infesté par Trojan:Win32/vundo.gen!RRésolu/Fermé

Question

Bonjour,

J'ai un avertissement de Windows Defender concernant un Trojan, visiblement Vundo et depuis l'apparition de ce message des fenetres pop-up de pubs viennent polluer ma connexion. Si quelqu'un peut m'aider... Sachant que je n'y connais rien. Dsl

verni29 · Answer

Bonsoir, 

Télécharge et installe HijackThis .
http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

Choisir « Download Hijackthis Installer »
Installe Hijackthis.

Vas dans le répertoire d'installation d'Hijackthis.

C:\Program Files\Trend Micro\HijackThis\

Renomme Hijackthis.exe en monHJK.exe ( click droit --> renommer )
Double clique après sur cet executable et choisis l'option Do a system scan and save a logfile.
Tu postes alors le rapport Hijackthis. 

A+

remaith · Answer

Voilà le rapport de HiJackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:06:17, on 29/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\SFR\LOGICI~1\LOGICI~2.EXE
C:\Program Files\FeedReader30\feedreader.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\filehippo.com\UpdateChecker.exe
C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe
C:\Program Files\Neuf\Media Center\MediaCenter.exe
C:\Program Files\Wallpaper\Wallpaper.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Documents and Settings\Cédric Masset\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Neuf\Media Center\httpd\httpd.exe
C:\Program Files\Neuf\Media Center\httpd\httpd.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Microsoft Office\Office12\outlook.exe
C:\Program Files\Trend Micro\HijackThis\monHJK.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\2.6\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\FICHIE~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {C70F200C-5E2D-4227-9FAA-6CE42459F785} - (no file)
O2 - BHO: (no name) - {F880A4A8-C436-4AC4-AFD1-AA0BDC9552DD} - (no file)
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboFormoboform.dll
O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\2.6\CoIEPlg.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton 360\osCheck.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Logiciel de Synchronisation SFRTray] C:\PROGRA~1\SFR\LOGICI~1\LOGICI~2.EXE
O4 - HKCU\..\Run: [feedreader.exe] "C:\Program Files\FeedReader30\feedreader.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe" -s
O4 - HKCU\..\Run: [filehippo.com] "C:\Program Files\filehippo.com\UpdateChecker.exe" /background
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [RegistryBooster 2 d’Uniblue ] C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKCU\..\Run: [FreeRAM XP] "C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win
O4 - HKCU\..\Run: [Neuf Media Center] "C:\Program Files\Neuf\Media Center\MediaCenter.exe"
O4 - HKCU\..\Run: [Wallpaper] "C:\Program Files\Wallpaper\Wallpaper.exe" Starter
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Cédric Masset\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKCU\..\Policies\Explorer\Run: [NT Printing Services6] dllhosts.exe
O4 - HKUS\S-1-5-18\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" (User 'Default user')
O4 - Startup: eMule.lnk = C:\Program Files\eMule\emule.exe
O4 - Startup: iTunes.lnk = ?
O4 - Startup: µTorrent.lnk = C:\Program Files\uTorrent\uTorrent.exe
O4 - Global Startup: eMule.lnk = C:\Program Files\eMule\emule.exe
O4 - Global Startup: iTunes.lnk = ?
O4 - Global Startup: µTorrent.lnk = C:\Program Files\uTorrent\uTorrent.exe
O8 - Extra context menu item: Add to &Teleport - C:\Program Files\Teleport Ultra	eleport.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - https://support.norton.com/sp/en/us/home/current/info
O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} (GMNRev Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - Winlogon Notify: fccbCspm - fccbCspm.dll (file missing)
O20 - Winlogon Notify: geBqQGWQ - geBqQGWQ.dll (file missing)
O20 - Winlogon Notify: qoMeETLb - qoMeETLb.dll (file missing)
O20 - Winlogon Notify: ssqQhgff - ssqQhgff.dll (file missing)
O20 - Winlogon Notify: wvUmnlLf - C:\WINDOWS\SYSTEM32\wvUmnlLf.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\LogiShrd\Bluetooth\LBTServ.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe

verni29 · Answer

Vu les protections que tu as sur ton PC, ce n'est pas très prudent d'utiliser le P2P.
Tu n'as pas de parefeu. ON verra ce point plus tard.

Pour cette manipulation, je te conseille de noter ou d'imprimer ce texte car la désinfection va se faire en mode sans échec et tu n'auras pas accès à Internet pour visualiser les consignes.
Autre astuce : Copie/colle le texte dans un fichier .txt que tu enregistres sur ton bureau. Tu le retrouveras alors sur ton bureau et en mode sans échec.

Tu télécharges MalwareBytes. 
http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

Tu l'installes. Choisis les options par défaut. 
A la fin de l’installation, il te sera demandé de mettre à jour MalwareBytes et de l’exécuter . 
Ne choisis que la mise à jour. Le logiciel sera lancé en mode sans échec. 

Tu relances l'ordinateur en mode sans échec ( tapote la touche F8 après redémarrage ). 
Tu choisis ton compte utilisateur. 

Pour lancer MalwareBytes, double-clique sur le raccourci du bureau. 

Dans l’onglet Recherche, sélectionne Exécuter un examen complet. 
Clique sur recherche. Tu ne sélectionnes que les disques durs de l’ordinateur. 
Clique sur lancer l’examen. 

A la fin de la recherche, Comme il est demandé, clique sur afficher les résultats de la recherche. 
Choisis alors Supprimer la selection pour nettoyer les infections. 
Tu postes le rapport dans ton prochain message.

Si tu ne le retrouves pas, ouvre MalwareBytes et regarde dans l’onglet Rapport/logs. Il y est.
Clique dessus et choisir ouvrir.

Le scan dure en moyenne 50 mn.
j' analyserais le rapport demain.

A+

remaith · Answer

Voici le rapport MalwareBytes :

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1334
Windows 5.1.2600 Service Pack 3

29/10/2008 10:04:38
mbam-log-2008-10-29 (10-04-38).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 107049
Temps écoulé: 1 hour(s), 1 minute(s), 27 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 4
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 28

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoftdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\WINDOWS\system32\drivers\downld (Trojan.Agent) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Documents and Settings\Cédric Masset\Local Settings\Temporary Internet Files\Content.IE5\4X444F43\CA27Y3Q5 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Documents and Settings\Cédric Masset\Local Settings\Temporary Internet Files\Content.IE5\4X444F43\upd105320[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Documents and Settings\Cédric Masset\Local Settings\Temporary Internet Files\Content.IE5\CXUYLT3S\CATW43DH (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Documents and Settings\Cédric Masset\Local Settings\Temporary Internet Files\Content.IE5\CXUYLT3S
d82m0[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Documents and Settings\Cédric Masset\Local Settings\Temporary Internet Files\Content.IE5\O0SSIA77\CA8XSP0V (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Documents and Settings\Cédric Masset\Local Settings\Temporary Internet Files\Content.IE5\O0SSIA77\CABIQK6C (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{719A3167-B471-46CC-B456-DBC274768525}\RP203\A0031609.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{719A3167-B471-46CC-B456-DBC274768525}\RP203\A0031611.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{719A3167-B471-46CC-B456-DBC274768525}\RP205\A0031884.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{719A3167-B471-46CC-B456-DBC274768525}\RP207\A0031923.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32
aqbeeti.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllhosts.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\qoMCrpnK.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\qoMdBQkL.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\opnlMdbA.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32
nnljjJb.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32
nnmjgGA.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\urqRHxuS.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\awttqpOe.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\iifcCSlM.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\iifdcDss.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\iifecbCU.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mlJCUOHa.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mlJYsrsp.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ssqRKabA.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ljJbaXon.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wvUOHAsT.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vtUnnKeB.dll (Trojan.vundo) -> Quarantined and deleted successfully.

Concernant le firewall, j'ai laissé norton se paramétré seul ainsi que le firewall Windows...

verni29 · Answer

je reessaie de te poster une réponse.
J'ai essayé 4 fois en fin de matinée. Impossible.

Il y a un dossier dans le rapport de malwareBytes qui est en rapport avec un autre type d'infection.

passe l'outil suivant :

Télécharge FindyKill 
Fais un clic droit sur le lien, enregister sous --> choisis sur le bureau 
http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

Supprime Elibagla si tu l’as téléchargé ( risque de conflit entre les deux outils )

Fais un clic droit sur le lien, enregister sous .....sur le bureau 

double clique sur FindyKill.exe .
choisis l'option 1 (recherche) .

un rapport va s ouvrir, poste le dans ta prochaine réponse.

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque.

A+

remaith · Answer

----------------- FindyKill V4.095 ------------------

* User : C‚dric Masset - CAEL
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 24/10/08 par Chiquitine29
* Recherche effectuée à  0:54:58 le 30/10/2008
* Windows XP - Internet Explorer 6.0.2900.5512
 
((((((((((((((((( *** Recherche *** ))))))))))))))))))  
 
 
--------------- [ Processus actifs ] ----------------  
 

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\SFR\LOGICI~1\LOGICI~2.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\FeedReader30\feedreader.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\filehippo.com\UpdateChecker.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe
C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe
C:\Program Files\Neuf\Media Center\MediaCenter.exe
C:\Program Files\Wallpaper\Wallpaper.exe
C:\Documents and Settings\Cédric Masset\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Neuf\Media Center\httpd\httpd.exe
C:\Program Files\Neuf\Media Center\httpd\httpd.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe
C:\Documents and Settings\Cédric Masset\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Microsoft Office\Office12\outlook.exe
C:\Documents and Settings\Cédric Masset\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Cédric Masset\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Cédric Masset\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Cédric Masset\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\iTunes\iTunes.exe
C:\Documents and Settings\Cédric Masset\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Corel\Corel Paint Shop Pro Photo XI\Corel Paint Shop Pro Photo.exe
C:\Program Files\Teleport Ultra\ultra.exe
C:\Documents and Settings\Cédric Masset\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\SearchFilterHost.exe
 
--------------- [ Fichiers/Dossiers infectieux ] ----------------  
 
 
»»»» Presence des fichiers dans C: 
 
 
»»»» Presence des fichiers dans C:\WINDOWS 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\system32 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers 
 
 
»»»» Presence des fichiers dans C:\Documents and Settings\C‚dric Masset\Application Data 
 
 
»»»» Presence des fichiers dans C:\DOCUME~1\CDRICM~1\LOCALS~1\Temp 
 
 
--------------- [ Registre / Startup ] ----------------  
 

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    IMJPMIG8.1	REG_SZ	"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    PHIME2002ASync	REG_SZ	C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    PHIME2002A	REG_SZ	C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    Raccourci vers la page des propriétés de High Definition Audio	REG_SZ	HDAShCut.exe
    Kernel and Hardware Abstraction Layer	REG_SZ	KHALMNPR.EXE
    SunJavaUpdateSched	REG_SZ	"C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    Adobe Reader Speed Launcher	REG_SZ	"C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    System Files Updater	REG_SZ	C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S
    AppleSyncNotifier	REG_SZ	C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
    NeroFilterCheck	REG_SZ	C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
    HPDJ Taskbar Utility	REG_SZ	C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
    ccApp	REG_SZ	"C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    osCheck	REG_SZ	"C:\Program Files\Norton 360\osCheck.exe"
    Windows Defender	REG_SZ	"C:\Program Files\Windows Defender\MSASCui.exe" -hide
    QuickTime Task	REG_SZ	"C:\Program Files\QuickTime\QTTask.exe" -atboottime
    iTunesHelper	REG_SZ	"C:\Program Files\iTunes\iTunesHelper.exe"
    StartCCC	REG_SZ	"C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
    Logiciel de Synchronisation SFRTray	REG_SZ	C:\PROGRA~1\SFR\LOGICI~1\LOGICI~2.EXE
    Teleport Scheduler	REG_SZ	"C:\Program Files\Teleport Ultra\scheduler.exe" /s

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    feedreader.exe	REG_SZ	"C:\Program Files\FeedReader30\feedreader.exe"
    RocketDock	REG_SZ	"C:\Program Files\RocketDock\RocketDock.exe"
    ctfmon.exe	REG_SZ	C:\WINDOWS\system32\ctfmon.exe
    MsnMsgr	REG_SZ	"C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}	REG_SZ	"C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
    CursorXP	REG_SZ	"C:\Program Files\CursorXP\CursorXP.exe" -s
    filehippo.com	REG_SZ	"C:\Program Files\filehippo.com\UpdateChecker.exe" /background
    ccleaner	REG_SZ	"C:\Program Files\CCleaner\CCleaner.exe" /AUTO
    RegistryBooster 2 d’Uniblue 	REG_SZ	C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
    FreeRAM XP	REG_SZ	"C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win
    Neuf Media Center	REG_SZ	"C:\Program Files\Neuf\Media Center\MediaCenter.exe"
    Wallpaper	REG_SZ	"C:\Program Files\Wallpaper\Wallpaper.exe" Starter
    Google Update	REG_SZ	"C:\Documents and Settings\Cédric Masset\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
    eMuleAutoStart	REG_SZ	C:\Program Files\eMule\emule.exe -AutoStart
 
--------------- [ Registre / Clés infectieuses ] ----------------  
 
 
Présent ! - HKEY_USERS\S-1-5-21-602162358-515967899-725345543-1003\Software\bisoft 
Présent ! - HKEY_CURRENT_USER\Software\bisoft 
 
--------------- [ Etat / Services ] ---------------- 
 


+- Services : [ Auto=2 Demande=3 Désactivé=4 ]

 Ndisuio - Type de démarrage = 3 
 
 EapHost - Type de démarrage = 3 
 
 Ip6Fw - Type de démarrage = 3 
 
 SharedAccess - Type de démarrage = 2 
 
 wuauserv - Type de démarrage = 2 
 
 wscsvc - Type de démarrage = 2 
 
 WinDefend - Type de démarrage = 2 
 
 
 
--------------- [ Recherche dans supports amovibles] ----------------  
 
 
+- Informations : 

C: - Lecteur fixe

F: - Lecteur fixe

G: - Lecteur fixe

H: - Lecteur fixe

I: - Lecteur fixe

J: - Lecteur fixe

L: - Lecteur fixe

O: - Lecteur amovible

S: - Lecteur fixe

T: - Lecteur fixe

Z: - Lecteur fixe

 
+- presence des fichiers :  

 
 
--------------- [ Registre / Moutpoint2 ] ----------------  
 
 
 -> Recherche négative. 
 
 
------------------- ! Fin du rapport ! --------------------  
 
Voilà le rapport !

verni29 · Answer

1) Double clic sur le raccourci FindyKill sur ton bureau 
Au menu principal,choisi l option 2 (Suppression) 

Le pc va redémarrer ( par deux fois ), laisse travailler l'outil jusqu'a l'apparition du message "nettoyage effectué" 

ensuite poste le rapport FindyKill.txt 

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque 
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide.

2) Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( important pour la suite )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

déconnecte toi du net.
Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.

Lance Combofix.exe et suis les invites.
Il est possible que ComBoFix redémarre l’ordinateur pour supprimer certains fichiers.

Une fois le scan fini, un rapport va apparaitre.
Copie/colle ce rapport dans ta prochaine réponse.
Si tu ne le trouves pas, il est à C:\ComboFix.txt.

A+

remaith · Answer

la phase une doit prendre combien de temps car cela fait plus d'une heure que j'ai la fenetre "suppression fichiers temporaires" qui est affichée et aucun redémarrage n'a eu lieu pour le moment ?!

verni29 · Answer

l'outil est planté. Tu n'as pas besoin d'une heure pour supprimer des fichiers temporaires.
Si tu as moyen, arrête le logiciel avec le gestionnaire de taches :
CTRL=ALT+SUPP --> Onglet Applications --> le logicile doit être dans la liste --> fin de tache.

Lance ComBoFix, stp.

A+

remaith · Answer

Voici le rapport : ComboFix 08-10-30.05 - Cédric Masset 2008-10-30 15:10:54.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.2520 [GMT 1:00] Lancé depuis: C:\Documents and Settings\Cédric Masset\Bureau\ComboFix.exe [COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\Downloaded Program Files\setup.inf C:\WINDOWS\system32\giRsAcdd.ini C:\WINDOWS\system32\giRsAcdd.ini2 C:\WINDOWS\system32\hQtENqss.ini C:\WINDOWS\system32\hQtENqss.ini2 C:\WINDOWS\system32\uEdMUvut.ini C:\WINDOWS\system32\uEdMUvut.ini2 C:\WINDOWS\system32\xIhiRXyb.ini C:\WINDOWS\system32\xIhiRXyb.ini2 . ((((((((((((((((((((((((((((( Fichiers créés du 2008-09-28 au 2008-10-30 )))))))))))))))))))))))))))))))))))) . 2008-10-30 00:54 . 2008-10-30 15:02 d-------- C:\Program Files\FindyKill 2008-10-29 16:30 . 2008-10-30 15:01 8 --a------ C:\WINDOWS\schedule.dat 2008-10-29 01:37 . 2008-10-29 01:37 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-10-29 01:37 . 2008-10-29 01:37 d-------- C:\Documents and Settings\Cédric Masset\Application Data\Malwarebytes 2008-10-29 01:37 . 2008-10-29 01:37 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-10-29 01:37 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-10-29 01:37 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-10-29 01:04 . 2008-10-29 01:04 d-------- C:\Program Files\Trend Micro 2008-10-29 00:19 . 2008-10-29 00:19 120 ---hs---- C:\WINDOWS\system32\cuyvjoxf.ini 2008-10-29 00:12 . 2008-10-29 00:12 86 --a------ C:\WINDOWS\wininit.ini 2008-10-28 14:19 . 2008-10-28 18:55 d-------- C:\Program Files\Audacity 2008-10-28 12:42 . 2008-10-28 12:42 d-------- C:\Program Files\Teleport Ultra 2008-10-28 12:28 . 2008-10-28 12:28 103 --a------ C:\WINDOWS\pro.INI 2008-10-28 12:12 . 2004-08-30 21:00 365,568 --a------ C:\WINDOWS\system32\doskeys.exe 2008-10-28 12:12 . 2008-10-29 01:37 189 --a------ C:\WINDOWS\system32\Monitored2.dat 2008-10-27 22:40 . 2008-10-28 12:22 d-------- C:\Program Files\Adobe Audition 3.0 2008-10-27 16:10 . 2008-10-28 22:11 d-------- C:\Documents and Settings\Cédric Masset\Application Data\dvdcss 2008-10-27 01:42 . 2008-10-27 01:42 d-------- C:\Documents and Settings\Cédric Masset\Application Data\vlc 2008-10-24 17:34 . 2008-10-24 17:34 d-------- C:\Program Files\Wallpaper 2008-10-24 17:34 . 2008-10-24 18:45 d-------- C:\Documents and Settings\Cédric Masset\Application Data\Wallpaper 2008-10-23 22:03 . 2008-10-15 17:35 337,408 -----c--- C:\WINDOWS\system32\dllcache etapi32.dll 2008-10-23 20:56 . 2008-10-23 20:56 d-------- C:\Program Files\Micro Application 2008-10-23 20:56 . 1998-11-12 12:13 667,136 --------- C:\WINDOWS\system32\oik32.ocx 2008-10-23 20:56 . 1998-10-07 12:08 327,168 --a------ C:\WINDOWS\IsUn040c.exe 2008-10-23 20:56 . 1999-03-15 18:02 61,952 --------- C:\WINDOWS\system32 wiz32.ocx 2008-10-23 20:56 . 1998-07-12 23:00 32,768 --------- C:\WINDOWS\system32\CMDLGFR.DLL 2008-10-23 20:56 . 2001-08-29 10:31 5,108 --a------ C:\WINDOWS\dbcddfmt.ini 2008-10-23 20:56 . 2008-10-23 20:56 40 --a------ C:\WINDOWS\Navigma.INI 2008-10-22 15:14 . 2008-10-22 15:14 d-------- C:\Documents and Settings\Cédric Masset\Application Data\SFR 2008-10-22 15:13 . 2008-10-22 15:13 d-------- C:\Program Files\SFR 2008-10-22 15:13 . 2008-10-22 15:13 d-------- C:\Documents and Settings\Cédric Masset\Application Data\Outlook 2008-10-20 22:20 . 2007-09-17 14:53 21,632 --a------ C:\WINDOWS\system32\drivers\pccsmcfd.sys 2008-10-20 22:07 . 2008-10-20 22:07 d-------- C:\Documents and Settings\Cédric Masset\Application Data\PC Suite 2008-10-20 22:07 . 2008-10-20 22:07 d-------- C:\Documents and Settings\All Users\Application Data\PC Suite 2008-10-20 20:50 . 2008-10-20 22:07 d-------- C:\Documents and Settings\Cédric Masset\Application Data\Nokia 2008-10-20 20:49 . 2008-10-22 15:06 d-------- C:\Program Files\Nokia 2008-10-20 20:49 . 2008-10-20 20:49 d-------- C:\Program Files\DIFX 2008-10-20 20:49 . 2008-05-07 06:38 90,624 --a------ C:\WINDOWS\system32 mwcdcls.dll 2008-10-20 20:44 . 2008-10-20 22:17 d-------- C:\Documents and Settings\All Users\Application Data\Installations 2008-10-20 20:21 . 2008-10-20 20:21 d--hs---- C:\WINDOWS\ftpcache 2008-10-19 16:54 . 2008-10-19 16:54 d-------- C:\Documents and Settings\All Users\Application Data\ATI 2008-10-19 12:06 . 2008-10-19 12:56 d-------- C:\Documents and Settings\Cédric Masset\Application Data\Facebook 2008-10-18 13:30 . 2008-10-18 13:30 d-------- C:\Documents and Settings\Cédric Masset\Application Data\Windows Search 2008-10-16 02:07 . 2008-10-16 02:07 118 --a------ C:\WINDOWS\system32\MRT.INI 2008-10-15 22:57 . 2008-09-15 16:26 1,846,528 -----c--- C:\WINDOWS\system32\dllcache\win32k.sys 2008-10-15 16:12 . 2008-09-08 11:41 333,824 -----c--- C:\WINDOWS\system32\dllcache\srv.sys 2008-10-15 07:33 . 2008-08-14 14:23 2,191,232 -----c--- C:\WINDOWS\system32\dllcache toskrnl.exe 2008-10-15 07:33 . 2008-08-14 14:23 2,147,328 -----c--- C:\WINDOWS\system32\dllcache tkrnlmp.exe 2008-10-15 07:33 . 2008-08-14 14:23 2,068,096 -----c--- C:\WINDOWS\system32\dllcache tkrnlpa.exe 2008-10-15 07:33 . 2008-08-14 14:23 2,025,984 -----c--- C:\WINDOWS\system32\dllcache tkrpamp.exe 2008-10-13 13:18 . 2008-10-13 13:44 36,363 --a------ C:\WINDOWS\CSTBox.INI 2008-10-09 05:16 . 2008-10-09 05:16 d--h----- C:\WINDOWS\PIF 2008-10-08 12:20 . 2008-10-08 12:20 d-------- C:\Program Files\Packard Bell 2008-10-08 08:21 . 2008-10-08 08:24 d-------- C:\Documents and Settings\Cédric Masset\Application Data\Mp3tag 2008-10-08 08:20 . 2008-10-08 08:21 d-------- C:\Program Files\Mp3tag 2008-10-07 23:59 . 2008-10-07 23:59 d-------- C:\Program Files\PowerQuest 2008-10-05 14:30 . 2008-10-05 14:30 d-------- C:\Program Files\iPod 2008-10-05 14:30 . 2008-10-05 14:30 d-------- C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} 2008-10-02 15:02 . 2008-10-05 13:33 29 --a------ C:\WINDOWS\Irremote.ini 2008-10-02 14:11 . 2008-09-19 15:53 19,352 --a------ C:\WINDOWS\system32\drivers\InCDRec.sys 2008-10-02 13:31 . 2008-10-08 11:14 d-------- C:\Documents and Settings\Cédric Masset\Application Data\Canon 2008-10-01 22:00 . 2008-10-01 22:00 d-------- C:\Program Files\Windows Defender 2008-10-01 21:45 . 2008-10-01 21:45 d-------- C:\Program Files\YourWare Solutions 2008-10-01 21:02 . 2008-10-01 21:02 d-------- C:\Program Files\Quicksys 2008-09-27 15:26 . 2008-10-01 22:30 d-------- C:\WINDOWS\UltraDefrag 2008-09-26 21:24 . 2008-09-26 21:28 d-------- C:\WINDOWS\$regcmp$ 2008-09-26 17:33 . 2008-09-26 17:33 d-------- C:\Documents and Settings\Cédric Masset\Application Data\F-Secure 2008-09-26 15:14 . 2008-09-26 19:27 d-------- C:\Program Files\Pack Sécurité 2008-09-25 15:14 . 2008-09-25 15:14 d-------- C:\Program Files\AviSynth 2.5 2008-09-25 15:13 . 2008-09-25 15:13 d-------- C:\Program Files\eRightSoft 2008-09-24 20:25 . 2008-09-24 20:25 d-------- C:\Program Files\Uniblue 2008-09-24 20:25 . 2008-09-24 20:25 d-------- C:\Documents and Settings\Cédric Masset\Application Data\Uniblue 2008-09-24 12:19 . 2008-09-24 12:19 d-------- C:\WINDOWS\system32\N360_BACKUP 2008-09-24 11:52 . 2008-09-24 11:52 d-------- C:\Program Files\Windows Sidebar 2008-09-24 11:52 . 2008-09-24 16:24 d-------- C:\Program Files\Norton 360 2008-09-24 11:50 . 2008-09-27 14:10 d-------- C:\Program Files\Symantec 2008-09-24 11:50 . 2008-09-27 14:10 123,952 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS 2008-09-24 11:50 . 2008-09-27 14:10 60,800 --a------ C:\WINDOWS\system32\S32EVNT1.DLL 2008-09-24 11:43 . 2008-09-24 12:11 d-------- C:\Documents and Settings\Cédric Masset\Application Data\Symantec 2008-09-24 11:30 . 2008-09-24 23:53 d-------- C:\Documents and Settings\All Users\Symantec Temporary Files 2008-09-23 23:08 . 2008-09-23 23:08 d-------- C:\WINDOWS\Sun 2008-09-23 10:05 . 2008-09-23 10:05 d-------- C:\IDE 2008-09-21 14:40 . 2008-10-19 20:23 d-------- C:\Program Files\TicketToRide 2008-09-19 21:37 . 2008-10-08 05:45 d-------- C:\Program Files\Ant Renamer 2008-09-18 18:29 . 2008-10-16 12:58 d-------- C:\Program Files\Spybot - Search & Destroy 2008-09-18 18:29 . 2008-10-29 00:26 d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-09-18 16:40 . 2008-09-18 16:40 d-------- C:\Program Files\CCleaner 2008-09-17 18:32 . 2008-09-17 18:32 d-------- C:\Documents and Settings\Cédric Masset\Application Data\Panasonic 2008-09-17 10:45 . 2008-09-17 10:45 800 --a------ C:\WINDOWS\hpinfo.lnk 2008-09-17 10:35 . 2008-09-17 10:35 376 --a------ C:\WINDOWS\mozregistry.dat 2008-09-17 10:34 . 2008-09-17 10:45 d-------- C:\Program Files\hp deskjet 980c series 2008-09-17 10:34 . 2008-09-17 10:34 d-------- C:\Program Files\Hewlett-Packard 2008-09-17 10:28 . 2008-09-17 10:28 d-------- C:\Program Files\filehippo.com 2008-09-17 10:21 . 2008-09-17 10:21 d-------- C:\Program Files\NeroInstall.bak 2008-09-17 10:16 . 2008-10-05 13:35 d-------- C:\Program Files\Nero 2008-09-17 10:16 . 2008-10-05 13:55 d-------- C:\Documents and Settings\All Users\Application Data\Nero 2008-09-17 09:15 . 2008-09-27 15:26 d-------- C:\Program Files\UltraDefrag 2008-09-17 08:05 . 2008-02-28 12:26 1,414,440 --a------ C:\WINDOWS\system32\ShellManager310E2D762.dll 2008-09-17 08:05 . 2008-02-28 12:01 774,144 --a------ C:\WINDOWS\system32\NEROINSTAEC43759.DB 2008-09-17 05:24 . 2008-10-20 05:36 124 --a------ C:\WINDOWS\system32 est.aok 2008-09-17 05:24 . 2008-10-20 06:04 123 --a------ C:\WINDOWS\system32 emp_0000_65-21.aok 2008-09-17 05:23 . 2008-09-17 05:23 d-------- C:\Program Files\Allok 3GP PSP MP4 iPod Video Converter 2008-09-17 05:23 . 2002-10-05 06:04 921,600 --a------ C:\WINDOWS\system32\vorbisenc.dll 2008-09-17 05:23 . 2004-01-11 07:02 258,048 --a------ C:\WINDOWS\system32\GplMpgDec.ax 2008-09-17 05:23 . 2002-10-07 01:42 237,568 --a------ C:\WINDOWS\system32\OggDS.dll 2008-09-17 05:23 . 2002-10-05 06:04 188,416 --a------ C:\WINDOWS\system32\vorbis.dll 2008-09-17 05:23 . 2007-04-12 13:19 129,024 --a------ C:\WINDOWS\system32\AVERM.dll 2008-09-17 05:23 . 2002-10-05 06:04 45,056 --a------ C:\WINDOWS\system32\ogg.dll 2008-09-17 05:23 . 2006-09-26 12:57 28,672 --a------ C:\WINDOWS\system32\AVEQT.dll 2008-09-16 14:12 . 2008-09-16 14:12 d-------- C:\WINDOWS\system32\fr 2008-09-16 14:12 . 2008-09-16 14:12 d-------- C:\WINDOWS\system32\bits 2008-09-16 14:12 . 2008-09-16 14:12 d-------- C:\WINDOWS\l2schemas 2008-09-16 14:10 . 2008-09-16 14:13 d-------- C:\WINDOWS\ServicePackFiles 2008-09-16 11:10 . 2004-06-18 13:07 656,542 --a------ C:\271_icol.dll 2008-09-16 09:40 . 2008-10-20 16:49 d-------- C:\Documents and Settings\Cédric Masset\Application Data\Samsung 2008-09-16 09:07 . 2006-05-03 21:53 174,592 --a------ C:\WINDOWS\system32\framedyn.dll 2008-09-16 09:04 . 2008-09-16 09:05 d-------- C:\WINDOWS\system32\Samsung_USB_Drivers 2008-09-16 09:02 . 2008-09-16 09:28 5,632 --a------ C:\WINDOWS\system32\drivers\StarOpen.sys 2008-09-16 09:02 . 2005-08-28 19:51 766 --a------ C:\WINDOWS\system32\Uninstall.ico 2008-09-16 09:01 . 2008-09-16 09:01 d-------- C:\Program Files\Samsung 2008-09-16 08:04 . 2008-09-16 08:04 d-------- C:\Documents and Settings\Cédric Masset\Application Data\FindeXer 2008-09-16 07:18 . 2008-09-16 07:18 153,455 --a------ C:\WINDOWS\BricoPackUninst.cmd 2008-09-16 07:13 . 2008-09-16 07:13 d-------- C:\Program Files\RK Launcher 2008-09-16 07:13 . 2008-09-16 11:10 d-------- C:\Program Files\CursorXP 2008-09-16 07:12 . 2008-09-16 11:17 d-------- C:\Program Files\MacSearch_v.1.4.3 . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-24 03:09 3,331,072 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys 2008-09-24 02:18 425,984 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll 2008-09-24 02:17 311,296 ----a-w C:\WINDOWS\system32\ati2dvag.dll 2008-09-24 02:09 10,772,480 ----a-w C:\WINDOWS\system32\atioglxx.dll 2008-09-24 02:07 188,416 ----a-w C:\WINDOWS\system32\atipdlxx.dll 2008-09-24 02:06 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll 2008-09-24 02:06 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe 2008-09-24 02:06 143,360 ----a-w C:\WINDOWS\system32\Oemdspif.dll 2008-09-24 02:06 143,360 ----a-w C:\WINDOWS\system32\ati2evxx.dll 2008-09-24 02:04 581,632 ----a-w C:\WINDOWS\system32\ati2evxx.exe 2008-09-24 02:03 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL 2008-09-24 01:56 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll 2008-09-24 01:54 4,008,864 ----a-w C:\WINDOWS\system32\ati3duag.dll 2008-09-24 01:38 2,399,744 ----a-w C:\WINDOWS\system32\ativvaxx.dll 2008-09-24 01:24 48,640 ----a-w C:\WINDOWS\system32\amdpcom32.dll 2008-09-24 01:20 380,928 ----a-w C:\WINDOWS\system32\atikvmag.dll 2008-09-24 01:19 39,424 ----a-w C:\WINDOWS\system32\atiadlxx.dll 2008-09-24 01:18 53,248 ----a-w C:\WINDOWS\system32\drivers\ati2erec.dll 2008-09-24 01:18 253,952 ----a-w C:\WINDOWS\system32\atiok3x2.dll 2008-09-24 01:18 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll 2008-09-24 01:12 573,440 ----a-w C:\WINDOWS\system32\ati2cqag.dll 2008-09-15 15:26 1,846,528 ----a-w C:\WINDOWS\system32\win32k.sys 2008-09-13 21:20 --------- d-----w C:\Program Files\microsoft frontpage 2008-09-13 21:18 --------- d-----w C:\Program Files\Services en ligne 2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys 2008-08-29 08:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe 2008-08-29 07:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll 2008-08-20 05:10 670,208 ----a-w C:\WINDOWS\system32\wininet.dll 2008-08-14 13:23 2,147,328 ----a-w C:\WINDOWS\system32 toskrnl.exe 2008-08-14 13:23 2,025,984 ----a-w C:\WINDOWS\system32 tkrnlpa.exe 2008-08-05 21:14 90,112 ----a-w C:\WINDOWS\system32\ATIBRTMON.EXE 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-07 20:28 253,952 ----a-w C:\WINDOWS\system32\es.dll . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayExcluded] @="{4433A54A-1AC8-432F-90FC-85F045CF383C}" [HKEY_CLASSES_ROOT\CLSID\{4433A54A-1AC8-432F-90FC-85F045CF383C}] 2008-02-26 09:34 576352 --a------ C:\Program Files\Fichiers communs\Symantec Shared\Backup\buShell.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayPending] @="{F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225}" [HKEY_CLASSES_ROOT\CLSID\{F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225}] 2008-02-26 09:34 576352 --a------ C:\Program Files\Fichiers communs\Symantec Shared\Backup\buShell.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayProtected] @="{476D0EA3-80F9-48B5-B70B-05E677C9C148}" [HKEY_CLASSES_ROOT\CLSID\{476D0EA3-80F9-48B5-B70B-05E677C9C148}] 2008-02-26 09:34 576352 --a------ C:\Program Files\Fichiers communs\Symantec Shared\Backup\buShell.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "feedreader.exe"="C:\Program Files\FeedReader30\feedreader.exe" [2008-02-29 2021888] "RocketDock"="C:\Program Files\RocketDock\RocketDock.exe" [2007-09-02 495616] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360] "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] "IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 1828136] "CursorXP"="C:\Program Files\CursorXP\CursorXP.exe" [2005-01-19 128000] "filehippo.com"="C:\Program Files\filehippo.com\UpdateChecker.exe" [2008-10-22 147968] "ccleaner"="C:\Program Files\CCleaner\CCleaner.exe" [2008-10-23 1336560] "RegistryBooster 2 d’Uniblue "="C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe" [2007-11-21 1902592] "FreeRAM XP"="C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" [2006-03-22 1591808] "Neuf Media Center"="C:\Program Files\Neuf\Media Center\MediaCenter.exe" [2007-10-15 1025264] "Wallpaper"="C:\Program Files\Wallpaper\Wallpaper.exe" [2007-08-21 233472] "Google Update"="C:\Documents and Settings\Cédric Masset\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2008-10-28 133104] "eMuleAutoStart"="C:\Program Files\eMule\emule.exe" [2008-08-01 5480448] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672] "System Files Updater"="C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe" [2006-02-25 118485] "AppleSyncNotifier"="C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-10-01 111936] "NeroFilterCheck"="C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2008-02-28 570664] "HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-12-07 196608] "ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2008-02-18 51048] "osCheck"="C:\Program Files\Norton 360\osCheck.exe" [2008-02-26 988512] "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-09-06 413696] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-10-01 289576] "StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 61440] "Logiciel de Synchronisation SFRTray"="C:\PROGRA~1\SFR\LOGICI~1\LOGICI~2.EXE" [2007-10-08 32837] "Teleport Scheduler"="C:\Program Files\Teleport Ultra\scheduler.exe" [2007-09-20 327680] "Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 C:\WINDOWS\system32\HdAShCut.exe] "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 C:\WINDOWS\KHALMNPR.Exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "RoboForm"="C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" [2008-09-14 160592] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ eMule.lnk - C:\Program Files\eMule\emule.exe [2008-08-01 5480448] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ eMule.lnk - C:\Program Files\eMule\emule.exe [2008-08-01 5480448] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "C:\Program Files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\LBTWlgn] 2008-05-02 01:42 72208 c:\Program Files\Fichiers communs\Logishrd\Bluetooth\LBTWLgn.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.I420"= i420vfw.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup] @="" [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\uTorrent\uTorrent.exe"= "C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"= "C:\Program Files\Microsoft Office\Office12\GROOVE.EXE"= "C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE"= "C:\Program Files\Bonjour\mDNSResponder.exe"= "C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "C:\Program Files\iTunes\iTunes.exe"= "C:\Program Files\eMule\emule.exe"= "C:\Documents and Settings\Cédric Masset\Application Data\Facebook\facebook.exe"= C:\Documents and Settings\Cédric Masset\Application Data\Facebook\facebook.exe:127.0.0.1/255.255.255.255:Enabled:Facebook "C:\Program Files\Neuf\Media Center\httpd\httpd.exe"= C:\Program Files\Neuf\Media Center\httpd\httpd.exe:172.16.255.0/255.255.255.0,192.168.1.2/255.255.255.255:Enabled:Serveur de partage Media Center (Player Neuf Cegetel) R2 LiveUpdate Notice;LiveUpdate Notice;C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe [2008-02-18 149352] S3 COH_Mon;COH_Mon;C:\WINDOWS\system32\Drivers\COH_Mon.sys [2008-07-30 23888] *Newly Created Service* - COMHOST *Newly Created Service* - PROCEXP90 . Contenu du dossier 'Tâches planifiées' 2008-10-28 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34] 2008-10-30 C:\WINDOWS\Tasks\GoogleUpdateTaskUser.job - C:\Documents and Settings\C [] 2008-10-30 C:\WINDOWS\Tasks\MP Scheduled Scan.job - C:\Program Files\Windows Defender\MpCmdRun.exe [2006-11-03 18:20] 2008-10-27 C:\WINDOWS\Tasks\Norton Internet Security Online - Analyse système complète - Cédric Masset.job - C:\Program Files\Norton Internet Security\Norton AntiVirus\Navw32.exe [] . - - - - ORPHELINS SUPPRIMES - - - - BHO-{C70F200C-5E2D-4227-9FAA-6CE42459F785} - (no file) HKCU-Explorer_Run-NT Printing Services6 - dllhosts.exe ShellExecuteHooks-{299B5FAC-2168-4A5D-A67D-AA4C8F8055DA} - (no file) Notify-fccbCspm - fccbCspm.dll Notify-geBqQGWQ - geBqQGWQ.dll Notify-qoMeETLb - qoMeETLb.dll Notify-ssqQhgff - ssqQhgff.dll Notify-wvUmnlLf - wvUmnlLf.dll . ------- Examen supplémentaire ------- . FireFox -: Profile - C:\Documents and Settings\Cédric Masset\Application Data\Mozilla\Firefox\Profiles\lnuwmr9m.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.neufportail.fr/ FF -: plugin - C:\Documents and Settings\CÃ©dric Masset\Local Settings\Application Data\Google\Update\1.2.131.25 pGoogleOneClick6.dll FF -: plugin - C:\Program Files\iTunes\Mozilla Plugins pitunes.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-30 15:12:58 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... C:\DOCUME~1\CDRICM~1\LOCALS~1\Temp\RGI34.tmp Scan terminé avec succès Fichiers cachés: 1 ************************************************************************** . Heure de fin: 2008-10-30 15:13:58 ComboFix-quarantined-files.txt 2008-10-30 14:13:53 Avant-CF: 87,957,442,560 octets libres Après-CF: 87,949,463,552 octets libres 322 --- E O F --- 2008-10-30 02:01:10 Aucun redémarrage.

verni29 · Answer

1) Télécharge OTMoveIt (de Old_Timer) sur ton Bureau. 
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe 

Double-clique sur OTMoveIt.exe pour le lancer. 
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move. 

C:\WINDOWS\system32\cuyvjoxf.ini 

clique sur MoveIt! pour lancer la suppression. 
Le résultat apparaitra dans le cadre "Results". 
Clique sur Exit pour fermer.
Poste le rapport ( fichier .log ) situé dans C:\_OTMoveIt\MovedFiles.
Il est possible que ton ordinateur redémarre pour supprimer les fichiers.

2) Tu vas sur le site de VirusTotal et tu vas pouvoir analyser le fichier.
https://www.virustotal.com/gui/
Copiez le chemin indiqué ci-dessous et le coller dans la zone à analyser.

C:\WINDOWS\wininit.ini 

Tu cliques ensuite sur envoyer le fichier.
Tu postes le rapport de l'analyse ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )

A+

remaith · Answer

Page 404 sur le lien pour OldTimer ?!

verni29 · Answer

Il a enlevé son ancienne version.

Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau. 
http://oldtimer.geekstogo.com/OTMoveIt3.exe

Double-clique sur OTMoveIt.exe pour le lancer. 
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous  Paste Instructions for Items to be Moved. 

:Processes
explorer.exe

:Files
C:\WINDOWS\system32\cuyvjoxf.ini 

:Commands
[purity]
[empty temp]
[start explorer]
[reboot]

clique sur MoveIt! pour lancer la suppression. 
Le résultat apparaitra dans le cadre "Results". 
Clique sur Exit pour fermer.

Poste le rapport ( fichier .log ) situé dans C:\_OTMoveIt\MovedFiles.
Il est possible que ton ordinateur redémarre pour supprimer les fichiers.

remaith · Answer

Voici le rapport de OTMoveIt :

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
C:\WINDOWS\system32\cuyvjoxf.ini moved successfully.
========== COMMANDS ==========
Error: Unable to interpret <[empty temp] > in the current context!
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.5.0 log created on 10302008_190643

verni29 · Answer

1) Une dernière vérification :

Tu vas sur le site de Kaspersky:
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

Clique sur Demarrer Online-scanner ( en bas de page à droite ) pour commencer l'analyse.
Il te sera demandé d'installer un logiciel de Kaspersky, accepte.

A la fin de cette analyse, clique sur enregistrer le rapport.
Poste le contenu de ce rapport dans ton prochain message.

2) Poste moi un dernier rapport Hijackthis.

A+

remaith · Answer

Voici pour le rapport de Kapersky :

KASPERSKY ON-LINE SCANNER REPORT
Thursday, October 30, 2008 9:33:23 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 30/10/2008
Enregistrements dans la base antivirus Kaspersky : 1361872
Paramètres d'analyse
Analyser avec la base antivirus suivante 	étendue
Analyser les archives 	vrai
Analyser les bases de messagerie 	vrai
Cible de l'analyse 	Zones critiques
C:\WINDOWS
C:\DOCUME~1\CDRICM~1\LOCALS~1\Temp\
Statistiques de l'analyse
Total d'objets analysés 	20203
Nombre de virus trouvés 	2
Nombre d'objets infectés 	2 / 0
Nombre d'objets suspects 	0
Durée de l'analyse 	00:23:55

Nom de l'objet infecté 	Nom du virus 	Dernière action
C:\WINDOWS\Debug\PASSWD.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\FlyakiteOSX\Tools\wfpdisable.exe 	Infecté : not-a-virus:RiskTool.Win32.WFPDisabler.a 	ignoré
C:\WINDOWS\SchedLgU.Txt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Sti_Trace.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\CatRoot2\edb.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\CatRoot2	mp.edb 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\ACEEvent.evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\AppEvent.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\Canal+.evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\default 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\default.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\ODiag.evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\OSession.evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SAM 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SAM.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SecEvent.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SECURITY 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SECURITY.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\software 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\software.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SysEvent.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\system 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\system.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\doskeys.exe 	Infecté : Backdoor.Win32.Agent.rud 	ignoré
C:\WINDOWS\system32\drivers\etc\Hosts.bak 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\h323log.txt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Temp\JETBB80.tmp 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_778.dat 	L'objet est verrouillé 	ignoré
C:\WINDOWS\wiadebug.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\wiaservc.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\WindowsUpdate.log 	L'objet est verrouillé 	ignoré
C:\DOCUME~1\CDRICM~1\LOCALS~1\Temp\BCG164.tmp 	L'objet est verrouillé 	ignoré
C:\DOCUME~1\CDRICM~1\LOCALS~1\Temp\BCG167.tmp 	L'objet est verrouillé 	ignoré
C:\DOCUME~1\CDRICM~1\LOCALS~1\Temp\BCG168.tmp 	L'objet est verrouillé 	ignoré
C:\DOCUME~1\CDRICM~1\LOCALS~1\Temp\BCG169.tmp 	L'objet est verrouillé 	ignoré
C:\DOCUME~1\CDRICM~1\LOCALS~1\Temp\BCG16A.tmp 	L'objet est verrouillé 	ignoré
C:\DOCUME~1\CDRICM~1\LOCALS~1\Temp\BCG16B.tmp 	L'objet est verrouillé 	ignoré
C:\DOCUME~1\CDRICM~1\LOCALS~1\Temp\BCG16C.tmp 	L'objet est verrouillé 	ignoré
C:\DOCUME~1\CDRICM~1\LOCALS~1\Temp\BCG16D.tmp 	L'objet est verrouillé 	ignoré
C:\DOCUME~1\CDRICM~1\LOCALS~1\Temp\BCG16E.tmp 	L'objet est verrouillé 	ignoré
C:\DOCUME~1\CDRICM~1\LOCALS~1\Temp\BCG16F.tmp 	L'objet est verrouillé 	ignoré
C:\DOCUME~1\CDRICM~1\LOCALS~1\Temp\BCG196.tmp 	L'objet est verrouillé 	ignoré
C:\DOCUME~1\CDRICM~1\LOCALS~1\Temp\BCG197.tmp 	L'objet est verrouillé 	ignoré
C:\DOCUME~1\CDRICM~1\LOCALS~1\Temp\BCG198.tmp 	L'objet est verrouillé 	ignoré
C:\DOCUME~1\CDRICM~1\LOCALS~1\Temp\BCG199.tmp 	L'objet est verrouillé 	ignoré
C:\DOCUME~1\CDRICM~1\LOCALS~1\Temp\etilqs_C9yAlRM1YKejY5RN2GC6 	L'objet est verrouillé 	ignoré
C:\DOCUME~1\CDRICM~1\LOCALS~1\Temp\fb_2608.lck 	L'objet est verrouillé 	ignoré
C:\DOCUME~1\CDRICM~1\LOCALS~1\Temp\Perflib_Perfdata_d90.dat 	L'objet est verrouillé 	ignoré
C:\DOCUME~1\CDRICM~1\LOCALS~1\Temp\sqlite_YCTrenGKrd02LPY 	L'objet est verrouillé 	ignoré
C:\DOCUME~1\CDRICM~1\LOCALS~1\Temp\~DF6CF0.tmp 	L'objet est verrouillé 	ignoré
C:\DOCUME~1\CDRICM~1\LOCALS~1\Temp\~DFA478.tmp 	L'objet est verrouillé 	ignoré
C:\DOCUME~1\CDRICM~1\LOCALS~1\Temp\~DFA7D0.tmp 	L'objet est verrouillé 	ignoré
Analyse terminée.

verni29 · Answer

1) Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste Instructions for Items to be Moved.

:Processes
explorer.exe

:Files
C:\WINDOWS\FlyakiteOSX\Tools\wfpdisable.exe 
C:\WINDOWS\system32\doskeys.exe 

:Commands
[purity]
[empty temp]
[start explorer]
[reboot]

clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Clique sur Exit pour fermer.

Poste le rapport ( fichier .log ) situé dans C:\_OTMoveIt\MovedFiles.
Il est possible que ton ordinateur redémarre pour supprimer les fichiers.

2) Poste moi un dernier rapport Hijackthis.

A+

remaith · Answer

1)========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
C:\WINDOWS\FlyakiteOSX\Tools\wfpdisable.exe moved successfully.
C:\WINDOWS\system32\doskeys.exe moved successfully.
========== COMMANDS ==========
Error: Unable to interpret <[empty temp]> in the current context!
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.5.0 log created on 10302008_220734

2)Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:16, on 30/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\SFR\LOGICI~1\LOGICI~2.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Teleport Ultra\scheduler.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\FeedReader30\feedreader.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\filehippo.com\UpdateChecker.exe
C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe
C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe
C:\Program Files\Neuf\Media Center\MediaCenter.exe
C:\Program Files\Wallpaper\Wallpaper.exe
C:\Documents and Settings\Cédric Masset\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Neuf\Media Center\httpd\httpd.exe
C:\Program Files\Neuf\Media Center\httpd\httpd.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Microsoft Office\Office12\outlook.exe
C:\Program Files\Trend Micro\HijackThis\monHJK.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\2.6\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\FICHIE~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {F880A4A8-C436-4AC4-AFD1-AA0BDC9552DD} - (no file)
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\2.6\CoIEPlg.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton 360\osCheck.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Logiciel de Synchronisation SFRTray] C:\PROGRA~1\SFR\LOGICI~1\LOGICI~2.EXE
O4 - HKLM\..\Run: [Teleport Scheduler] "C:\Program Files\Teleport Ultra\scheduler.exe" /s
O4 - HKCU\..\Run: [feedreader.exe] "C:\Program Files\FeedReader30\feedreader.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe" -s
O4 - HKCU\..\Run: [filehippo.com] "C:\Program Files\filehippo.com\UpdateChecker.exe" /background
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [RegistryBooster 2 d’Uniblue ] C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKCU\..\Run: [FreeRAM XP] "C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win
O4 - HKCU\..\Run: [Neuf Media Center] "C:\Program Files\Neuf\Media Center\MediaCenter.exe"
O4 - HKCU\..\Run: [Wallpaper] "C:\Program Files\Wallpaper\Wallpaper.exe" Starter
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Cédric Masset\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-18\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" (User 'Default user')
O4 - Startup: eMule.lnk = C:\Program Files\eMule\emule.exe
O4 - Startup: iTunes.lnk = ?
O4 - Startup: µTorrent.lnk = C:\Program Files\uTorrent\uTorrent.exe
O4 - Global Startup: eMule.lnk = C:\Program Files\eMule\emule.exe
O4 - Global Startup: iTunes.lnk = ?
O4 - Global Startup: µTorrent.lnk = C:\Program Files\uTorrent\uTorrent.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - https://support.norton.com/sp/en/us/home/current/info
O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} (GMNRev Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\LogiShrd\Bluetooth\LBTServ.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe

verni29 · Answer

Mets les logiciels suivants à jour :

1) Télécharge Internet Explorer 7 :
lien de téléchargement

2) Télécharge JavaRa de PaulMcLain et Fred De Vries.
http://raproducts.org/click/click.php?id=1

Click droit sur l’archive JavaRa.zip et extraire sur le bureau.
Un dossier sera crée. L’ouvrir et double-cliquer sur JavaRa.exe pour le lancer

Choisis la langue ( anglais )
Une fenêtre va s’ouvrir ou tu auras le choix entre mettre à jour et supprimer les anciennes versions de Java.

- Mise à jour :
clique sur Search for Updates et choisis l’option Update Using jucheck.exe. 
Il te sera précisé si il existe ou pas de nouvelle version à installer sur ton PC.
Si oui, clique sur Installer puis suis les invites.

- Suppression des anciennes versions :
Relance JavaRa.exe s’il le faut et choisis Remove Older Versions.
Suis les invites.
Il te sera précisé de la suppression les versions trouvées et supprimées.

A+

remaith · Answer

Ben justement dès que je tente de faire une mise à jour de IE de la V6 vers la V7, j'ai un message d'erreur : Code d'erreur: 0x3F5

Je vais craquer je crois...

verni29 · Answer

Ne l'installe pas, alors.

Ce genre d'erreur peut aussi bien venir de ton PC plutot que d'une infection.

1) Télécharge OTCleanIT d’Old Timer.
http://download.bleepingcomputer.com/oldtimer/OTCleanIt.exe
Enregistre le fichier sur ton bureau.

Double clique sut OTCleanit.exe pour l’exécuter.
Clique sur CleanUp !. 
Le logiciel va te demander de commencer l’analyse. Accepte.

Il te sera demandé le redémarrage de ton PC pour finir la suppression des fichiers et supprimer également OTCleanIT. Accepte.

2) Tu vas utiliser CCleaner. 
http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner 

utilise les fonctions nettoyeur et registre. 

Dis moi pour le message d'erreur, si il persiste.

A+

remaith · Answer

Le message est toujours là mais j'avais déjà ce soucis avant mon infection, mais comme je me sers de Firefox, je m'en suis jamais vraiment occupé.

verni29 · Answer

OK, quand tu auras terminé le nettoyage, fais ceci :

Les points de restauration : 
-  Panneau de configuation --> Système --> Restauration du sytème 
cocher " Désactiver la restauration .... " ( si elle est cochée sinon la décocher -- >  valider -- > cocher )
Une fenêtre va s’ouvrir pour t’avertir que les poins de restauration existants seront supprimés.
Accepte.
Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système
- Tu vas recréer un point de restauration propre.
Pour recréer un point de restauration :
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
Choisis "Créer un point de restauration". Suis les invites.

A+

remaith · Answer

C'est fait. Et je fais quand maintenant ? A tes ordres ;)

verni29 · Answer

je viens de tout relire.
Il y a une chose que tu ne m'as pas envoyé.

Le rapport de virustotal sur wininit.ini :
partie 2 ) du message suivant :
http://www.commentcamarche.net/forum/affich 9127530 infeste par trojan win32 vundo gen r#11

A+

remaith · Answer

Désolé, voilà le rapport :

Antivirus  	Version  	Dernière mise à jour  	Résultat
AhnLab-V3	2008.10.30.1	2008.10.31	-
AntiVir	7.9.0.10	2008.10.31	-
Authentium	5.1.0.4	2008.10.31	-
Avast	4.8.1248.0	2008.10.30	-
AVG	8.0.0.161	2008.10.31	-
BitDefender	7.2	2008.10.31	-
CAT-QuickHeal	9.50	2008.10.31	-
ClamAV	0.94.1	2008.10.31	-
DrWeb	4.44.0.09170	2008.10.31	-
eSafe	7.0.17.0	2008.10.30	-
eTrust-Vet	31.6.6184	2008.10.31	-
Ewido	4.0	2008.10.31	-
F-Prot	4.4.4.56	2008.10.30	-
F-Secure	8.0.14332.0	2008.10.31	-
Fortinet	3.117.0.0	2008.10.31	-
GData	19	2008.10.31	-
Ikarus	T3.1.1.44.0	2008.10.31	-
K7AntiVirus	7.10.512	2008.10.30	-
Kaspersky	7.0.0.125	2008.10.31	-
McAfee	5419	2008.10.31	-
Microsoft	1.4005	2008.10.31	-
NOD32	3572	2008.10.31	-
Norman	5.80.02	2008.10.30	-
Panda	9.0.0.4	2008.10.30	-
PCTools	4.4.2.0	2008.10.31	-
Prevx1	V2	2008.10.31	-
Rising	21.01.42.00	2008.10.31	-
SecureWeb-Gateway	6.7.6	2008.10.31	-
Sophos	4.35.0	2008.10.31	-
Sunbelt	3.1.1767.2	2008.10.31	-
Symantec	10	2008.10.31	-
TheHacker	6.3.1.1.135	2008.10.31	-
TrendMicro	8.700.0.1004	2008.10.31	-
VBA32	3.12.8.9	2008.10.30	-
ViRobot	2008.10.31.1446	2008.10.31	-
VirusBuster	4.5.11.0	2008.10.30	-
Information additionnelle
File size: 86 bytes
MD5...: eb57a058ab0908bf5ac57aeab11ca9cb
SHA1..: 379ace40e67af834fb6340d8243c2c86f7d3720a
SHA256: cc7b93849c8346c65e050bc65cf8de943ed9f11565e18e7e59bdc0b69a07dab7
SHA512: 9d7f4ad16952884e427b0324636ccba2fbbf6cdd678c2c314156e74200ec52fb
2dc0613976bb1874a0d73c2ec07add38cc3217527a6f627901830164dbc54275
PEiD..: -
TrID..: File type identification
Generic INI configuration (100.0%)
PEInfo: -

verni29 · Answer

C'est terminé.

Ton Pc doit être propre.
Comme tu es un utilisateur averti du P2P, je te mets en garde contre le téléchargement de cracks ou de keygens.
Sinon, on risque de se retrouver sur ce forum.

Sinon, bon surf et bonne continuation.

Peux-tu mettre le sujet comme résolu ?

Salut.

remaith · Answer

Ben je fais justement très attention voilà pourquoi je ne comprends pas comment j'ai pu me trouver infecté surtout que je n'ai rien téléchargé de tel dernièrement.

Tu m'as aussi parlé de mes firewalls, d'ou venait le problème ???

verni29 · Answer

de la version de symantec sur ton PC ?
Fait-elle firewall ? J'imagine que c'est une version payante.

Désolé, mais ce produit laisse pas mal de types d'infections ( Lop, Navipromo ).

A+

remaith · Answer

Bon ben je vais faire attention merci pour tout en espérant ne pas avoir à revenir avant longtemps ;o)

Infesté par Trojan:Win32/vundo.gen!R

30 réponses

Discussions similaires

Newsletters