluestreak[1].txt
C:\Documents and Settings\Thibaut\Cookies\thibaut@clickintext[2].txt
C:\Documents and Settings\Thibaut\Cookies\thibaut@edt02[2].txt
C:\Documents and Settings\Thibaut\Cookies\thibaut@fnac[2].txt
C:\Documents and Settings\Thibaut\Cookies\thibaut@hotbar[2].txt
C:\Documents and Settings\Thibaut\Cookies\thibaut@reactivpub[2].txt
C:\Documents and Settings\Thibaut\Cookies\thibaut@reussissonsensemble[2].txt
C:\Documents and Settings\Thibaut\Cookies\thibaut@stats.thegreatspirit[1].txt
C:\Documents and Settings\Thibaut\Cookies\thibaut@tracker.affistats[2].txt
C:\Documents and Settings\Thibaut\Cookies\thibaut@tradedoubler[1].txt
C:\Documents and Settings\Thibaut\Cookies\thibaut@xfya49b6f94190ee72f3df3829c835fa9d0.nodes.reactivpub.fr.id101198.xdir[2].txt
C:\Documents and Settings\Thibaut\err.log
C:\Documents and Settings\Thibaut\Local Settings\Application Data\uuqsoic_navfx.dat
C:\Program Files\rhcajaj0eg1v
C:\WINDOWS\system32\pphcejaj0eg1v.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV
-------\Service_tdssserv

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-28 to 2008-08-28 ))))))))))))))))))))))))))))))))))))
.

2008-08-28 14:09 . 2008-08-28 14:09 <REP> d-------- C:\WINDOWS\erunt
2008-08-28 02:45 . 2008-08-28 14:57 <REP> d-------- C:\SDFix
2008-08-28 01:33 . 2008-08-28 01:33 <REP> d-------- C:\Program Files\Trend Micro
2008-08-27 22:23 . 2008-08-27 22:23 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-08-27 22:23 . 2008-08-17 15:05 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-27 22:23 . 2008-08-17 15:05 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-27 21:36 . 2008-08-27 21:37 <REP> d-------- C:\Program Files\Crawler
2008-08-27 21:20 . 2008-08-27 23:36 <REP> d-------- C:\Program Files\RogueRemover FREE
2008-08-27 19:59 . 2008-08-27 19:59 <REP> d-------- C:\Documents and Settings\Poste1\Application Data\Malwarebytes
2008-08-27 19:29 . 2008-08-27 19:29 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-08-27 19:25 . 2004-02-11 23:59 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-08-27 19:25 . 2004-02-11 23:59 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-08-27 19:25 . 2004-02-11 17:15 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2008-08-27 19:25 . 2004-02-11 23:59 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-08-27 19:25 . 2004-02-11 23:59 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-08-27 19:25 . 2004-02-11 23:59 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-08-27 19:25 . 2004-02-11 23:59 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-08-27 19:25 . 2008-08-27 19:25 <REP> d-------- C:\Documents and Settings\Administrateur
2008-08-27 18:10 . 2008-08-27 18:10 <REP> d-------- C:\Documents and Settings\Thibaut\Application Data\Malwarebytes
2008-08-27 18:10 . 2008-08-27 18:10 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-27 18:10 . 2008-08-27 19:00 12,288 --a------ C:\WINDOWS\system32\tdssserf.dll
2008-08-06 16:53 . 2008-08-06 16:53 <REP> d-------- C:\Documents and Settings\Thibaut\Application Data\Zylom
2008-08-06 16:53 . 2006-09-26 14:46 1,957,888 --a------ C:\WINDOWS\system32\Tropix.scr
2008-08-05 00:15 . 2008-08-05 01:13 <REP> d-------- C:\WINDOWS\system32\CatRoot_bak

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-08 03:00 --------- d-----w C:\Program Files\DivX
2008-08-06 14:52 --------- d-----w C:\Program Files\Zylom Games
2008-07-21 17:07 --------- d-----w C:\Documents and Settings\Dominique\Application Data\Azureus
2008-07-11 14:49 --------- d-----w C:\Program Files\Lexmark X1100 Series
2008-07-02 10:05 --------- d-----w C:\Documents and Settings\Dominique\Application Data\Zylom
2008-05-16 14:05 774,144 ----a-w C:\Program Files\RngInterstitial.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Veoh"="C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" [2008-08-13 18:06 3660848]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2005-08-18 10:49 307200]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-05-30 19:55 68856]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-04-19 03:02 185896]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 13:03 36975]
"SoundMAXPnP"="C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 17:28 790528]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-06-15 18:49 282624]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"MsgCenterExe"="C:\Program Files\Fichiers communs\Real\Update_OB\RealOneMessageCenter.exe" [2008-04-19 03:02 69632]
"Lexmark X1100 Series"="C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 16:48 57344]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2006-02-23 16:45 278528]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-04-07 09:19 155648]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-04-07 09:07 114688]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"vidc.DVX4"= DivX4.dll
"msacm.divxa32"= DivXa32.acm
"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\LEXPPS.EXE"=
"C:\\Program Files\\Java\\jre1.5.0_06\\bin\\javaw.exe"=
"C:\\Program Files\\Azureus\\Azureus.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Pando Networks\\Pando\\pando.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"16719:TCP"= 16719:TCP:PORT_16719
"27837:TCP"= 27837:TCP:PORT_27837
"10531:TCP"= 10531:TCP:PORT_10531
"53585:TCP"= 53585:TCP:PORT_53585
"38270:TCP"= 38270:TCP:PORT_38270
"32943:TCP"= 32943:TCP:PORT_32943
"62291:TCP"= 62291:TCP:PORT_62291
"35843:TCP"= 35843:TCP:PORT_35843
"27021:TCP"= 27021:TCP:PORT_27021
"40836:TCP"= 40836:TCP:PORT_40836
"26768:TCP"= 26768:TCP:PORT_26768
"51840:TCP"= 51840:TCP:PORT_51840
"30640:TCP"= 30640:TCP:PORT_30640
"44114:TCP"= 44114:TCP:PORT_44114
"13169:TCP"= 13169:TCP:PORT_13169
"38864:TCP"= 38864:TCP:PORT_38864
"21391:TCP"= 21391:TCP:PORT_21391
"56512:TCP"= 56512:TCP:PORT_56512
"43945:TCP"= 43945:TCP:PORT_43945
"21536:TCP"= 21536:TCP:PORT_21536
"46945:TCP"= 46945:TCP:PORT_46945
"40113:TCP"= 40113:TCP:PORT_40113
"25525:TCP"= 25525:TCP:PORT_25525
"58754:TCP"= 58754:TCP:PORT_58754
"13553:TCP"= 13553:TCP:PORT_13553
"13882:TCP"= 13882:TCP:PORT_13882
"56966:TCP"= 56966:TCP:PORT_56966
"23204:TCP"= 23204:TCP:PORT_23204
"51329:TCP"= 51329:TCP:PORT_51329
"30870:TCP"= 30870:TCP:PORT_30870
"13399:TCP"= 13399:TCP:PORT_13399
"58441:TCP"= 58441:TCP:PORT_58441
"26827:TCP"= 26827:TCP:PORT_26827
"7805:TCP"= 7805:TCP:PORT_7805
"53295:TCP"= 53295:TCP:PORT_53295
"47606:TCP"= 47606:TCP:PORT_47606
"21565:TCP"= 21565:TCP:PORT_21565

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
R3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 14:23]
S0 qcunlb;qcunlb;C:\WINDOWS\system32\drivers\derqhn.sys []
S3 DCamUSBIntel;Caméra vidéo USB pour la technologie Intel Proshare;C:\WINDOWS\system32\DRIVERS\usbintel.sys [2004-08-04 08:08]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{10b36862-bea7-11dc-9fb2-000cf1ba6e56}]
\Shell\AutoRun\command - E:\
\Shell\explore\Command - RECYCLED\INFO.exe
\Shell\open\Command - RECYCLED\INFO.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2a9652de-f053-11dc-a00c-0007cb0000ff}]
\Shell\AutoRun\command - .pspware\PSPWareLauncher.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4458a863-6a06-11dc-9efb-0007cb0000ff}]
\Shell\AutoRun\command - kxax.cmd
\Shell\explore\Command - kxax.cmd
\Shell\open\Command - kxax.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{71804bf5-f351-11dc-a011-0007cb0000ff}]
\Shell\AutoRun\command - q83iwmgf.bat
\Shell\explore\Command - q83iwmgf.bat
\Shell\open\Command - q83iwmgf.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{915b9f7e-1b87-11dd-a063-0007cb0000ff}]
\Shell\AutoRun\command - kxax.cmd
\Shell\explore\Command - kxax.cmd
\Shell\open\Command - kxax.cmd
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-SMrhcajaj0eg1v - C:\Program Files\rhcajaj0eg1v\rhcajaj0eg1v.exe

.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\Thibaut\Application Data\Mozilla\Firefox\Profiles\k0qnpd7u.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://en-us.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-28 15:16:50
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-08-28 15:24:34 - machine was rebooted
ComboFix-quarantined-files.txt 2008-08-28 13:24:26

Pre-Run: 7,895,920,640 octets libres
Post-Run: 16,580,280,320 octets libres

248 --- E O F --- 2008-08-14 20:04:11

...............................................

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:26:40, on 28/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\RealOneMessageCenter.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\Veoh Networks\Veoh\VeohClient.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Java\jre1.5.0_06\bin\jucheck.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: Barre d'outils &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MsgCenterExe] "C:\Program Files\Fichiers communs\Real\Update_OB\RealOneMessageCenter.exe" -osboot
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: 123MP3FR - {76DD9E77-F06C-4471-AB6C-CF03C5C6B5B0} - C:\WINDOWS\system32\123MP3FR (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Réponse 31 / 42

Le sioux Messages postés 4894 Date d'inscription Statut Contributeur sécurité Dernière intervention 496

Bonsoir Lil

Eh bien voila, mode sans échec débloqué, SDFix a fait un 1er nettoyage efficace, ComboFix a continuer, je regarde tes rapports et on enchaine ;)

:) J'ai de la lecture ;)

@ tout à l'heure.

Réponse 32 / 42

Le sioux Messages postés 4894 Date d'inscription Statut Contributeur sécurité Dernière intervention 496

Re

Comme promis, on continu le ménage :

1) Création CFScript

Sélectionne le texte suivant (en gras) dans son intégralité :

KillAll::

Driver ::
Qcunlb

File::
C:\WINDOWS\system32\drivers\derqhn.sys
C:\WINDOWS\system32\tdssserf.dll

Folder::
C:\Program Files\Crawler

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{10b36862-bea7-11dc-9fb2-000cf1ba6e56}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4458a863-6a06-11dc-9efb-0007cb0000ff}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{71804bf5-f351-11dc-a011-0007cb0000ff}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{915b9f7e-1b87-11dd-a063-0007cb0000ff}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{4B3803EA-5230-4DC3-A7FC-33638F3D3542}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{76DD9E77-F06C-4471-AB6C-CF03C5C6B5B0}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\tbr]

* Copie le texte sélectionné (CTRL+C).
* Ouvre le Bloc-notes (programme>Accessoires >bloc-notes).
* Colle le texte copié dans ce Bloc-notes (CTRL+V).
* Sauvegarde sur ton Bureau ce fichier sous le nom de CFScript.txt

2) ComboFix avec CFScript

Déconnecte toi du net et désactive ton antivirus pour que ComboFix puisse s'exécuter normalement
(aide si besoin : https://forum.pcastuces.com/default.asp Merci Morgane )

Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe ( sur ton Bureau)

Comme ici http://apu.mabul.org/up/apu/2008/08/12/img-210914jjufm.gif

Un "pop-up" va apparaître qui dit que "la version ComboFix est utilisé à vos risques et avec aucune garantie..".
Accepte en cliquant sur "Oui"

* Une fenêtre bleue va apparaître: au message qui apparaît Type 1 to continue, or 2 to abort , tape 1 puis valide.

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu et un nouveau rapport HijackThis

/!\Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. /!\.

(Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt )

@ suivre

/ !\Avis aux lecteurs : Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure : dangereux! / !\

Réponse 33 / 42

Lil

ça veut dire que le PC est encore infecté ??
Je ne sais pas si mon frère va me laisser avoir de nouveau accès à son ordi :/
Il croit que tout est nickel

Réponse 34 / 42

Lil

Bon, j'ai su me montrer persuasive ^^

ComboFix 08-08-27.01 - Thibaut 2008-08-29 17:33:32.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.194 [GMT 2:00]
Endroit: C:\Documents and Settings\Thibaut\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Thibaut\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
C:\WINDOWS\system32\drivers\derqhn.sys
C:\WINDOWS\system32\tdssserf.dll
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Thibaut\Cookies\thibaut@ehg-veohnetworksinc.hitbox[2].txt
C:\Program Files\Crawler
C:\Program Files\Crawler\Toolbar\adrkeys.dat
C:\Program Files\Crawler\Toolbar\COMMON_FF.dat
C:\Program Files\Crawler\Toolbar\confirm.dat
C:\Program Files\Crawler\Toolbar\ctbcomm.dll
C:\Program Files\Crawler\Toolbar\ctbr.dll
C:\Program Files\Crawler\Toolbar\CTConf.dat
C:\Program Files\Crawler\Toolbar\CTipsDef.dll
C:\Program Files\Crawler\Toolbar\CToolbar.exe
C:\Program Files\Crawler\Toolbar\CUpdate.exe
C:\Program Files\Crawler\Toolbar\firefox\chrome.manifest
C:\Program Files\Crawler\Toolbar\firefox\chrome\common.jar
C:\Program Files\Crawler\Toolbar\firefox\chrome\stwsg.jar
C:\Program Files\Crawler\Toolbar\firefox\components\xcomm.dll
C:\Program Files\Crawler\Toolbar\firefox\components\xplugin.xpt
C:\Program Files\Crawler\Toolbar\firefox\components\xshared.dll
C:\Program Files\Crawler\Toolbar\firefox\components\xshared.xpt
C:\Program Files\Crawler\Toolbar\firefox\components\xsupport.dll
C:\Program Files\Crawler\Toolbar\firefox\components\xsupport.xpt
C:\Program Files\Crawler\Toolbar\firefox\components\xwsg.dll
C:\Program Files\Crawler\Toolbar\firefox\install.ini
C:\Program Files\Crawler\Toolbar\firefox\install.rdf
C:\Program Files\Crawler\Toolbar\firefox\stwsg_ff.ini
C:\Program Files\Crawler\Toolbar\Languages\STWSG_CS.cab
C:\Program Files\Crawler\Toolbar\Languages\STWSG_DE.cab
C:\Program Files\Crawler\Toolbar\Languages\STWSG_EN.cab
C:\Program Files\Crawler\Toolbar\Languages\STWSG_ES.cab
C:\Program Files\Crawler\Toolbar\Languages\STWSG_FF.cab
C:\Program Files\Crawler\Toolbar\Languages\STWSG_FR.cab
C:\Program Files\Crawler\Toolbar\Languages\STWSG_IT.cab
C:\Program Files\Crawler\Toolbar\Languages\STWSG_NL.cab
C:\Program Files\Crawler\Toolbar\Languages\STWSG_PT-BR.cab
C:\Program Files\Crawler\Toolbar\Languages\STWSG_PT.cab
C:\Program Files\Crawler\Toolbar\Languages\TBR5_CS.cab
C:\Program Files\Crawler\Toolbar\Languages\TBR5_DE.cab
C:\Program Files\Crawler\Toolbar\Languages\TBR5_EN.cab
C:\Program Files\Crawler\Toolbar\Languages\TBR5_ES.cab
C:\Program Files\Crawler\Toolbar\Languages\TBR5_FR.cab
C:\Program Files\Crawler\Toolbar\Languages\TBR5_IT.cab
C:\Program Files\Crawler\Toolbar\Languages\TBR5_NL.cab
C:\Program Files\Crawler\Toolbar\Languages\TBR5_PL.cab
C:\Program Files\Crawler\Toolbar\Languages\TBR5_PT-BR.cab
C:\Program Files\Crawler\Toolbar\Languages\TBR5_PT.cab
C:\Program Files\Crawler\Toolbar\Languages\TBR5_RU.cab
C:\Program Files\Crawler\Toolbar\lookfor.dat
C:\Program Files\Crawler\Toolbar\majorse.dat
C:\Program Files\Crawler\Toolbar\rootmenu.dat
C:\Program Files\Crawler\Toolbar\services.dat
C:\Program Files\Crawler\Toolbar\STWSG_FF.dat
C:\Program Files\Crawler\Toolbar\STWSGLanguageAct\info.ini
C:\Program Files\Crawler\Toolbar\STWSGLanguageAct\language.ini
C:\Program Files\Crawler\Toolbar\TBR5LanguageAct\info.ini
C:\Program Files\Crawler\Toolbar\TBR5LanguageAct\language.ini
C:\Program Files\Crawler\Toolbar\Update\domains.cab
C:\Program Files\Crawler\Toolbar\Update\domains_016.cab
C:\Program Files\Crawler\Toolbar\WebSecurityGuard.dll
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_000.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_000_diff.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_001.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_001_diff.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_002.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_002_diff.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_003.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_003_diff.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_004.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_004_diff.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_005.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_005_diff.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_006.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_006_diff.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_007.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_007_diff.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_008.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_008_diff.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_009.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_009_diff.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_010.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_010_diff.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_011.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_011_diff.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_012.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_012_diff.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_013.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_013_diff.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_014.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_014_diff.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_015.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_015_diff.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_016_diff.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_017_diff.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_018_diff.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_019_diff.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_020_diff.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_021_diff.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_022_diff.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_023_diff.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_024_diff.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_025_diff.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_026_diff.dat
C:\Program Files\Crawler\Toolbar\WSGData\domains\index.dat
C:\Program Files\Crawler\Toolbar\WSGData\g_S-1-5-21-854245398-492894223-839522115-1008.dat
C:\Program Files\Crawler\Toolbar\WSGData\p_S-1-5-21-854245398-492894223-839522115-1008.dat
C:\Program Files\Crawler\Toolbar\WSGData\ud_S-1-5-21-854245398-492894223-839522115-1008.dat
C:\Program Files\Crawler\Toolbar\WSGData\w_S-1-5-21-854245398-492894223-839522115-1008.dat
C:\Program Files\Crawler\Toolbar\WSGData\wfilter.dat
C:\WINDOWS\system32\tdssserf.dll

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-28 to 2008-08-29 ))))))))))))))))))))))))))))))))))))
.

2008-08-28 20:39 . 2008-08-28 20:39 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-08-28 20:39 . 2008-08-28 20:39 1,409 --a------ C:\WINDOWS\QTFont.for
2008-08-28 14:09 . 2008-08-28 14:09 <REP> d-------- C:\WINDOWS\erunt
2008-08-28 02:45 . 2008-08-28 15:43 <REP> d-------- C:\SDFix
2008-08-28 01:33 . 2008-08-28 01:33 <REP> d-------- C:\Program Files\Trend Micro
2008-08-27 22:23 . 2008-08-17 15:05 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-27 22:23 . 2008-08-17 15:05 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-27 21:20 . 2008-08-27 23:36 <REP> d-------- C:\Program Files\RogueRemover FREE
2008-08-27 19:59 . 2008-08-27 19:59 <REP> d-------- C:\Documents and Settings\Poste1\Application Data\Malwarebytes
2008-08-27 19:29 . 2008-08-27 19:29 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-08-27 19:25 . 2004-02-11 23:59 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-08-27 19:25 . 2004-02-11 23:59 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-08-27 19:25 . 2004-02-11 17:15 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2008-08-27 19:25 . 2004-02-11 23:59 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-08-27 19:25 . 2004-02-11 23:59 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-08-27 19:25 . 2004-02-11 23:59 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-08-27 19:25 . 2004-02-11 23:59 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-08-27 19:25 . 2008-08-27 19:25 <REP> d-------- C:\Documents and Settings\Administrateur
2008-08-27 18:10 . 2008-08-27 18:10 <REP> d-------- C:\Documents and Settings\Thibaut\Application Data\Malwarebytes
2008-08-27 18:10 . 2008-08-27 18:10 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-06 16:53 . 2008-08-06 16:53 <REP> d-------- C:\Documents and Settings\Thibaut\Application Data\Zylom
2008-08-06 16:53 . 2006-09-26 14:46 1,957,888 --a------ C:\WINDOWS\system32\Tropix.scr
2008-08-05 00:15 . 2008-08-05 01:13 <REP> d-------- C:\WINDOWS\system32\CatRoot_bak

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-28 14:35 --------- d-----w C:\Program Files\Zylom Games
2008-08-28 14:30 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-08-28 14:30 --------- d-----w C:\Documents and Settings\Thibaut\Application Data\Samsung
2008-08-28 14:28 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-08 03:00 --------- d-----w C:\Program Files\DivX
2008-07-21 17:07 --------- d-----w C:\Documents and Settings\Dominique\Application Data\Azureus
2008-07-11 14:49 --------- d-----w C:\Program Files\Lexmark X1100 Series
2008-07-02 10:05 --------- d-----w C:\Documents and Settings\Dominique\Application Data\Zylom
2008-05-16 14:05 774,144 ----a-w C:\Program Files\RngInterstitial.dll
.

((((((((((((((((((((((((((((( snapshot@2008-08-28_15.23.50.09 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-08-29 15:40:05 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_578.dat
- 2008-08-28 13:16:30 40,960 ----a-w C:\WINDOWS\Temp\rtdrvmon.exe
+ 2008-08-29 15:40:33 40,960 ----a-w C:\WINDOWS\Temp\rtdrvmon.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Veoh"="C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" [2008-08-13 18:06 3660848]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2005-08-18 10:49 307200]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-05-30 19:55 68856]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-04-19 03:02 185896]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 13:03 36975]
"SoundMAXPnP"="C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 17:28 790528]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-06-15 18:49 282624]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"MsgCenterExe"="C:\Program Files\Fichiers communs\Real\Update_OB\RealOneMessageCenter.exe" [2008-04-19 03:02 69632]
"Lexmark X1100 Series"="C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 16:48 57344]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2006-02-23 16:45 278528]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-04-07 09:19 155648]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-04-07 09:07 114688]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"vidc.DVX4"= DivX4.dll
"msacm.divxa32"= DivXa32.acm
"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\LEXPPS.EXE"=
"C:\\Program Files\\Java\\jre1.5.0_06\\bin\\javaw.exe"=
"C:\\Program Files\\Azureus\\Azureus.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Pando Networks\\Pando\\pando.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"16719:TCP"= 16719:TCP:PORT_16719
"27837:TCP"= 27837:TCP:PORT_27837
"10531:TCP"= 10531:TCP:PORT_10531
"53585:TCP"= 53585:TCP:PORT_53585
"38270:TCP"= 38270:TCP:PORT_38270
"32943:TCP"= 32943:TCP:PORT_32943
"62291:TCP"= 62291:TCP:PORT_62291
"35843:TCP"= 35843:TCP:PORT_35843
"27021:TCP"= 27021:TCP:PORT_27021
"40836:TCP"= 40836:TCP:PORT_40836
"26768:TCP"= 26768:TCP:PORT_26768
"51840:TCP"= 51840:TCP:PORT_51840
"30640:TCP"= 30640:TCP:PORT_30640
"44114:TCP"= 44114:TCP:PORT_44114
"13169:TCP"= 13169:TCP:PORT_13169
"38864:TCP"= 38864:TCP:PORT_38864
"21391:TCP"= 21391:TCP:PORT_21391
"56512:TCP"= 56512:TCP:PORT_56512
"43945:TCP"= 43945:TCP:PORT_43945
"21536:TCP"= 21536:TCP:PORT_21536
"46945:TCP"= 46945:TCP:PORT_46945
"40113:TCP"= 40113:TCP:PORT_40113
"25525:TCP"= 25525:TCP:PORT_25525
"58754:TCP"= 58754:TCP:PORT_58754
"13553:TCP"= 13553:TCP:PORT_13553
"13882:TCP"= 13882:TCP:PORT_13882
"56966:TCP"= 56966:TCP:PORT_56966
"23204:TCP"= 23204:TCP:PORT_23204
"51329:TCP"= 51329:TCP:PORT_51329
"30870:TCP"= 30870:TCP:PORT_30870
"13399:TCP"= 13399:TCP:PORT_13399
"58441:TCP"= 58441:TCP:PORT_58441
"26827:TCP"= 26827:TCP:PORT_26827
"7805:TCP"= 7805:TCP:PORT_7805
"53295:TCP"= 53295:TCP:PORT_53295
"47606:TCP"= 47606:TCP:PORT_47606
"21565:TCP"= 21565:TCP:PORT_21565

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
R3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 14:23]
S0 qcunlb;qcunlb;C:\WINDOWS\system32\drivers\derqhn.sys []
S3 DCamUSBIntel;Caméra vidéo USB pour la technologie Intel Proshare;C:\WINDOWS\system32\DRIVERS\usbintel.sys [2004-08-04 08:08]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{10b36862-bea7-11dc-9fb2-000cf1ba6e56}]
\Shell\AutoRun\command - E:\
\Shell\explore\Command - RECYCLED\INFO.exe
\Shell\open\Command - RECYCLED\INFO.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2a9652de-f053-11dc-a00c-0007cb0000ff}]
\Shell\AutoRun\command - .pspware\PSPWareLauncher.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4458a863-6a06-11dc-9efb-0007cb0000ff}]
\Shell\AutoRun\command - kxax.cmd
\Shell\explore\Command - kxax.cmd
\Shell\open\Command - kxax.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{71804bf5-f351-11dc-a011-0007cb0000ff}]
\Shell\AutoRun\command - q83iwmgf.bat
\Shell\explore\Command - q83iwmgf.bat
\Shell\open\Command - q83iwmgf.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{915b9f7e-1b87-11dd-a063-0007cb0000ff}]
\Shell\AutoRun\command - kxax.cmd
\Shell\explore\Command - kxax.cmd
\Shell\open\Command - kxax.cmd
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-29 17:41:06
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-08-29 17:49:13 - machine was rebooted
ComboFix-quarantined-files.txt 2008-08-29 15:49:05

Pre-Run: 16,299,003,904 octets libres
Post-Run: 16,488,853,504 octets libres

Hijack :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:53:52, on 29/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\RealOneMessageCenter.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Veoh Networks\Veoh\VeohClient.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MsgCenterExe] "C:\Program Files\Fichiers communs\Real\Update_OB\RealOneMessageCenter.exe" -osboot
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Réponse 35 / 42

g!rly Messages postés 18215 Date d'inscription Statut Contributeur Dernière intervention 406

salut le sioux,

Pk ton script n´a pas marché :

par exemple :

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{915b9f7e-1b87-11dd-a063-0007cb0000ff}]

si tu le copie dans ton bloc note depuis le site:

tu auras des - - - en plus

> fais le test chez toi , tu verras ;)

car il y a un probleme sur le site; au dela de 80 caracteres, la copie foire...

alors quand le naute le copie dans son bloc note il se retrouve avec une autre version de la ligne...

solution :

envoyer le script en rar par host...

kisses`

Réponse 36 / 42

Le sioux Messages postés 4894 Date d'inscription Statut Contributeur sécurité Dernière intervention 496

Bonsoir Lil

Bon, j'ai su me montrer persuasive ^^

Il va falloir l'être encore, car cela n'est pas fini, je te dirais quand on pourra conclure.

Il restera après la manip qui suit à supprimer les outils utilisés, puis à purger la restauration, il faudra aussi mettre à jour AdobeReader, la console Java et Internet explorer, si ce n'est pas fait cela représentera des failles de sécurité importantes que peuvent exploiter les malwares et tu risquera d'être bientôt de retour avec de nouveaux soucis.
Je te donnerai aussi d'autres conseils pour t'éviter les problèmes à l'avenir.

Merci g!rly , par contre, je viens de tester et de copier coller le CFScript de mon message plus haut via Bloc-note, no soucis ...

Lil, on continu, il le faut :

Tu n'as plus avast! sur le démarrage, il ne doit pas être présent dans ta barre des tâches :

1) avast.reg

Ouvre le bloc-notes et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait) :

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"avast"="\"C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe\""

Puis "Fichier"/"Enregistrer sous" :
dans : sur le Bureau
Nom du fichier : avast.reg
Type de fichier : "Tous les fichiers"
Clique sur "Enregistrer"

Note:
* Lors de l'enregistrement, il faut choisir pour le champ "Type": "Tous les fichiers"
* Fait bien attention que Windows Registry Editor Version 5.00 soit sur la toute 1ere ligne, sinon le fix ne fonctionnera pas.

Quitte Internet et double clique sur avast.reg sur ton Bureau
=> Tu dois obligatoirement avoir un message "Voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "Oui"

2) Lance HijackThis.

Je te conseille d'enregistrer toutes les lignes a fixer puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement.

Lance Hijackthis en double cliquant sur son raccourci sur le Bureau.
Clique sur Scan Only et coche les lignes suivantes :

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MsgCenterExe] "C:\Program Files\Fichiers communs\Real\Update_OB\RealOneMessageCenter.exe" -osboot
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Crawler Search - tbr:iemenu

Ferme toutes les autres fenêtres, tous les autres programmes. Pas de connections Internet.

Clique sur Fix checked puis clique sur OK
Puis ferme HijackThis.

Si certaines lignes sont absentes, signale les en fin de procédure

3) Rapport

Fais redémarrer ton PC et poste un nouveau rapport HijackThis

@ suivre

Réponse 37 / 42

Lil

Merci de persévérer ^^

Je ferais ça demain, parce que là... J'aimerais m'en sortir vivante :/
Je posterais le tout demain o/

Réponse 38 / 42

Le sioux Messages postés 4894 Date d'inscription Statut Contributeur sécurité Dernière intervention 496

Re

Ok, lol

@ demain, bonne nuit

Réponse 39 / 42

Lil

Bon ben, j'ai plus le droit de toucher à son PC :/

S'il se choppe un virus tant pis pour lui ^^

Merci beaucoup pour ton aide et ta patience Mr Sioux ^^
XP antivirus 2008 c'était vraiment un coriace =p

Réponse 40 / 42

Le sioux Messages postés 4894 Date d'inscription Statut Contributeur sécurité Dernière intervention 496

Bonsoir

c'est dommage de s'arrêter en route ....

As tu fais la manip 1 et 2) d'ici http://www.commentcamarche.net/forum/affich 8120994 xp antivirus 2008 vraiment coriace?page=2#37 ??

*** Il faut supprimer les outils par la suite et purger la restauration : ***

1) ToolsCleaner de A.Rothstein et DJ Quiou

On va supprimer toutes les traces des logiciels que nous avons utilisés qui traitent des infections spécifiques et ceci grâce a ToolsCleaner de A.Rothstein et DJ Quiou

Télécharge le http://pc-system.fr/ sur ton Bureau.
* Double-clique sur ToolsCleaner2.exe et laisse-le travailler
* Clique sur Recherche et laisse-le scan se terminer.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options facultatives.
* Clique sur Quitter, pour que le rapport puisse se créer.

Poste moi le rapport de ToolsCleaner ( qui se trouve à la racine de ton disque dur (C:\TCleaner.txt)

2) Purge de la restauration :

Maintenant que ton PC n'est plus infecté, désactive ta "Restauration du système" puis réactive la, ce qui éliminera les malwares mémorisés dans les anciens Points de contrôle et créera un point de restauration sain":

* Désactivation :
Cliquer droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer patiente jusqu’à ce que cela soit marqué "Désactivé" puis clique sur OK.

* Activation :
Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer attends que cela soit à nouveau sur "Surveillance" puis clique sur OK.

3) Mettre à jour AdobeReader, la console Java et Internet explorer

Voili, voila

Arsene

Si je peux me permettre je suis le sujet depuis le début et rien n'a redire sauf qu'au lieu de remettre IE...

Il ne serait pas mieux de mettre Firefox,
A la place de Adobe Reader de mettre Foxit Reader,
Et de changer Avast contre Antivir ou AVG...

Ce serait mieux je pense et plus sécurisé...
Enfin se n'est que mon point de vue si ce n'est pas bon pourriez vous me dire pourquoi comme ça je progresserais également.

Merci d'avance de votre de réponse.

Xp antivirus 2008 vraiment coriace

42 réponses

Votre réponse

Discussions similaires