LSSMON.EXE pop up

Vartkirl -  
anthony5151 Messages postés 10927 Statut Contributeur sécurité -
Bonjour à tous,

Alors voilà.. mon problème est que depuis qu'leeuqe temps, très régulièrement dans la journée, j'ai un pop up me disant que LSSMON.EXE a renconrté un problème et doit fermer. J'ai vu qu'il existait un virus avec ce nom mais je sais pas comment l'enlever.

De plus, depuis quelques temps avant que ça ne se produise, j'avais un pseudo ballon windows qui me disait que j'avais un spyware mais dès que j'allais dessus, il disparaissait... j'ai passsé un coup de ad-aware, il avait rien vu, avg scan mon pc tous les jours et est à jour, il a rien vu, connaissez vous ce problème et sauriez vous m'aider à le résoudre ??

je vous suis déjà très reconnaissant de l'aide que vous pourrez m'apporter, quelle qu'elle soit.

Vart

ps: il m'a semblé voir dans mes processus un LSASS aussi, c'est un virus non celui en majuscule ?
Configuration: Windows XP
Firefox 3.0.1

22 réponses

  • 1
  • 2
  1. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Ok, tu as raison c'est bien une infection... Fais ce qui suit dans l'ordre pour t'en débarrasser :

    # Télécharge et installe CCleaner (si ce n’ est déjà fait) : https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
    Sur le site, clique sur > Download latest version et laisse-toi guider.
    Ne coche pas "Ajouter la barre d' outils Yahoo" lors de l’installation !

    Télécharge OTMoveIt (de Old_Timer) sur ton bureau...
    http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

    # Redémarre le PC en mode sans échec :
    Redémarre ton ordinateur, puis tapote sur la touche F8 avant l’apparition du logo Windows, un menu va apparaître, tu devra choisir de démarrer en mode sans échec. Tu n' auras pas accès à Internet pendant le "mode sans échec".
    Aussi, copie/colle toute cette procédure dans un fichier texte et mets-la sur le "bureau" pour l' avoir à ta disposition.
    Ferme toutes les fenêtres et applications.

    # Hijackthis
    Lance Hijackthis, choisis 'do a system scan only', coche les lignes suivantes et clique sur "Fix Checked" :
    O4 - HKLM\..\Run: [Layersecurity Servicemonitor] E:\WINDOWS\system32\LSSMON.EXE


    # Double-clique sur OTMoveIt.exe pour le lancer.
    Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!!
    Copie le texte ci-dessous et colle-le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved.
    E:\WINDOWS\system32\LSSMON.EXE

    Clique sur MoveIt! pour lancer la suppression.
    Lorsque un résultat apparaît dans le cadre Results, clique sur Exit et redémarre ton PC.
    Copie-colle le rapport dans ta réponse : il est situé sur --> C:\_OTMoveIt\MovedFiles.

    # Lance CCleaner :
    Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
    Puis nettoyeur --> Analyse > Lancer le nettoyage,
    puis sur OK dans la fenêtre qui s' affiche.
    Relance le nettoyage une deuxième fois.

    Enfin, registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

    1
  2. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Ok, maintenant télécharge et installe Malwarebytes' Anti-Malware
    - A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
    - Lance MBAM, laisse les Mises à jour se télécharger et referme le programme

    Redémarre en "Mode sans échec" : redémarre ton ordinateur et tapote sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows, et sélectionne "Mode sans échec". Choisis ta session habituelle

    Lance MBAM
    - Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
    - Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
    - A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport
    - Suppression des éléments détectés --> clique sur Supprimer la sélection
    - S'il t'es demandé de redémarrer, clique sur Yes

    Poste le rapport de scan après la suppression ici

    1
  3. Vartkirl
     
    voilà le log de highjackthis

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:52:59, on 07/09/2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
    Boot mode: Normal

    Running processes:
    E:\WINDOWS\System32\smss.exe
    E:\WINDOWS\system32\winlogon.exe
    E:\WINDOWS\system32\services.exe
    E:\WINDOWS\system32\lsass.exe
    E:\WINDOWS\system32\svchost.exe
    E:\WINDOWS\System32\svchost.exe
    E:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    E:\WINDOWS\Explorer.EXE
    E:\PROGRA~1\AVG\AVG8\avgtray.exe
    E:\WINDOWS\system32\RUNDLL32.EXE
    E:\Program Files\iTunes\iTunesHelper.exe
    E:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
    E:\WINDOWS\V0220Mon.exe
    E:\Program Files\LG PC Suite 2\LGPCSuiteLanucher_Setup.exe
    E:\WINDOWS\system32\ctfmon.exe
    E:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    E:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
    E:\Program Files\Messenger\msmsgs.exe
    E:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
    E:\WINDOWS\system32\nvsvc32.exe
    E:\WINDOWS\System32\svchost.exe
    E:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
    E:\PROGRA~1\AVG\AVG8\avgrsx.exe
    E:\PROGRA~1\AVG\AVG8\avgemc.exe
    E:\Program Files\iPod\bin\iPodService.exe
    E:\WINDOWS\System32\svchost.exe
    E:\WINDOWS\system32\wuauclt.exe
    E:\WINDOWS\system32\LSASSMGR.EXE
    C:\Downloads\stng10441.exe
    C:\Downloads\WAR Europe Downloader.exe
    E:\Program Files\Mozilla Firefox\firefox.exe
    E:\WINDOWS\system32\LSSMON.EXE
    E:\Program Files\Trend Micro\HijackThis\Jack.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - E:\Program Files\AVG\AVG8\avgssie.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - E:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
    O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - E:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
    O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - E:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
    O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - E:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [AVG8_TRAY] E:\PROGRA~1\AVG\AVG8\avgtray.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "E:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [DivX Video Duplicator OLR] E:\PROGRA~1\DIVXVI~1\BVRPOlr.exe /DivX Video Duplicator
    O4 - HKLM\..\Run: [V0220Mon.exe] E:\WINDOWS\V0220Mon.exe
    O4 - HKLM\..\Run: [LGPCSuiteLanucher] "E:\Program Files\LG PC Suite 2\LGPCSuiteLanucher_Setup.exe" /tray
    O4 - HKLM\..\Run: [Layersecurity Servicemonitor] E:\WINDOWS\system32\LSSMON.EXE
    O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "E:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [MSMSGS] "E:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://charon888.free.fr/plugins/hardwaredetection_2_0_4_13.cab
    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - E:\Program Files\AVG\AVG8\avgpp.dll
    O20 - AppInit_DLLs: avgrsstx.dll
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - E:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - E:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - E:\PROGRA~1\AVG\AVG8\avgemc.exe
    O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - E:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
    O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - E:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - E:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - E:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - E:\Program Files\ma-config.com\maconfservice.exe
    O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - E:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe

    --
    End of file - 7163 bytes

    voilà, en espérant que j'ai fait ce qu'il fallait :)
    0
  4. vartkirl
     
    Voilà, j'ai fait (ou essayé de faire :D) ce que tu m'avais dit.

    le log de OT le voici:

    E:\WINDOWS\system32\LSSMON.EXE moved successfully.

    OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 09082008_092727

    maintenant, j'ai tjs les pop up :/
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. vartkirl
     
    Alors, le pseudo ballon windows avec marqué au dessus "spyware détecté" est réapparu. je mets un lien vers la capture d'écran.

    [URL=]http://img209.imageshack.us/img209/4267/spywareps8.th.png[/URL]

    et le pop up persiste.:D

    en tout cas, merci pour l'aide apportée !!
    0
  7. vartkirl
     
    Bonjour. Désolé du retard pour poster ma réponse, j'étais absent pendant la semaine. LSSMON continue à poper très régulièrement (avec une fréquence d'une minute à peu près malgré le traitement que nous avons effectué :/

    je fais la démarche dont tu m'as parlé pour le ballon de suite.

    Merci encore de ton aide. je poste la réponse dans la foulée.
    0
  8. vartkirl
     
    Et donc voilà le rapport de smithfraudfix :)

    SmitFraudFix v2.350

    Rapport fait à 22:36:33,28, 14/09/2008
    Executé à partir de E:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    E:\WINDOWS\System32\smss.exe
    E:\WINDOWS\system32\winlogon.exe
    E:\WINDOWS\system32\services.exe
    E:\WINDOWS\system32\lsass.exe
    E:\WINDOWS\system32\svchost.exe
    E:\WINDOWS\System32\svchost.exe
    E:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    E:\WINDOWS\Explorer.EXE
    E:\PROGRA~1\AVG\AVG8\avgtray.exe
    E:\WINDOWS\system32\RUNDLL32.EXE
    E:\Program Files\iTunes\iTunesHelper.exe
    E:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
    E:\WINDOWS\V0220Mon.exe
    E:\Program Files\LG PC Suite 2\LGPCSuiteLanucher_Setup.exe
    E:\WINDOWS\system32\ctfmon.exe
    E:\Program Files\Messenger\msmsgs.exe
    E:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    E:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
    E:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    E:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
    E:\WINDOWS\system32\nvsvc32.exe
    E:\WINDOWS\System32\svchost.exe
    E:\WINDOWS\system32\LSASSMGR.EXE
    E:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
    E:\PROGRA~1\AVG\AVG8\avgrsx.exe
    E:\PROGRA~1\AVG\AVG8\avgemc.exe
    E:\Program Files\Mozilla Firefox\firefox.exe
    E:\Program Files\iPod\bin\iPodService.exe
    E:\WINDOWS\System32\svchost.exe
    E:\WINDOWS\system32\wuauclt.exe
    E:\WINDOWS\system32\LSSMON.EXE
    E:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\Policies.exe
    E:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» E:\

    »»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» E:\WINDOWS\system32\LogFiles

    »»»»»»»»»»»»»»»»»»»»»»»» E:\Documents and Settings\Administrateur

    »»»»»»»»»»»»»»»»»»»»»»»» E:\Documents and Settings\Administrateur\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» E:\DOCUME~1\ADMINI~1\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» E:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    AntiXPVSTFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"="avgrsstx.dll"
    "LoadAppInit_DLLs"=dword:00000001

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="E:\\WINDOWS\\system32\\userinit.exe,"
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: SAGEM Wi-Fi 11g USB adapter #3 - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 192.168.1.1

    Description: SAGEM Wi-Fi 11g USB adapter #3 - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 192.168.1.1

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{BF170279-C269-49ED-B062-BA181ABA49BC}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{E2F3156A-8C38-4269-8FA5-637EB1437F50}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{BF170279-C269-49ED-B062-BA181ABA49BC}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{E2F3156A-8C38-4269-8FA5-637EB1437F50}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{BF170279-C269-49ED-B062-BA181ABA49BC}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{E2F3156A-8C38-4269-8FA5-637EB1437F50}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  9. vartkirl
     
    Il a rien détecté apparemment MBAM :/

    voici tout de même le scan:

    Malwarebytes' Anti-Malware 1.28
    Version de la base de données: 1154
    Windows 5.1.2600 Service Pack 3

    15/09/2008 11:12:49
    mbam-log-2008-09-15 (11-12-49).txt

    Type de recherche: Examen complet (C:\|D:\|E:\|)
    Eléments examinés: 198806
    Temps écoulé: 46 minute(s), 48 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  10. vartkirl
     
    Voici les deux rapports. il a apparemment trouvé un trojan et l'a supprimé.

    SDfix:

    [b]SDFix: Version 1.225 [/b]
    Run by Administrateur on 15/09/2008 at 17:28

    Microsoft Windows XP [version 5.1.2600]
    Running From: E:\Documents and Settings\Administrateur\Bureau\SDFix

    [b]Checking Services [/b]:

    Restoring Default Security Values
    Restoring Default Hosts File

    Rebooting

    [b]Checking Files [/b]:

    Trojan Files Found:

    E:\WINDOWS\system32\spool.exe - Deleted

    Removing Temp Files

    [b]ADS Check [/b]:

    [b]Final Check [/b]:

    catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-09-15 18:00:33
    Windows 5.1.2600 Service Pack 3 NTFS

    scanning hidden processes ...

    scanning hidden services & system hive ...

    scanning hidden registry entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0

    [b]Remaining Services [/b]:

    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "D:\\SAS\\sas.exe"="D:\\SAS\\sas.exe:*:Enabled:SAS 9.1 for Windows"
    "E:\\Program Files\\AVG\\AVG8\\avgupd.exe"="E:\\Program Files\\AVG\\AVG8\\avgupd.exe:*:Enabled:avgupd.exe"
    "E:\\Program Files\\AVG\\AVG8\\avgemc.exe"="E:\\Program Files\\AVG\\AVG8\\avgemc.exe:*:Enabled:avgemc.exe"
    "E:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="E:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
    "E:\\WINDOWS\\system32\\WinFox\\Living\\wfupdate.exe"="E:\\WINDOWS\\system32\\WinFox\\Living\\wfupdate.exe:*:Enabled:WinFox Live Update Program"
    "E:\\WINDOWS\\system32\\WinFox\\WFDDRVUP.exe"="E:\\WINDOWS\\system32\\WinFox\\WFDDRVUP.exe:*:Enabled:WinFox Display Driver Live Update"
    "E:\\Program Files\\iTunes\\iTunes.exe"="E:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
    "E:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="E:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
    "E:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="E:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
    "E:\\Program Files\\Gigabyte\\@BIOS\\gwflash.exe"="E:\\Program Files\\Gigabyte\\@BIOS\\gwflash.exe:*:Enabled:gwflash"
    "D:\\Program Files\\LimeWire\\LimeWire.exe"="D:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
    "C:\\jeux\\Dark Crusade\\Dawn of War - Dark Crusade\\DarkCrusade.exe"="C:\\jeux\\Dark Crusade\\Dawn of War - Dark Crusade\\DarkCrusade.exe:*:Enabled:DarkCrusade"
    "E:\\Program Files\\Wyzo\\wyzo.exe"="E:\\Program Files\\Wyzo\\wyzo.exe:*:Enabled:Wyzo"
    "E:\\Program Files\\ma-config.com\\maconfservice.exe"="E:\\Program Files\\ma-config.com\\maconfservice.exe:LocalSubNet:Enabled:maconfservice"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "E:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="E:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
    "E:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="E:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

    [b]Remaining Files [/b]:

    File Backups: - E:\DOCUME~1\ADMINI~1\Bureau\SDFix\backups\backups.zip

    [b]Files with Hidden Attributes [/b]:

    Wed 30 Jul 2008 4,348 A.SH. --- "E:\Documents and Settings\All Users\DRM\DRMv1.bak"
    Sat 6 Mar 2004 122,880 A..H. --- "E:\Documents and Settings\Administrateur\Bureau\TP EHF 99\PROGSAS\progr2001\cs\riched20.dll"
    Fri 5 Mar 2004 122,880 A..H. --- "E:\Documents and Settings\Administrateur\Bureau\TP EHF 99\PROGSAS\progr2001\langues\riched20.dll"
    Fri 5 Mar 2004 122,880 A..H. --- "E:\Documents and Settings\Administrateur\Bureau\TP EHF 99\PROGSAS\progr2001\lieux\riched20.dll"
    Fri 5 Mar 2004 122,880 A..H. --- "E:\Documents and Settings\Administrateur\Bureau\TP EHF 99\PROGSAS\progr2001\mars2001\riched20.dll"
    Fri 5 Mar 2004 122,880 A..H. --- "E:\Documents and Settings\Administrateur\Bureau\TP EHF 99\PROGSAS\progr2001\progadu\riched20.dll"
    Sat 6 Mar 2004 122,880 A..H. --- "E:\Documents and Settings\Administrateur\Bureau\TP EHF 99\PROGSAS\progr2001\progenf\riched20.dll"
    Sat 6 Mar 2004 122,880 A..H. --- "E:\Documents and Settings\Administrateur\Bureau\TP EHF 99\PROGSAS\progr2002\ActivFCl\riched20.dll"
    Sat 6 Mar 2004 122,880 A..H. --- "E:\Documents and Settings\Administrateur\Bureau\TP EHF 99\PROGSAS\progr2002\langues\riched20.dll"
    Fri 5 Mar 2004 122,880 A..H. --- "E:\Documents and Settings\Administrateur\Bureau\TP EHF 99\PROGSAS\progr2002\lieux\riched20.dll"
    Fri 5 Mar 2004 122,880 A..H. --- "E:\Documents and Settings\Administrateur\Bureau\TP EHF 99\PROGSAS\progr2002\Redressadu\riched20.dll"
    Fri 5 Mar 2004 122,880 A..H. --- "E:\Documents and Settings\Administrateur\Bureau\TP EHF 99\PROGSAS\progr2002\Redressenf\riched20.dll"
    Fri 5 Mar 2004 122,880 A..H. --- "E:\Documents and Settings\Administrateur\Bureau\TP EHF 99\PROGSAS\progr2002\TypoTabard\riched20.dll"

    [b]Finished![/b]
    ___________________________________________________________________________________________
    ___________________________________________________________________________________________

    et maintenant le rapport Highjack this:

    E:\Program Files\Trend Micro\HijackThis\Jack.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - E:\Program Files\AVG\AVG8\avgssie.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - E:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
    O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - E:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
    O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - E:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
    O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - E:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [AVG8_TRAY] E:\PROGRA~1\AVG\AVG8\avgtray.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "E:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [DivX Video Duplicator OLR] E:\PROGRA~1\DIVXVI~1\BVRPOlr.exe /DivX Video Duplicator
    O4 - HKLM\..\Run: [V0220Mon.exe] E:\WINDOWS\V0220Mon.exe
    O4 - HKLM\..\Run: [LGPCSuiteLanucher] "E:\Program Files\LG PC Suite 2\LGPCSuiteLanucher_Setup.exe" /tray
    O4 - HKLM\..\Run: [Layersecurity Servicemonitor] E:\WINDOWS\system32\LSSMON.EXE
    O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "E:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [MSMSGS] "E:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://charon888.free.fr/plugins/hardwaredetection_2_0_4_13.cab
    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - E:\Program Files\AVG\AVG8\avgpp.dll
    O20 - AppInit_DLLs: avgrsstx.dll
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - E:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - E:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - E:\PROGRA~1\AVG\AVG8\avgemc.exe
    O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - E:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
    O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - E:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - E:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - E:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - E:\Program Files\ma-config.com\maconfservice.exe
    O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - E:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe

    --
    End of file - 6052 bytes
    0
  11. vartkirl
     
    houla .. tu m'as fait peur ^^

    bon je viens de passer combo fix comme tu m'as dit...mais le pop upo a repop upé :'(

    je te mets le compte rendu:

    ComboFix 08-09-14.06 - Administrateur 2008-09-15 20:05:46.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.657 [GMT 2:00]
    Lancé depuis: E:\Documents and Settings\Administrateur\Bureau\C-Fix.exe

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Autorun.inf
    E:\WINDOWS\system32\bsc32.dll
    E:\WINDOWS\system32\spool.exe

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2008-08-15 au 2008-09-15 ))))))))))))))))))))))))))))))))))))
    .

    2008-09-15 18:13 . 2008-09-15 18:13 268 --ah----- E:\sqmdata12.sqm
    2008-09-15 18:13 . 2008-09-15 18:13 244 --ah----- E:\sqmnoopt12.sqm
    2008-09-15 18:08 . 2008-09-15 18:08 268 --ah----- E:\sqmdata11.sqm
    2008-09-15 18:08 . 2008-09-15 18:08 244 --ah----- E:\sqmnoopt11.sqm
    2008-09-15 17:28 . 2008-09-15 17:28 579,584 --a--c--- E:\WINDOWS\system32\dllcache\user32.dll
    2008-09-15 17:27 . 2008-09-15 17:27 <REP> d-------- E:\WINDOWS\ERUNT
    2008-09-15 16:15 . 2008-09-15 16:15 268 --ah----- E:\sqmdata10.sqm
    2008-09-15 16:15 . 2008-09-15 16:15 244 --ah----- E:\sqmnoopt10.sqm
    2008-09-15 11:17 . 2008-09-15 11:17 268 --ah----- E:\sqmdata09.sqm
    2008-09-15 11:17 . 2008-09-15 11:17 244 --ah----- E:\sqmnoopt09.sqm
    2008-09-15 09:10 . 2008-09-15 09:10 <REP> d-------- E:\Documents and Settings\Administrateur\Application Data\Malwarebytes
    2008-09-15 09:10 . 2008-09-10 00:03 17,200 --a------ E:\WINDOWS\system32\drivers\mbam.sys
    2008-09-15 09:09 . 2008-09-15 09:10 <REP> d-------- E:\Program Files\Malwarebytes' Anti-Malware
    2008-09-15 09:09 . 2008-09-15 09:09 <REP> d-------- E:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-09-15 09:09 . 2008-09-10 00:04 38,528 --a------ E:\WINDOWS\system32\drivers\mbamswissarmy.sys
    2008-09-15 08:32 . 2008-09-15 08:32 268 --ah----- E:\sqmdata08.sqm
    2008-09-15 08:32 . 2008-09-15 08:32 244 --ah----- E:\sqmnoopt08.sqm
    2008-09-14 22:36 . 2008-09-14 22:36 3,062 --a------ E:\WINDOWS\system32\tmp.reg
    2008-09-14 22:31 . 2008-09-14 22:31 268 --ah----- E:\sqmdata07.sqm
    2008-09-14 22:31 . 2008-09-14 22:31 244 --ah----- E:\sqmnoopt07.sqm
    2008-09-14 22:24 . 2008-09-14 22:24 268 --ah----- E:\sqmdata06.sqm
    2008-09-14 22:24 . 2008-09-14 22:24 244 --ah----- E:\sqmnoopt06.sqm
    2008-09-08 13:11 . 2008-04-11 21:05 691,712 -----c--- E:\WINDOWS\system32\dllcache\inetcomm.dll
    2008-09-08 13:11 . 2008-05-01 16:36 331,776 -----c--- E:\WINDOWS\system32\dllcache\msadce.dll
    2008-09-08 12:56 . 2008-09-08 12:56 268 --ah----- E:\sqmdata05.sqm
    2008-09-08 12:56 . 2008-09-08 12:56 244 --ah----- E:\sqmnoopt05.sqm
    2008-09-08 10:30 . 2008-09-08 10:30 268 --ah----- E:\sqmdata04.sqm
    2008-09-08 10:30 . 2008-09-08 10:30 244 --ah----- E:\sqmnoopt04.sqm
    2008-09-08 10:18 . 2008-09-06 11:10 741,376 --a------ E:\WINDOWS\system32\LSSMON.EXE
    2008-09-08 10:09 . 2008-09-08 10:09 268 --ah----- E:\sqmdata03.sqm
    2008-09-08 10:09 . 2008-09-08 10:09 244 --ah----- E:\sqmnoopt03.sqm
    2008-09-08 09:27 . 2008-09-08 09:27 <REP> d-------- E:\_OTMoveIt
    2008-09-08 09:20 . 2008-09-08 09:20 268 --ah----- E:\sqmdata02.sqm
    2008-09-08 09:20 . 2008-09-08 09:20 244 --ah----- E:\sqmnoopt02.sqm
    2008-09-08 09:08 . 2008-09-08 09:08 268 --ah----- E:\sqmdata01.sqm
    2008-09-08 09:08 . 2008-09-08 09:08 244 --ah----- E:\sqmnoopt01.sqm
    2008-09-07 18:51 . 2008-09-07 18:51 <REP> d-------- E:\Program Files\Trend Micro
    2008-09-07 14:54 . 2008-09-07 14:54 268 --ah----- E:\sqmdata00.sqm
    2008-09-07 14:54 . 2008-09-07 14:54 244 --ah----- E:\sqmnoopt00.sqm
    2008-09-06 11:10 . 2008-09-06 11:10 741,376 --a------ E:\WINDOWS\system32\msupd32.exe
    2008-09-04 07:55 . 2008-09-06 11:10 741,376 --a------ E:\WINDOWS\system32\upd01.exe
    2008-09-04 07:55 . 2008-09-06 11:10 741,376 --a------ E:\WINDOWS\divx32.dll
    2008-09-04 07:55 . 2008-09-04 07:55 17,920 --a------ E:\WINDOWS\system32\srtsrv32.exe
    2008-09-04 07:55 . 2008-09-04 07:55 17,920 --a------ E:\WINDOWS\system32\LSASSMGR.EXE
    2008-09-04 07:55 . 2008-09-15 20:02 5,903 --a------ E:\WINDOWS\system32\mssc32.dll
    2008-09-03 22:27 . 2008-09-03 22:27 <REP> d-------- E:\Program Files\PDFCreator Toolbar
    2008-09-03 22:27 . 2008-09-03 22:28 <REP> d-------- E:\Program Files\PDFCreator
    2008-09-03 22:27 . 2004-03-09 00:00 662,288 --a------ E:\WINDOWS\system32\MSCOMCT2.OCX
    2008-09-03 22:27 . 2008-09-03 22:27 253,116 --a------ E:\WINDOWS\PDFCreator_Toolbar_Uninstaller_3406.exe
    2008-09-03 22:27 . 2005-10-15 12:32 196,608 --a------ E:\WINDOWS\system32\pdfcmnnt.dll
    2008-09-03 22:27 . 1998-07-13 01:08 141,312 --a------ E:\WINDOWS\system32\MSCMCFR.DLL
    2008-09-03 22:27 . 1998-06-24 00:00 137,000 --a------ E:\WINDOWS\system32\MSMAPI32.OCX
    2008-09-03 22:27 . 1998-07-13 01:08 59,904 --a------ E:\WINDOWS\system32\MSCC2FR.DLL
    2008-09-03 22:27 . 1998-07-06 00:00 23,552 --a------ E:\WINDOWS\system32\MSMPIDE.DLL
    2008-09-03 22:27 . 2008-09-03 22:27 15,397 --a------ E:\Program Files\settings.dat

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-09-15 14:13 --------- d-----w E:\Documents and Settings\Administrateur\Application Data\LimeWire
    2008-09-14 21:21 --------- d-----w E:\Documents and Settings\All Users\Application Data\Microsoft Help
    2008-08-31 14:43 97,928 ----a-w E:\WINDOWS\system32\drivers\avgldx86.sys
    2008-08-14 19:33 --------- d-----w E:\Program Files\Creative
    2008-08-14 19:33 --------- d-----w E:\Documents and Settings\Administrateur\Application Data\Creative
    2008-08-14 19:32 --------- d--h--w E:\Program Files\InstallShield Installation Information
    2008-08-12 18:23 --------- d-----w E:\Program Files\ma-config.com
    2008-08-12 18:23 --------- d-----w E:\Documents and Settings\All Users\Application Data\ma-config.com
    2008-08-07 17:49 --------- d-----w E:\Documents and Settings\Administrateur\Application Data\DivX
    2008-08-07 17:48 --------- d-----w E:\Documents and Settings\Administrateur\Application Data\LG Electronics
    2008-08-07 17:15 --------- d-----w E:\Program Files\DivX
    2008-08-07 17:14 --------- d-----w E:\Program Files\LG Electronics
    2008-08-07 17:09 --------- d-----w E:\Program Files\LG PC Suite 2
    2008-08-01 05:55 --------- d-----w E:\Documents and Settings\All Users\Application Data\Lavasoft
    2008-08-01 05:54 --------- d-----w E:\Program Files\Lavasoft
    2008-08-01 05:54 --------- d-----w E:\Program Files\Fichiers communs\Wise Installation Wizard
    2008-07-30 16:13 --------- d-----w E:\Program Files\SAGEM
    2008-07-28 11:51 800,145 ----a-w E:\WINDOWS\system32\CSRLT.EXE
    2008-07-28 11:51 800,145 ----a-w E:\WINDOWS\MSBLT.EXE
    2008-07-28 11:46 --------- d-----w E:\Documents and Settings\Administrateur\Application Data\.wyzo
    2008-07-26 09:33 --------- d-----w E:\Program Files\DivX Video Duplicator
    2008-07-26 09:23 --------- d-----w E:\Program Files\WinASPI
    2008-07-26 09:23 --------- d-----w E:\Program Files\Morgan
    2008-07-26 09:23 --------- d-----w E:\Program Files\Gabest
    2008-07-26 09:23 --------- d-----w E:\Program Files\AC3Filter
    2008-07-24 12:06 --------- d-----w E:\Program Files\SIW
    2008-07-18 20:10 94,920 ----a-w E:\WINDOWS\system32\cdm.dll
    2008-07-18 20:10 53,448 ----a-w E:\WINDOWS\system32\wuauclt.exe
    2008-07-18 20:10 45,768 ----a-w E:\WINDOWS\system32\wups2.dll
    2008-07-18 20:10 36,552 ----a-w E:\WINDOWS\system32\wups.dll
    2008-07-18 20:09 563,912 ----a-w E:\WINDOWS\system32\wuapi.dll
    2008-07-18 20:09 325,832 ----a-w E:\WINDOWS\system32\wucltui.dll
    2008-07-18 20:09 205,000 ----a-w E:\WINDOWS\system32\wuweb.dll
    2008-07-18 20:09 1,811,656 ----a-w E:\WINDOWS\system32\wuaueng.dll
    2008-07-18 20:07 270,880 ----a-w E:\WINDOWS\system32\mucltui.dll
    2008-07-18 20:07 210,976 ----a-w E:\WINDOWS\system32\muweb.dll
    2008-07-07 20:28 253,952 ----a-w E:\WINDOWS\system32\es.dll
    2008-07-07 10:11 10,520 ----a-w E:\WINDOWS\system32\avgrsstx.dll
    2008-06-24 16:44 74,240 ----a-w E:\WINDOWS\system32\mscms.dll
    2008-06-23 15:10 670,208 ----a-w E:\WINDOWS\system32\wininet.dll
    2008-06-20 17:47 247,808 ----a-w E:\WINDOWS\system32\mswsock.dll
    2008-05-28 09:38 86,016 ----a-w E:\Documents and Settings\Administrateur\IDHWTSS1.dll
    2008-05-21 07:11 36,868 ----a-w E:\Documents and Settings\Administrateur\PrtDLL.dll
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="E:\WINDOWS\system32\ctfmon.exe" [2008-04-13 15360]
    "MsnMsgr"="E:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
    "MSMSGS"="E:\Program Files\Messenger\msmsgs.exe" [2008-04-13 1695232]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="E:\WINDOWS\system32\NvCpl.dll" [2007-12-05 8523776]
    "NeroFilterCheck"="E:\WINDOWS\system32\NeroCheck.exe" [2006-01-12 155648]
    "AVG8_TRAY"="E:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-08-31 1235736]
    "NvMediaCenter"="E:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 81920]
    "QuickTime Task"="E:\Program Files\QuickTime\QTTask.exe" [2008-03-28 413696]
    "iTunesHelper"="E:\Program Files\iTunes\iTunesHelper.exe" [2008-03-30 267048]
    "SunJavaUpdateSched"="E:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
    "Adobe Reader Speed Launcher"="E:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
    "DivX Video Duplicator OLR"="E:\PROGRA~1\DIVXVI~1\BVRPOlr.exe" [2003-06-12 49152]
    "V0220Mon.exe"="E:\WINDOWS\V0220Mon.exe" [2006-06-29 32768]
    "LGPCSuiteLanucher"="E:\Program Files\LG PC Suite 2\LGPCSuiteLanucher_Setup.exe" [2007-08-31 2637824]
    "Layersecurity Servicemonitor"="E:\WINDOWS\system32\LSSMON.EXE" [2008-09-06 741376]
    "nwiz"="nwiz.exe" [2007-12-05 E:\WINDOWS\system32\nwiz.exe]
    "RTHDCPL"="RTHDCPL.EXE" [2006-05-27 E:\WINDOWS\RTHDCPL.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="E:\WINDOWS\System32\CTFMON.EXE" [2008-04-13 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=avgrsstx.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "vidc.xvid"= xvid.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\firefox.exe]
    "Debugger"=E:\Program Files\Mozilla Firefox\firefoxe.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\iexplore.exe]
    "Debugger"=E:\Program Files\Internet Explorer\iexplor.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\spoolsv.exe]
    "Debugger"=E:\WINDOWS\system32\spool.exe

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "D:\\SAS\\sas.exe"=
    "E:\\Program Files\\AVG\\AVG8\\avgupd.exe"=
    "E:\\Program Files\\AVG\\AVG8\\avgemc.exe"=
    "E:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
    "E:\\Program Files\\iTunes\\iTunes.exe"=
    "E:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "E:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
    "E:\\Program Files\\Gigabyte\\@BIOS\\gwflash.exe"=
    "D:\\Program Files\\LimeWire\\LimeWire.exe"=
    "C:\\jeux\\Dark Crusade\\Dawn of War - Dark Crusade\\DarkCrusade.exe"=

    R1 AvgLdx86;AVG AVI Loader Driver x86;E:\WINDOWS\system32\Drivers\avgldx86.sys [2008-08-31 97928]
    R2 avg8emc;AVG8 E-mail Scanner;E:\PROGRA~1\AVG\AVG8\avgemc.exe [2008-08-31 875288]
    R2 avg8wd;AVG8 WatchDog;E:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-08-31 231704]
    R2 AvgTdiX;AVG8 Network Redirector;E:\WINDOWS\system32\Drivers\avgtdix.sys [2008-07-07 76040]
    R3 V0220Dev;Live! Cam Video IM;E:\WINDOWS\system32\DRIVERS\V0220Dev.sys [2006-06-29 146112]
    R3 V0220Vfx;V0220VFX;E:\WINDOWS\system32\DRIVERS\V0220Vfx.sys [2006-06-08 6272]
    S3 GVTDrv;GVTDrv;E:\WINDOWS\system32\Drivers\GVTDrv.sys [2008-07-11 24944]
    S3 maconfservice;Ma-Config Service;E:\Program Files\ma-config.com\maconfservice.exe [2008-07-25 191656]
    S3 MarkFun_NT;MarkFun_NT;E:\Program Files\Gigabyte\ET5Pro\markfun.w32 [ ]
    S3 PCASp50;PCASp50 NDIS Protocol Driver;E:\WINDOWS\system32\Drivers\PCASp50.sys [2005-11-19 20096]
    S3 SG760_XP;SAGEM 802.11g XG760 1211 Driver;E:\WINDOWS\system32\DRIVERS\WlanUZXP.sys [2005-06-01 260608]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
    \Shell\AutoRun\command - C:\setupSNK.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ec380261-17a1-11dd-b61d-0016e6576d4c}]
    \Shell\AutoRun\command - I:\n2de.cmd
    \Shell\explore\Command - I:\n2de.cmd
    \Shell\open\Command - I:\n2de.cmd

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f6d1f538-23ef-11dd-b643-0060b3e7a065}]
    \Shell\AutoRun\command - autorun.exe
    \Shell\explore\Command - autorun.exe -e
    \Shell\open\Command - autorun.exe

    *Newly Created Service* - PROCEXP90
    .
    Contenu du dossier 'Tâches planifiées'
    .
    .
    ------- Examen supplémentaire -------
    .
    FireFox -: Profile - E:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\e7gtza3a.default\
    FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
    FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr
    FF -: plugin - E:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\e7gtza3a.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\plugins\nphardwaredetection.dll
    FF -: plugin - E:\Program Files\DivX\DivX Content Uploader\npUpload.dll
    FF -: plugin - E:\Program Files\iTunes\Mozilla Plugins\npitunes.dll
    FF -: plugin - E:\Program Files\ma-config.com\nphardwaredetection.dll
    .

    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-09-15 20:07:06
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MarkFun_NT]
    "ImagePath"="\??\E:\Program Files\Gigabyte\ET5Pro\markfun.w32"
    .
    Heure de fin: 2008-09-15 20:07:34
    ComboFix-quarantined-files.txt 2008-09-15 18:07:32

    Avant-CF: 2,320,592,896 octets libres
    AprŠs-CF: 2,307,612,672 octets libres

    217 --- E O F --- 2008-09-14 21:22:52
    0
  12. vartkirl
     
    merci, je vais aps te blâmer de pas répondre dans l'heure ^^ tu es déjà bien aimable de m'aider :)

    je fais ça ce soir.
    0
  13. vartkirl
     
    et voilà le rapport.

    j'ai donc lancé combo fix par le moyen que tu m'as dit d'employé en ayant allumé windows en mode sans échec c'est bon ?

    rapport:

    ComboFix 08-09-14.06 - Administrateur 2008-09-21 18:06:07.3 - NTFSx86 MINIMAL
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.818 [GMT 2:00]
    Lancé depuis: E:\Documents and Settings\Administrateur\Bureau\C-Fix.exe
    Command switches used :: E:\Documents and Settings\Administrateur\Bureau\CFScript.txt

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    E:\WINDOWS\system32\LSASSMGR.EXE
    E:\WINDOWS\system32\LSSMON.EXE
    E:\WINDOWS\system32\mssc32.dll
    E:\WINDOWS\system32\spool.exe
    E:\WINDOWS\system32\srtsrv32.exe

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2008-08-21 au 2008-09-21 ))))))))))))))))))))))))))))))))))))
    .

    2008-09-21 14:04 . 2008-09-21 14:24 2,527 --a------ E:\WINDOWS\system32\bsc32.dll
    2008-09-15 18:13 . 2008-09-15 18:13 268 --ah----- E:\sqmdata12.sqm
    2008-09-15 18:13 . 2008-09-15 18:13 244 --ah----- E:\sqmnoopt12.sqm
    2008-09-15 18:08 . 2008-09-15 18:08 268 --ah----- E:\sqmdata11.sqm
    2008-09-15 18:08 . 2008-09-15 18:08 244 --ah----- E:\sqmnoopt11.sqm
    2008-09-15 17:28 . 2008-09-15 17:28 579,584 --a--c--- E:\WINDOWS\system32\dllcache\user32.dll
    2008-09-15 17:27 . 2008-09-15 17:27 <REP> d-------- E:\WINDOWS\ERUNT
    2008-09-15 16:15 . 2008-09-15 16:15 268 --ah----- E:\sqmdata10.sqm
    2008-09-15 16:15 . 2008-09-15 16:15 244 --ah----- E:\sqmnoopt10.sqm
    2008-09-15 11:17 . 2008-09-15 11:17 268 --ah----- E:\sqmdata09.sqm
    2008-09-15 11:17 . 2008-09-15 11:17 244 --ah----- E:\sqmnoopt09.sqm
    2008-09-15 09:10 . 2008-09-15 09:10 <REP> d-------- E:\Documents and Settings\Administrateur\Application Data\Malwarebytes
    2008-09-15 09:10 . 2008-09-10 00:03 17,200 --a------ E:\WINDOWS\system32\drivers\mbam.sys
    2008-09-15 09:09 . 2008-09-15 09:10 <REP> d-------- E:\Program Files\Malwarebytes' Anti-Malware
    2008-09-15 09:09 . 2008-09-15 09:09 <REP> d-------- E:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-09-15 09:09 . 2008-09-10 00:04 38,528 --a------ E:\WINDOWS\system32\drivers\mbamswissarmy.sys
    2008-09-15 08:32 . 2008-09-15 08:32 268 --ah----- E:\sqmdata08.sqm
    2008-09-15 08:32 . 2008-09-15 08:32 244 --ah----- E:\sqmnoopt08.sqm
    2008-09-14 22:36 . 2008-09-14 22:36 3,062 --a------ E:\WINDOWS\system32\tmp.reg
    2008-09-14 22:31 . 2008-09-14 22:31 268 --ah----- E:\sqmdata07.sqm
    2008-09-14 22:31 . 2008-09-14 22:31 244 --ah----- E:\sqmnoopt07.sqm
    2008-09-14 22:24 . 2008-09-14 22:24 268 --ah----- E:\sqmdata06.sqm
    2008-09-14 22:24 . 2008-09-14 22:24 244 --ah----- E:\sqmnoopt06.sqm
    2008-09-08 13:11 . 2008-04-11 21:05 691,712 -----c--- E:\WINDOWS\system32\dllcache\inetcomm.dll
    2008-09-08 13:11 . 2008-05-01 16:36 331,776 -----c--- E:\WINDOWS\system32\dllcache\msadce.dll
    2008-09-08 12:56 . 2008-09-08 12:56 268 --ah----- E:\sqmdata05.sqm
    2008-09-08 12:56 . 2008-09-08 12:56 244 --ah----- E:\sqmnoopt05.sqm
    2008-09-08 10:30 . 2008-09-08 10:30 268 --ah----- E:\sqmdata04.sqm
    2008-09-08 10:30 . 2008-09-08 10:30 244 --ah----- E:\sqmnoopt04.sqm
    2008-09-08 10:09 . 2008-09-08 10:09 268 --ah----- E:\sqmdata03.sqm
    2008-09-08 10:09 . 2008-09-08 10:09 244 --ah----- E:\sqmnoopt03.sqm
    2008-09-08 09:27 . 2008-09-08 09:27 <REP> d-------- E:\_OTMoveIt
    2008-09-08 09:20 . 2008-09-08 09:20 268 --ah----- E:\sqmdata02.sqm
    2008-09-08 09:20 . 2008-09-08 09:20 244 --ah----- E:\sqmnoopt02.sqm
    2008-09-08 09:08 . 2008-09-08 09:08 268 --ah----- E:\sqmdata01.sqm
    2008-09-08 09:08 . 2008-09-08 09:08 244 --ah----- E:\sqmnoopt01.sqm
    2008-09-07 18:51 . 2008-09-07 18:51 <REP> d-------- E:\Program Files\Trend Micro
    2008-09-07 14:54 . 2008-09-07 14:54 268 --ah----- E:\sqmdata00.sqm
    2008-09-07 14:54 . 2008-09-07 14:54 244 --ah----- E:\sqmnoopt00.sqm
    2008-09-06 11:10 . 2008-09-06 11:10 741,376 --a------ E:\WINDOWS\system32\msupd32.exe
    2008-09-04 07:55 . 2008-09-06 11:10 741,376 --a------ E:\WINDOWS\system32\upd01.exe
    2008-09-04 07:55 . 2008-09-06 11:10 741,376 --a------ E:\WINDOWS\divx32.dll
    2008-09-03 22:27 . 2008-09-03 22:27 <REP> d-------- E:\Program Files\PDFCreator Toolbar
    2008-09-03 22:27 . 2008-09-03 22:28 <REP> d-------- E:\Program Files\PDFCreator
    2008-09-03 22:27 . 2004-03-09 00:00 662,288 --a------ E:\WINDOWS\system32\MSCOMCT2.OCX
    2008-09-03 22:27 . 2008-09-03 22:27 253,116 --a------ E:\WINDOWS\PDFCreator_Toolbar_Uninstaller_3406.exe
    2008-09-03 22:27 . 2005-10-15 12:32 196,608 --a------ E:\WINDOWS\system32\pdfcmnnt.dll
    2008-09-03 22:27 . 1998-07-13 01:08 141,312 --a------ E:\WINDOWS\system32\MSCMCFR.DLL
    2008-09-03 22:27 . 1998-06-24 00:00 137,000 --a------ E:\WINDOWS\system32\MSMAPI32.OCX
    2008-09-03 22:27 . 1998-07-13 01:08 59,904 --a------ E:\WINDOWS\system32\MSCC2FR.DLL
    2008-09-03 22:27 . 1998-07-06 00:00 23,552 --a------ E:\WINDOWS\system32\MSMPIDE.DLL
    2008-09-03 22:27 . 2008-09-03 22:27 15,397 --a------ E:\Program Files\settings.dat

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-09-21 09:16 --------- d-----w E:\Documents and Settings\Administrateur\Application Data\LimeWire
    2008-09-14 21:21 --------- d-----w E:\Documents and Settings\All Users\Application Data\Microsoft Help
    2008-08-31 14:43 97,928 ----a-w E:\WINDOWS\system32\drivers\avgldx86.sys
    2008-08-14 19:33 --------- d-----w E:\Program Files\Creative
    2008-08-14 19:33 --------- d-----w E:\Documents and Settings\Administrateur\Application Data\Creative
    2008-08-14 19:32 --------- d--h--w E:\Program Files\InstallShield Installation Information
    2008-08-12 18:23 --------- d-----w E:\Program Files\ma-config.com
    2008-08-12 18:23 --------- d-----w E:\Documents and Settings\All Users\Application Data\ma-config.com
    2008-08-07 17:49 --------- d-----w E:\Documents and Settings\Administrateur\Application Data\DivX
    2008-08-07 17:48 --------- d-----w E:\Documents and Settings\Administrateur\Application Data\LG Electronics
    2008-08-07 17:15 --------- d-----w E:\Program Files\DivX
    2008-08-07 17:14 --------- d-----w E:\Program Files\LG Electronics
    2008-08-07 17:09 --------- d-----w E:\Program Files\LG PC Suite 2
    2008-08-01 05:55 --------- d-----w E:\Documents and Settings\All Users\Application Data\Lavasoft
    2008-08-01 05:54 --------- d-----w E:\Program Files\Lavasoft
    2008-08-01 05:54 --------- d-----w E:\Program Files\Fichiers communs\Wise Installation Wizard
    2008-07-30 16:13 --------- d-----w E:\Program Files\SAGEM
    2008-07-28 11:46 --------- d-----w E:\Documents and Settings\Administrateur\Application Data\.wyzo
    2008-07-26 09:33 --------- d-----w E:\Program Files\DivX Video Duplicator
    2008-07-26 09:23 --------- d-----w E:\Program Files\WinASPI
    2008-07-26 09:23 --------- d-----w E:\Program Files\Morgan
    2008-07-26 09:23 --------- d-----w E:\Program Files\Gabest
    2008-07-26 09:23 --------- d-----w E:\Program Files\AC3Filter
    2008-07-24 12:06 --------- d-----w E:\Program Files\SIW
    2008-07-18 20:10 94,920 ----a-w E:\WINDOWS\system32\cdm.dll
    2008-07-18 20:10 53,448 ----a-w E:\WINDOWS\system32\wuauclt.exe
    2008-07-18 20:10 45,768 ----a-w E:\WINDOWS\system32\wups2.dll
    2008-07-18 20:10 36,552 ----a-w E:\WINDOWS\system32\wups.dll
    2008-07-18 20:09 563,912 ----a-w E:\WINDOWS\system32\wuapi.dll
    2008-07-18 20:09 325,832 ----a-w E:\WINDOWS\system32\wucltui.dll
    2008-07-18 20:09 205,000 ----a-w E:\WINDOWS\system32\wuweb.dll
    2008-07-18 20:09 1,811,656 ----a-w E:\WINDOWS\system32\wuaueng.dll
    2008-07-18 20:07 270,880 ----a-w E:\WINDOWS\system32\mucltui.dll
    2008-07-18 20:07 210,976 ----a-w E:\WINDOWS\system32\muweb.dll
    2008-07-07 20:28 253,952 ----a-w E:\WINDOWS\system32\es.dll
    2008-07-07 10:11 10,520 ----a-w E:\WINDOWS\system32\avgrsstx.dll
    2008-06-24 16:44 74,240 ----a-w E:\WINDOWS\system32\mscms.dll
    2008-06-23 15:10 670,208 ----a-w E:\WINDOWS\system32\wininet.dll
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="E:\WINDOWS\system32\ctfmon.exe" [2008-04-13 15360]
    "MsnMsgr"="E:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
    "MSMSGS"="E:\Program Files\Messenger\msmsgs.exe" [2008-04-13 1695232]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="E:\WINDOWS\system32\NvCpl.dll" [2007-12-05 8523776]
    "NeroFilterCheck"="E:\WINDOWS\system32\NeroCheck.exe" [2006-01-12 155648]
    "AVG8_TRAY"="E:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-08-31 1235736]
    "NvMediaCenter"="E:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 81920]
    "QuickTime Task"="E:\Program Files\QuickTime\QTTask.exe" [2008-03-28 413696]
    "iTunesHelper"="E:\Program Files\iTunes\iTunesHelper.exe" [2008-03-30 267048]
    "SunJavaUpdateSched"="E:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
    "Adobe Reader Speed Launcher"="E:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
    "V0220Mon.exe"="E:\WINDOWS\V0220Mon.exe" [2006-06-29 32768]
    "LGPCSuiteLanucher"="E:\Program Files\LG PC Suite 2\LGPCSuiteLanucher_Setup.exe" [2007-08-31 2637824]
    "nwiz"="nwiz.exe" [2007-12-05 E:\WINDOWS\system32\nwiz.exe]
    "RTHDCPL"="RTHDCPL.EXE" [2006-05-27 E:\WINDOWS\RTHDCPL.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="E:\WINDOWS\System32\CTFMON.EXE" [2008-04-13 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=avgrsstx.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "vidc.xvid"= xvid.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\firefox.exe]
    "Debugger"=E:\Program Files\Mozilla Firefox\firefoxe.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\iexplore.exe]
    "Debugger"=E:\Program Files\Internet Explorer\iexplor.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\spoolsv.exe]
    "Debugger"=E:\WINDOWS\system32\spool.exe

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "D:\\SAS\\sas.exe"=
    "E:\\Program Files\\AVG\\AVG8\\avgupd.exe"=
    "E:\\Program Files\\AVG\\AVG8\\avgemc.exe"=
    "E:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
    "E:\\Program Files\\iTunes\\iTunes.exe"=
    "E:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "E:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
    "E:\\Program Files\\Gigabyte\\@BIOS\\gwflash.exe"=
    "D:\\Program Files\\LimeWire\\LimeWire.exe"=
    "C:\\jeux\\Dark Crusade\\Dawn of War - Dark Crusade\\DarkCrusade.exe"=

    S1 AvgLdx86;AVG AVI Loader Driver x86;E:\WINDOWS\system32\Drivers\avgldx86.sys [2008-08-31 97928]
    S2 avg8emc;AVG8 E-mail Scanner;E:\PROGRA~1\AVG\AVG8\avgemc.exe [2008-08-31 875288]
    S2 avg8wd;AVG8 WatchDog;E:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-08-31 231704]
    S2 AvgTdiX;AVG8 Network Redirector;E:\WINDOWS\system32\Drivers\avgtdix.sys [2008-07-07 76040]
    S3 GVTDrv;GVTDrv;E:\WINDOWS\system32\Drivers\GVTDrv.sys [2008-07-11 24944]
    S3 maconfservice;Ma-Config Service;E:\Program Files\ma-config.com\maconfservice.exe [2008-07-25 191656]
    S3 MarkFun_NT;MarkFun_NT;E:\Program Files\Gigabyte\ET5Pro\markfun.w32 [ ]
    S3 PCASp50;PCASp50 NDIS Protocol Driver;E:\WINDOWS\system32\Drivers\PCASp50.sys [2005-11-19 20096]
    S3 SG760_XP;SAGEM 802.11g XG760 1211 Driver;E:\WINDOWS\system32\DRIVERS\WlanUZXP.sys [2005-06-01 260608]
    S3 V0220Dev;Live! Cam Video IM;E:\WINDOWS\system32\DRIVERS\V0220Dev.sys [2006-06-29 146112]
    S3 V0220Vfx;V0220VFX;E:\WINDOWS\system32\DRIVERS\V0220Vfx.sys [2006-06-08 6272]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
    \Shell\AutoRun\command - C:\setupSNK.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f6d1f538-23ef-11dd-b643-0060b3e7a065}]
    \Shell\AutoRun\command - autorun.exe
    \Shell\explore\Command - autorun.exe -e
    \Shell\open\Command - autorun.exe
    .
    Contenu du dossier 'Tâches planifiées'
    .

    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-09-21 18:07:28
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MarkFun_NT]
    "ImagePath"="\??\E:\Program Files\Gigabyte\ET5Pro\markfun.w32"
    .
    Heure de fin: 2008-09-21 18:07:57
    ComboFix-quarantined-files.txt 2008-09-21 16:07:55
    ComboFix2.txt 2008-09-21 12:03:27
    ComboFix3.txt 2008-09-15 18:07:35

    Avant-CF: 2,408,513,536 octets libres
    AprŠs-CF: 2,393,980,928 octets libres

    196 --- E O F --- 2008-09-14 21:22:52
    0
  14. vartkirl
     
    Salut

    alors, j'ai bien passé le logiciel pour nettoyer mon ipod en même temps. Mais LSSMON sévit toujours je sais pas par où il vient parce que sinon, depuis mon retour, l'ipod n'avait pas été branché, pas utilisé de cd-r ni rien d'autre :x.

    Cependant, je pense passer au formatage du pc histoire de tout nettoyer et, dans le même temps, tenter de voir sir je peux récupérer mes ports pci et le son parce que là, j'ai plus ni l'un ni l'autre depuis quelques mois donc, je vais cesser te t'ennuyer et tenter de tout remettre au propre

    En plus ça me gonfle de plus pouvoir jouer avec le son ni de plus avoir ma carte wifi en pci et de devoir avoir le dongle orange :D

    Je te remercie vraiment beaucoup du temps que tu as passé pour m'aider!!!!!
    0
  15. vartkirl
     
    Han je crois savoir d'où peut venir LSSMON ... j'ai aps fait gaffe qu'AVG avait son pare feu et que j'avais gardé celui de Windows allumé...ça crèe un conflit non habituellement ????

    sinon, merci beaucoup pour tous tes conseils!
    0
  16. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Bonjour,

    Peux-tu poster un rapport hijackthis (c'est un logiciel de diagnostique) ? A partir de ça, je pourrai te dire ce qui ne va pas.

    Télécharge hijackthis sur ton bureau : https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/

    Installe le, puis fais ceci avant de le lancer :
    Va dans le menu démarrer --> Poste de travail --> disque local C --> Program Files --> Trend Micro --> Hijackthis --> cherche hijackthis.exe et fais un clic droit dessus --> renomme le en Jack.exe

    Ensuite lance le et clique sur "Do a system scan and save a logfile".
    Fais un copier-coller du rapport entier sur le forum

    -1
  17. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    D'après le rapport, LSSMON a été supprimé.

    Maintenant on va s'occuper du "ballon" (la capture d'écran est petite, mais ce genre de problème est très courant, je vois à quoi ça ressemble...).

    Commence par ceci stp :

    Télécharge SmitfraudFix : http://siri.urz.free.fr/Fix/SmitfraudFix.exe

    - Enregistre-le sur le bureau

    - Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée

    - Un rapport sera généré, poste-le dans ta prochaine réponse stp.

    Tutoriel ici pour t'aider : http://www.malekal.com//tutorial_SmitFraudfix.php

    -1
  18. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
    • Redémarre ton ordinateur
    • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    • Choisis ton compte.

    • Puis, ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
    • Appuie sur une touche pour commencer le processus de nettoyage.
    • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    • Appuie sur une touche pour redémarrer le PC.
    • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

    • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau rapport Hijackthis !

    -1
  19. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    On va utiliser Combofix pour finir la désinfection et supprimer définitivement LSSMON (qui est revenu en effet...)
    Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts...

    Fais exactement ce qui suit :

    Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :
    Fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix, choisis le bureau comme destination et valide : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    --------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
    !! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (AVG dans ton cas) le temps de la manipulation : en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!

    ---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre...

    Tuto ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    ---------------------------------------------------------------------------------------------------------------------------------

    Ensuite :
    double-clique sur C-Fix.exe (= combofix.exe ) .

    Appuie sur une touche pour démarrer le scan .

    Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

    Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp

    -1
  20. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Désolé pour le délai de réponse, je n'ai pas pu revenir depuis 2 jours.

    1) D'abord, désinfecte tous tes supports amovibles (clés USB, lecteurs mp3, disques durs externes) :

    Télécharge l'outil Flash_Disinfector (de sUBs) :
    ici http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
    ou ici download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe

    Enregistre Flash_Disinfector.exe sur ton bureau.
    Double clique sur Flash_Disinfector.exe pour l'exécuter.
    Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra :
    Connecte au pc, clés USB, Disques durs externes et autres supports amovibles susceptibles d'avoir été infectés (sans les ouvrir).
    Puis clique sur OK
    Les icônes sur le bureau vont disparaître jusqu'à l'apparition du message: [Done!!]
    Appuie ensuite sur OK, pour faire réapparaître le bureau.

    2) Ensuite, on va réutiliser Combofix. Comme la dernière fois, il faut d'abord tout fermer et désactiver tes protections avant de le lancer.

    Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
    Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

    ----------------------------------------------------------
    File::
    E:\WINDOWS\system32\LSSMON.EXE
    E:\WINDOWS\system32\LSASSMGR.EXE
    E:\WINDOWS\system32\srtsrv32.exe
    E:\WINDOWS\system32\mssc32.dll
    E:\WINDOWS\system32\CSRLT.EXE
    E:\WINDOWS\MSBLT.EXE
    E:\WINDOWS\MSBLT.EXE
    e:\Documents and Settings\Administrateur\IDHWTSS1.dll
    E:\Documents and Settings\Administrateur\PrtDLL.dll

    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Layersecurity Servicemonitor"=-

    ------------------------------------------------------------------

    - Enregistre ce fichier sur ton bureau (et pas ailleurs !) sous le nom CFScript.txt
    - Quitte le Bloc Notes

    · Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien :
    http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

    * Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort), tape 1 puis valide.
    * Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
    Ne touche à rien tant que le scan n'est pas terminé.
    * Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    * Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    -1
  21. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Normalement, LSSMON a bien été supprimé avec les autres fichiers infectés. As-tu encore des problèmes ? Peux-tu poster un nouveau rapport hijackthis stp ?

    Tu as bien utilisé Flash_Disinfector comme je te l'ai indiqué avant ? Il est possible que cette infection ait été transmise à ton ordinateur par support amovible (clé USB, disque dur externe...)

    -1
  • 1
  • 2