Winlogon CPU 100% dll image incorrecte..HELP!

Zorro3 -  
 Zorro3 -
Bonjour,

j'ai un souci sur mon PC qui survient aléatoirement (lors de la reprise de la main sur l'écran de veille, après démarrage de Outlook...), winlogon.exe monopolise la CPU, ralentie énormément le PC et je suis obligé de rebooter. La semaine dernière la CPU se bloquait avec vsmon.exe qui utilisait 25% de la CPU et winlogon.exe 75%. En remplacant Zone Alarme par Kerio vsmon a disparu. Reste à régler le pb winlogon.exe qui utilise désormais la CPU à 100% lorsque le bug apparait...

Quelques précisions et mon rapport HijackThis :

Ma config :
Windows XP Home Edition
Internet Explorer 6.0
AntiVir PersonalEdition

Logfile of HijackThis v1.99.1
Scan saved at 18:52:49, on 04/12/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\Documents and Settings\Zorro3\Bureau\Kit de dépannage\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {031771DA-2F35-420B-94DE-0929BE900FD8} - c:\windows\system32\qjwjxcr.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .m4v: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin6.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://www.tele2mail.com/static/apps/utils/AccountHelper.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: upteqdjr - C:\WINDOWS\SYSTEM32\qjwjxcr.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

En plus du probleme de CPU, j'ai aussi fréquement des messages d'erreur comme celui-ci qui apparaissent :

" Rappel : OSA.EXE - Image incorrecte
L'application ou la DLL c:\windows\system32\imgzoaa.dll n'est pas une image Windows valide. Vérifiez à l'aide de votre disquette d'installation."

Suivi d'un autre msg identique pour l'application "hpobrt07.exe"

J'ai scanné mon PC avec Kaspersky Webscanner qui n'a rien trouvé puis j'ai passé SUPERantiSpyware.exe qui m'a viré quelques fichiers. Enfin, j'ai passé CCleaner qui a fait le ménage mais n'a pas corrigé le(s) probleme(s). Le fichier imgzoaa.dll est bien présent dans c:WINDOWS\System32

Worms, bug Windows ou autre ?
Je ne sais pas si mes deux problèmes sont liés. Une recherche de "imgzoaa.dll" ne donne rien sur Google.

Je commence être sérieusement à court d'idées et vu ma maitrise du PC, j'ai peur de faire plus de mal que de bien en jouant avec les dll.

J'ai besoin de votre aide, please.... toute suggestion est bienvenue

Zorro3

15 réponses

  1. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Bonjour,

    Infection Vundo (n'essaye pas de cocher ces lignes dans hijackthis !) :
    O2 - BHO: (no name) - {031771DA-2F35-420B-94DE-0929BE900FD8} - c:\windows\system32\qjwjxcr.dll
    O20 - Winlogon Notify: upteqdjr - C:\WINDOWS\SYSTEM32\qjwjxcr.dll

    Télécharge et installe Malwarebytes' Anti-Malware
    - A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
    - Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
    - Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
    - Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
    - A la fin du scan, clique sur Afficher les résultats
    - Coche tous les éléments détectés puis clique sur Supprimer la sélection
    - Enregistre le rapport
    - S'il t'est demandé de redémarrer, clique sur Yes

    Poste le rapport de scan après la suppression ici

    0
  2. Zorro3
     
    Salut,

    Tout d'abord un grand merci à toi Anthony5151 pour ton secours sans quoi j'aurais jamais compris ce que c'était...
    Malheureusement, la créature résiste.... Malwarebytes' Anti-Malware m'a détecté et supprimé 18 éléments infectés (dont Trojan.Agent qui s'était aussi invité su mon PC).
    Par contre, il me reste systèmatiquement 3 éléments infectés (j'ai fais plusieurs scans avec mbma et Combofix mais rien n'y fait).
    Le trojan Trojan.Vundo.H initialement, a pris le nom de Trojan.BHO.H maintenant.

    Voivi le rapport du scan MBAM :

    Malwarebytes' Anti-Malware 1.31
    Version de la base de données: 1463
    Windows 5.1.2600

    05/12/2008 15:32:39
    mbam-log-2008-12-05 (15-32-39).txt

    Type de recherche: Examen rapide
    Eléments examinés: 42777
    Temps écoulé: 3 minute(s), 51 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 2
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{031771da-2f35-420b-94de-0929be900fd8} (Trojan.BHO.H) -> Delete on reboot.
    HKEY_CLASSES_ROOT\CLSID\{031771da-2f35-420b-94de-0929be900fd8} (Trojan.BHO.H) -> Delete on reboot.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\WINDOWS\system32\qjwjxcr.dll (Trojan.BHO.H) -> Delete on reboot.

    Désormais AntiVir Guard reconnait aussi le trojan (qu'il appelle TR/Trash.Gen) dans les fichiers qjwjxcr.dll et imgzoaa.dll (messages d'alerte intempestifs).
    J'ai vérifié le dossier c:\windows\system32 et les 2 dll s'y trouvent tjs.

    Que dois-je faire ensuite pour détruire ce Vundo ?
    0
  3. Zorro3
     
    Pour info, voici mon scan Combofix suivi du rapport HijackThis :

    ComboFix 08-12-04.04 - Zorro3 2008-12-05 15:06:36.3 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.0.2534.1.7986.45.89 [GMT 1:00]
    Lancé depuis: c:\documents and settings\Zorro3\Bureau\Kit de dépannage\ComboFix.exe

    [COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
    .

    ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-05 au 2008-12-05 ))))))))))))))))))))))))))))))))))))
    .

    2008-12-05 12:43 . 2008-12-05 14:35 726 --a------ c:\windows\system32\drivers\fwdrv.err
    2008-12-05 12:25 . 2008-12-05 12:25 <REP> d-------- C:\VundoFix Backups
    2008-12-05 11:39 . 2008-12-05 11:39 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
    2008-12-05 11:39 . 2008-12-05 11:39 <REP> d-------- c:\documents and settings\Zorro3\Application Data\Malwarebytes
    2008-12-05 11:39 . 2008-12-05 11:39 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
    2008-12-05 11:39 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
    2008-12-05 11:39 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
    2008-12-04 15:49 . 2008-12-04 15:55 <REP> d-------- C:\Exchange
    2008-12-04 15:47 . 2008-12-04 15:47 <REP> d-------- c:\windows\MSREMOTE.SFS
    2008-12-03 14:29 . 2001-08-23 17:18 899,914 --a--c--- c:\windows\system32\dllcache\r2mdkxga.sys
    2008-12-03 14:28 . 2001-08-23 17:46 1,738,496 --a--c--- c:\windows\system32\dllcache\nv4.dll
    2008-12-03 14:27 . 2001-08-17 21:28 802,683 --a--c--- c:\windows\system32\dllcache\ltsm.sys
    2008-12-03 14:26 . 2001-08-23 17:46 1,733,120 --a--c--- c:\windows\system32\dllcache\g400d.dll
    2008-12-03 14:25 . 2001-08-23 17:04 980,034 --a--c--- c:\windows\system32\dllcache\cicap.sys
    2008-12-03 14:24 . 2001-08-17 21:28 762,780 --a--c--- c:\windows\system32\dllcache\3cwmcru.sys
    2008-12-03 13:03 . 2008-12-03 13:03 <REP> d-------- c:\program files\Sunbelt Software
    2008-12-03 11:42 . 2008-12-03 11:42 <REP> d-------- c:\windows\system32\Kaspersky Lab
    2008-11-30 18:02 . 2008-11-30 18:02 <REP> d-------- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
    2008-11-30 18:01 . 2008-12-03 15:13 <REP> d-------- c:\program files\SUPERAntiSpyware
    2008-11-30 18:01 . 2008-12-03 15:13 <REP> d-------- c:\documents and settings\Zorro3\Application Data\SUPERAntiSpyware.com
    2008-11-27 11:24 . 2002-01-23 11:19 107,430 --------- c:\windows\system32\drivers\pwd_2k.sys

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-12-05 13:56 --------- d-----w c:\documents and settings\All Users\Application Data\AntiVir PersonalEdition classic
    2008-12-05 11:52 105,984 ----a-w c:\windows\system32\imgzoaa.dll
    2008-12-02 17:09 --------- d-----w c:\program files\DivX
    2008-12-02 17:08 --------- d--h--w c:\program files\InstallShield Installation Information
    2008-11-27 10:24 --------- d-----w c:\program files\Fichiers communs\Adaptec Shared
    2008-11-01 13:25 --------- d-----w c:\program files\CCleaner
    2008-10-28 19:50 --------- d-----w c:\documents and settings\All Users\Application Data\pdf995
    2006-10-30 10:45 131 ----a-w c:\program files\default.lfq
    2006-10-30 10:34 634 ---h--w c:\program files\uninstall.uif
    2005-09-25 13:49 21 ----a-w c:\program files\AVPersonalAVWIN.INI
    1999-04-16 19:40 828,416 ----a-w c:\program files\Leechftp.exe
    1999-04-16 17:37 3,188 ----a-w c:\program files\readme.txt
    1999-01-08 16:10 87,312 ----a-w c:\program files\d3dpmesh.dll
    1999-01-08 16:10 576 ----a-w c:\program files\gmreadme.txt
    1999-01-08 16:10 437,008 ----a-w c:\program files\d3drm.dll
    1999-01-08 16:10 3,440,660 ----a-w c:\program files\gm16.dls
    1999-01-08 16:10 107,792 ----a-w c:\program files\d3dxof.dll
    1998-08-01 19:17 94,157 ----a-w c:\program files\LEECHFTP.HLP
    1998-08-01 19:17 624 ----a-w c:\program files\leechftp.cnt
    1997-07-14 15:00 41,472 ----a-w c:\program files\dpserial.dll
    1997-07-14 15:00 39,936 ----a-w c:\program files\dplay.dll
    1997-07-14 15:00 24,064 ----a-w c:\program files\dpwsock.dll
    1997-07-14 15:00 14,344 ----a-w c:\program files\dplay.inf
    1997-07-14 15:00 1,549 ----a-w c:\program files\dplaydx2.inf
    2005-05-13 15:12 217,073 --sha-r c:\windows\meta4.exe
    2005-10-24 09:13 66,560 --sha-r c:\windows\MOTA113.exe
    2001-08-28 12:00 94,864 --sh--w c:\windows\twain.dll
    2001-08-28 12:00 46,592 --sh--w c:\windows\twain_32.dll
    2005-10-13 19:27 422,400 --sha-r c:\windows\x2.64.exe
    2005-10-07 17:14 308,224 --sha-r c:\windows\system32\avisynth.dll
    2005-07-14 10:31 27,648 --sha-r c:\windows\system32\AVSredirect.dll
    2005-06-26 13:32 616,448 --sha-r c:\windows\system32\cygwin1.dll
    2005-06-21 20:37 45,568 --sha-r c:\windows\system32\cygz.dll
    2004-01-24 22:00 70,656 --sha-r c:\windows\system32\i420vfw.dll
    2001-08-28 12:00 995,383 --sh--w c:\windows\system32\mfc42.dll
    2001-08-28 12:00 50,688 --sh--w c:\windows\system32\msvcirt.dll
    2001-08-28 12:00 401,462 --sh--w c:\windows\system32\msvcp60.dll
    2001-08-28 12:00 322,560 --sh--w c:\windows\system32\msvcrt.dll
    2001-08-28 12:00 569,344 --sh--w c:\windows\system32\oleaut32.dll
    2001-08-28 12:00 106,496 --sh--w c:\windows\system32\olepro32.dll
    2001-08-28 12:00 10,240 --sh--w c:\windows\system32\regsvr32.exe
    2006-04-27 08:24 2,945,024 --sha-r c:\windows\system32\Smab.dll
    2005-02-28 11:16 240,128 --sha-r c:\windows\system32\x.264.exe
    .

    ((((((((((((((((((((((((((((( snapshot@2008-12-05_12.56.11.62 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2008-12-05 11:08:10 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
    + 2008-12-05 12:13:10 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
    - 2008-12-05 11:08:10 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
    + 2008-12-05 12:13:10 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
    - 2008-12-05 11:08:10 327,680 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    + 2008-12-05 12:13:10 327,680 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{031771DA-2F35-420B-94DE-0929BE900FD8}]
    2008-12-05 12:52 105984 --a------ c:\windows\system32\qjwjxcr.dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2004-07-11 151597]
    "NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2004-10-29 86016]
    "NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2004-10-29 4620288]
    "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496]
    "avgnt"="c:\program files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
    "nwiz"="nwiz.exe" [2004-10-29 c:\windows\system32\nwiz.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-08-28 13312]

    c:\documents and settings\Zorro3\Menu D‚marrer\Programmes\D‚marrage\
    D‚marrage d'Office.lnk - c:\program files\Microsoft Office\Office\OSA.EXE [1997-01-14 51984]
    Microsoft Recherche acc‚l‚r‚e.lnk - c:\program files\Microsoft Office\Office\FINDFAST.EXE [1997-01-14 111376]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    HPAiODevice(hp psc 700 series) - 1.lnk - c:\program files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe [2002-04-24 487484]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "msacm.l3acm"= l3codecp.acm
    "vidc.DIV3"= DivXc32.dll
    "vidc.DIV4"= DivXc32f.dll
    "msacm.divxa32"= DivXa32.acm

    R0 avgntmgr;avgntmgr;c:\windows\System32\drivers\avgntmgr.sys [2006-02-13 22336]
    R0 konkurqo;konkurqo;c:\windows\System32\drivers\konkurqo.sys [2001-08-28 23424]
    R1 avgntdd;avgntdd;c:\windows\System32\DRIVERS\avgntdd.sys [2006-02-13 45376]
    R1 fwdrv;Firewall Driver;c:\windows\System32\drivers\fwdrv.sys [2007-04-26 302000]
    R1 khips;Kerio HIPS Driver;c:\windows\System32\drivers\khips.sys [2007-04-26 72624]
    S0 NVDual;NVDual;c:\windows\System32\DRIVERS\nvDual.sys []
    S2 SPF4;Sunbelt Personal Firewall 4;"c:\program files\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 1234480]
    S3 WFsys;WinFox Control I/O Driver;c:\windows\System32\DRIVERS\wfsys.sys [2004-05-15 13692]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    uDefault_Search_URL = hxxp://www.google.com/ie
    uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
    IE: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
    IE: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm -

    c:\windows\Downloaded Program Files\Account.dll - O16 -: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4}
    hxxp://www.tele2mail.com/static/apps/utils/AccountHelper.cab
    c:\windows\Downloaded Program Files\Account.inf
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-12-05 15:11:27
    Windows 5.1.2600 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Iomega Activity Disk2]
    "ImagePath"="\"\""
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(544)
    c:\windows\system32\ODBC32.dll
    c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
    c:\windows\system32\DivXa32.acm
    c:\windows\system32\vorbis.acm

    - - - - - - - > 'lsass.exe'(600)
    c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
    c:\windows\System32\dssenh.dll
    .
    Heure de fin: 2008-12-05 15:14:18
    ComboFix-quarantined-files.txt 2008-12-05 14:14:11
    ComboFix2.txt 2008-12-05 13:47:45
    ComboFix3.txt 2008-12-05 11:59:18

    Avant-CF: 26 177 400 832 octets libres
    Après-CF: 26,166,734,848 octets libres

    160

    Mon dernier rapport HijackThis :

    Logfile of HijackThis v1.99.1
    Scan saved at 16:56:44, on 05/12/2008
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
    C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
    C:\Program Files\Microsoft Office\Office\OSA.EXE
    C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
    C:\WINDOWS\System32\hpoipm07.exe
    C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Documents and Settings\Zorro3\Bureau\Kit de dépannage\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {031771DA-2F35-420B-94DE-0929BE900FD8} - c:\windows\system32\qjwjxcr.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
    O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
    O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O12 - Plugin for .m4v: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin6.dll
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://www.tele2mail.com/static/apps/utils/AccountHelper.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
    O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

    J'avoue ne rien comprendre à toutes ces lignes mais si ça peut aider à soigner le PC...
    0
  4. Zorro3
     
    Pour infos voici le log ComboFix :

    ComboFix 08-12-04.04 - Zorro3 2008-12-05 15:06:36.3 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.0.2534.1.7986.45.89 [GMT 1:00]
    Lancé depuis: c:\documents and settings\Zorro3\Bureau\Kit de dépannage\ComboFix.exe

    [COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
    .

    ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-05 au 2008-12-05 ))))))))))))))))))))))))))))))))))))
    .

    2008-12-05 12:43 . 2008-12-05 14:35 726 --a------ c:\windows\system32\drivers\fwdrv.err
    2008-12-05 12:25 . 2008-12-05 12:25 <REP> d-------- C:\VundoFix Backups
    2008-12-05 11:39 . 2008-12-05 11:39 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
    2008-12-05 11:39 . 2008-12-05 11:39 <REP> d-------- c:\documents and settings\Zorro3\Application Data\Malwarebytes
    2008-12-05 11:39 . 2008-12-05 11:39 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
    2008-12-05 11:39 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
    2008-12-05 11:39 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
    2008-12-04 15:49 . 2008-12-04 15:55 <REP> d-------- C:\Exchange
    2008-12-04 15:47 . 2008-12-04 15:47 <REP> d-------- c:\windows\MSREMOTE.SFS
    2008-12-03 14:29 . 2001-08-23 17:18 899,914 --a--c--- c:\windows\system32\dllcache\r2mdkxga.sys
    2008-12-03 14:28 . 2001-08-23 17:46 1,738,496 --a--c--- c:\windows\system32\dllcache\nv4.dll
    2008-12-03 14:27 . 2001-08-17 21:28 802,683 --a--c--- c:\windows\system32\dllcache\ltsm.sys
    2008-12-03 14:26 . 2001-08-23 17:46 1,733,120 --a--c--- c:\windows\system32\dllcache\g400d.dll
    2008-12-03 14:25 . 2001-08-23 17:04 980,034 --a--c--- c:\windows\system32\dllcache\cicap.sys
    2008-12-03 14:24 . 2001-08-17 21:28 762,780 --a--c--- c:\windows\system32\dllcache\3cwmcru.sys
    2008-12-03 13:03 . 2008-12-03 13:03 <REP> d-------- c:\program files\Sunbelt Software
    2008-12-03 11:42 . 2008-12-03 11:42 <REP> d-------- c:\windows\system32\Kaspersky Lab
    2008-11-30 18:02 . 2008-11-30 18:02 <REP> d-------- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
    2008-11-30 18:01 . 2008-12-03 15:13 <REP> d-------- c:\program files\SUPERAntiSpyware
    2008-11-30 18:01 . 2008-12-03 15:13 <REP> d-------- c:\documents and settings\Zorro3\Application Data\SUPERAntiSpyware.com
    2008-11-27 11:24 . 2002-01-23 11:19 107,430 --------- c:\windows\system32\drivers\pwd_2k.sys

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-12-05 13:56 --------- d-----w c:\documents and settings\All Users\Application Data\AntiVir PersonalEdition classic
    2008-12-05 11:52 105,984 ----a-w c:\windows\system32\imgzoaa.dll
    2008-12-02 17:09 --------- d-----w c:\program files\DivX
    2008-12-02 17:08 --------- d--h--w c:\program files\InstallShield Installation Information
    2008-11-27 10:24 --------- d-----w c:\program files\Fichiers communs\Adaptec Shared
    2008-11-01 13:25 --------- d-----w c:\program files\CCleaner
    2008-10-28 19:50 --------- d-----w c:\documents and settings\All Users\Application Data\pdf995
    2006-10-30 10:45 131 ----a-w c:\program files\default.lfq
    2006-10-30 10:34 634 ---h--w c:\program files\uninstall.uif
    2005-09-25 13:49 21 ----a-w c:\program files\AVPersonalAVWIN.INI
    1999-04-16 19:40 828,416 ----a-w c:\program files\Leechftp.exe
    1999-04-16 17:37 3,188 ----a-w c:\program files\readme.txt
    1999-01-08 16:10 87,312 ----a-w c:\program files\d3dpmesh.dll
    1999-01-08 16:10 576 ----a-w c:\program files\gmreadme.txt
    1999-01-08 16:10 437,008 ----a-w c:\program files\d3drm.dll
    1999-01-08 16:10 3,440,660 ----a-w c:\program files\gm16.dls
    1999-01-08 16:10 107,792 ----a-w c:\program files\d3dxof.dll
    1998-08-01 19:17 94,157 ----a-w c:\program files\LEECHFTP.HLP
    1998-08-01 19:17 624 ----a-w c:\program files\leechftp.cnt
    1997-07-14 15:00 41,472 ----a-w c:\program files\dpserial.dll
    1997-07-14 15:00 39,936 ----a-w c:\program files\dplay.dll
    1997-07-14 15:00 24,064 ----a-w c:\program files\dpwsock.dll
    1997-07-14 15:00 14,344 ----a-w c:\program files\dplay.inf
    1997-07-14 15:00 1,549 ----a-w c:\program files\dplaydx2.inf
    2005-05-13 15:12 217,073 --sha-r c:\windows\meta4.exe
    2005-10-24 09:13 66,560 --sha-r c:\windows\MOTA113.exe
    2001-08-28 12:00 94,864 --sh--w c:\windows\twain.dll
    2001-08-28 12:00 46,592 --sh--w c:\windows\twain_32.dll
    2005-10-13 19:27 422,400 --sha-r c:\windows\x2.64.exe
    2005-10-07 17:14 308,224 --sha-r c:\windows\system32\avisynth.dll
    2005-07-14 10:31 27,648 --sha-r c:\windows\system32\AVSredirect.dll
    2005-06-26 13:32 616,448 --sha-r c:\windows\system32\cygwin1.dll
    2005-06-21 20:37 45,568 --sha-r c:\windows\system32\cygz.dll
    2004-01-24 22:00 70,656 --sha-r c:\windows\system32\i420vfw.dll
    2001-08-28 12:00 995,383 --sh--w c:\windows\system32\mfc42.dll
    2001-08-28 12:00 50,688 --sh--w c:\windows\system32\msvcirt.dll
    2001-08-28 12:00 401,462 --sh--w c:\windows\system32\msvcp60.dll
    2001-08-28 12:00 322,560 --sh--w c:\windows\system32\msvcrt.dll
    2001-08-28 12:00 569,344 --sh--w c:\windows\system32\oleaut32.dll
    2001-08-28 12:00 106,496 --sh--w c:\windows\system32\olepro32.dll
    2001-08-28 12:00 10,240 --sh--w c:\windows\system32\regsvr32.exe
    2006-04-27 08:24 2,945,024 --sha-r c:\windows\system32\Smab.dll
    2005-02-28 11:16 240,128 --sha-r c:\windows\system32\x.264.exe
    .

    ((((((((((((((((((((((((((((( snapshot@2008-12-05_12.56.11.62 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2008-12-05 11:08:10 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
    + 2008-12-05 12:13:10 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
    - 2008-12-05 11:08:10 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
    + 2008-12-05 12:13:10 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
    - 2008-12-05 11:08:10 327,680 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    + 2008-12-05 12:13:10 327,680 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{031771DA-2F35-420B-94DE-0929BE900FD8}]
    2008-12-05 12:52 105984 --a------ c:\windows\system32\qjwjxcr.dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2004-07-11 151597]
    "NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2004-10-29 86016]
    "NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2004-10-29 4620288]
    "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496]
    "avgnt"="c:\program files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
    "nwiz"="nwiz.exe" [2004-10-29 c:\windows\system32\nwiz.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-08-28 13312]

    c:\documents and settings\Zorro3\Menu D‚marrer\Programmes\D‚marrage\
    D‚marrage d'Office.lnk - c:\program files\Microsoft Office\Office\OSA.EXE [1997-01-14 51984]
    Microsoft Recherche acc‚l‚r‚e.lnk - c:\program files\Microsoft Office\Office\FINDFAST.EXE [1997-01-14 111376]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    HPAiODevice(hp psc 700 series) - 1.lnk - c:\program files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe [2002-04-24 487484]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "msacm.l3acm"= l3codecp.acm
    "vidc.DIV3"= DivXc32.dll
    "vidc.DIV4"= DivXc32f.dll
    "msacm.divxa32"= DivXa32.acm

    R0 avgntmgr;avgntmgr;c:\windows\System32\drivers\avgntmgr.sys [2006-02-13 22336]
    R0 konkurqo;konkurqo;c:\windows\System32\drivers\konkurqo.sys [2001-08-28 23424]
    R1 avgntdd;avgntdd;c:\windows\System32\DRIVERS\avgntdd.sys [2006-02-13 45376]
    R1 fwdrv;Firewall Driver;c:\windows\System32\drivers\fwdrv.sys [2007-04-26 302000]
    R1 khips;Kerio HIPS Driver;c:\windows\System32\drivers\khips.sys [2007-04-26 72624]
    S0 NVDual;NVDual;c:\windows\System32\DRIVERS\nvDual.sys []
    S2 SPF4;Sunbelt Personal Firewall 4;"c:\program files\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 1234480]
    S3 WFsys;WinFox Control I/O Driver;c:\windows\System32\DRIVERS\wfsys.sys [2004-05-15 13692]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    uDefault_Search_URL = hxxp://www.google.com/ie
    uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
    IE: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
    IE: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm -

    c:\windows\Downloaded Program Files\Account.dll - O16 -: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4}
    hxxp://www.tele2mail.com/static/apps/utils/AccountHelper.cab
    c:\windows\Downloaded Program Files\Account.inf
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-12-05 15:11:27
    Windows 5.1.2600 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Iomega Activity Disk2]
    "ImagePath"="\"\""
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(544)
    c:\windows\system32\ODBC32.dll
    c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
    c:\windows\system32\DivXa32.acm
    c:\windows\system32\vorbis.acm

    - - - - - - - > 'lsass.exe'(600)
    c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
    c:\windows\System32\dssenh.dll
    .
    Heure de fin: 2008-12-05 15:14:18
    ComboFix-quarantined-files.txt 2008-12-05 14:14:11
    ComboFix2.txt 2008-12-05 13:47:45
    ComboFix3.txt 2008-12-05 11:59:18

    Avant-CF: 26 177 400 832 octets libres
    Après-CF: 26,166,734,848 octets libres

    160

    Et le dernier rapport HijackThis :

    Logfile of HijackThis v1.99.1
    Scan saved at 18:58:40, on 05/12/2008
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
    C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
    C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
    C:\Program Files\Microsoft Office\Office\OSA.EXE
    C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
    C:\WINDOWS\System32\hpoipm07.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe
    C:\Documents and Settings\Zorro3\Bureau\Kit de dépannage\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {031771DA-2F35-420B-94DE-0929BE900FD8} - c:\windows\system32\qjwjxcr.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
    O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
    O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
    O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O12 - Plugin for .m4v: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin6.dll
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://www.tele2mail.com/static/apps/utils/AccountHelper.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
    O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
    O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

    Merci beaucoup pour vos conseils...
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Mmsl35_ Messages postés 1865 Statut Membre 243
     
    O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe ????

    Infection Vundo / Virtumonde

    1) Affiche les fichiers et dossiers cachés …
    Pour ce faire, tu vas dans un dossier, par ex. "Mes Images".
    Ensuite, clique sur > Outils > Options des dossiers ...
    clique sur l' onglet « Affichage » et ...
    coche ---> Afficher les fichiers et dossiers cachés
    décoche > Masquer les extensions des fichiers dont le type est connu
    décoche > Masquer les fichiers protégés du système d' exploitation (recommandé).
    « Appliquer » et « OK ».

    2) Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

    http://www.atribune.org/ccount/click.php?id=4

    · Double-clique VundoFix.exe afin de le lancer
    · Clique sur le bouton Scan for Vundo
    · Lorsque le scan est complété, clique sur le bouton Remove Vundo
    · Une invite te demandera si tu veux supprimer les fichiers, clique YES
    · Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
    · Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
    · Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-dessus, à partir de "clique sur le bouton Scan for Vundo".
    0
  7. gen-hackman
     
    bonsoir...hijackthis n est pas intallé ni a jour
    0
  8. Zorro3
     
    Salut,

    merci pour vos réponses.

    Alors, j'ai passé VundoFix comme Mmsl35 m'a conseillé mais il n'arrive pas à voir le Trojan.BHO.H. VundoFix ne me propose pas non plus de rebooter pour le supprimer puisqu'il considère que mon PC est clean. Concernant, la ligne 04 - HKCU\..\Run: [SUPERAntiSpyware] ...etc j'avais installé SUPERAntiSpyware qui n'a rien trouvé à part quelques vilaines cookies (je l'ai désintallé depuis). Par contre MBMA et AntirVir me detectent tjs le trojan dans les fichiers qjwjxcr.dll et imgzoaa.dll sous system32 et AntiVir m'envoye plein de messages d'alerte.

    Dès que le pb sera réglè je passe à Firefox c'est clair, j'aurais sans doute moins d'ennuis.

    Le rapport Vundo :

    VundoFix V7.0.6

    Scan started at 12:12:19 06/12/2008

    Listing files found while scanning....

    No infected files were found.

    et le nouveau rapport HijackThis :

    Logfile of HijackThis v1.99.1
    Scan saved at 13:00:22, on 06/12/2008
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
    C:\Program Files\Microsoft Office\Office\OSA.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Documents and Settings\Zorro3\Bureau\Kit de dépannage\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {031771DA-2F35-420B-94DE-0929BE900FD8} - c:\windows\system32\qjwjxcr.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
    O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
    O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O12 - Plugin for .m4v: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin6.dll
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://www.tele2mail.com/static/apps/utils/AccountHelper.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
    O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

    J'ai vu sur CCM que des internautes avaient résolu leur pb avec un fichier CFScript.txt et ComboFix.
    J'ai déjà passé Combofix seul (cf. post précedént) mais peut-être que je pourrais tenter avec ce fichier txt, quelqu'un connait la manip ?
    0
  9. Zorro3
     
    Voici le scan HijackThis version 2.0.2 :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 14:12:41, on 06/12/2008
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
    C:\Program Files\Microsoft Office\Office\OSA.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe
    C:\Documents and Settings\Zorro3\Bureau\HiJackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {031771DA-2F35-420B-94DE-0929BE900FD8} - c:\windows\system32\qjwjxcr.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
    O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
    O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O12 - Plugin for .m4v: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin6.dll
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://www.tele2mail.com/static/apps/utils/AccountHelper.cab
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
    O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

    --
    0
  10. gen-hackman
     
    c ezst toujours pas bon il est pas installé
    0
    1. Zorro3
       
      Salut gen-hackman,

      je dois vraiment avoir du mal mais mon prog HijackThis 2.0.2 est présent dans la liste Programmes actuellement installés sous Panneau de config et "Ajouter ou supprimer des programmes". Je l'ai mis sur le bureau puis exécuté.

      Veux-tu dire qu'il n'est pas installé dans le bon dossier ? Peux-tu être plus précis stp ?
      0
  11. gen-hackman
     
    C:\Documents and Settings\Zorro3\Bureau\HiJackThis.exe

    supprime tout les hijackthis de ton pc et reprocede
    0
    1. Zorro3
       
      ça y est... voici le rapport HijackThis que j'obtiens :

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 14:12:41, on 06/12/2008
      Platform: Windows XP (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 (6.00.2600.0000)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
      C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
      C:\WINDOWS\System32\nvsvc32.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
      C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
      C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
      C:\Program Files\Microsoft Office\Office\OSA.EXE
      C:\WINDOWS\System32\svchost.exe
      C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
      C:\WINDOWS\system32\NOTEPAD.EXE
      C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe
      C:\Documents and Settings\Zorro3\Bureau\HiJackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: (no name) - {031771DA-2F35-420B-94DE-0929BE900FD8} - c:\windows\system32\qjwjxcr.dll
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
      O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
      O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
      O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
      O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
      O12 - Plugin for .m4v: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin6.dll
      O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
      O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
      O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://www.tele2mail.com/static/apps/utils/AccountHelper.cab
      O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
      O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
      O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
      O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
      O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe


      Je n'ai plus la ligne 020 - Winlogon Notify que j'avais au début.
      0
  12. gen-hackman
     
    ---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau :
    http://oldtimer.geekstogo.com/OTMoveIt3.exe

    ---> Double-clique sur OTMoveIt3.exe afin de le lancer.

    ---> Copie (Ctrl+C) le texte suivant ci-dessous :


    :processes
    explorer.exe

    :files
    c:\windows\system32\qjwjxcr.dll

    :Commands
    [purity]
    [emptytemp]
    [Reboot]

    ---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

    ---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

    Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
    Accepte en cliquant sur YES.

    ---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
    Le nom du rapport correspond au moment de sa création : date_heure.log

    source Chiquitine29.....................;-)
    0
  13. Zorro3
     
    Salut, voici le rapport OTMoveIt3 :

    ========== PROCESSES ==========
    Process explorer.exe killed successfully.
    ========== FILES ==========
    LoadLibrary failed for c:\windows\system32\qjwjxcr.dll
    c:\windows\system32\qjwjxcr.dll NOT unregistered.
    File move failed. c:\windows\system32\qjwjxcr.dll scheduled to be moved on reboot.
    ========== COMMANDS ==========
    User's Temp folder emptied.
    User's Temporary Internet Files folder emptied.
    User's Internet Explorer cache folder emptied.
    Local Service Temp folder emptied.
    File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
    Local Service Temporary Internet Files folder emptied.
    Windows Temp folder emptied.
    Java cache emptied.
    Temp folders emptied.

    OTMoveIt3 by OldTimer - Version 1.0.7.1 log created on 12062008_172707

    Files moved on Reboot...
    LoadLibrary failed for c:\windows\system32\qjwjxcr.dll
    c:\windows\system32\qjwjxcr.dll NOT unregistered.
    File move failed. c:\windows\system32\qjwjxcr.dll scheduled to be moved on reboot.
    File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.

    J'ai désactivé AntiVir le temps du scan mais apres le reboot, lorsque le PC redémarre j'ai le message suivant qui s'affiche :

    "OTMoveIt3 : OTMoveIt3.EXE - Image incorrecte

    L'application ou la DLL c:\windows\system32\imgzoaa.dll n'est pas une image Windows valide. Vérifiez à l'aide de votre disquette d'installation."

    AntiVir continue à m'alerter sans arrets, que puis-je faire d'autre ?
    0
  14. gen-hackman
     
    Télécharge ABCD.exe ( = ComboFix renommé ) (par sUBs) sur ton Bureau (et pas ailleurs !):

    https://www.sendspace.com/file/695c5z

    --------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
    !! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
    en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
    --->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
    Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    Note : pour XP, bien installer la Console de Récupération de Windows comme il est indiqué dans le tuto ci-dessus ...
    ---------------------------------------------------------------------------------------------------------------------------------

    Ensuite :
    double-clique sur l'icône "ABCD.exe" pour lancer l'outil .

    Appuie sur la touche Y (Yes) pour démarrer le scan .

    Notes importantes :
    -> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
    -> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
    -> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
    -> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

    Le rapport sera crée ici : C:\Combofix.txt

    Réactive bien tes défenses .

    Poste le rapport Combofix accompagné d'un nouveau rapport hijackthis pour analyse ...

    source = ske69.............;-)
    0
  15. Zorro3
     
    Voici mon rapport Combofix,

    ComboFix 08-11-26.05 - Zorro3 2008-12-06 18:51:09.4 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.0.1252.1.1036.18.79 [GMT 1:00]
    Lancé depuis: c:\documents and settings\Zorro3\Bureau\abcde.exe
    .
    - Mode FONCTIONNALITES REDUITES -
    .

    ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-06 au 2008-12-06 ))))))))))))))))))))))))))))))))))))
    .

    2008-12-06 17:07 . 2008-12-06 17:07 <REP> d-------- C:\_OTMoveIt
    2008-12-06 16:12 . 2008-12-06 16:12 <REP> d-------- c:\program files\Trend Micro
    2008-12-05 14:57 . 2008-12-06 18:49 <REP> d-------- C:\ComboFix
    2008-12-05 12:43 . 2008-12-06 11:24 792 --a------ c:\windows\system32\drivers\fwdrv.err
    2008-12-05 12:25 . 2008-12-05 12:25 <REP> d-------- C:\VundoFix Backups
    2008-12-05 11:39 . 2008-12-05 11:39 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
    2008-12-05 11:39 . 2008-12-05 11:39 <REP> d-------- c:\documents and settings\Zorro3\Application Data\Malwarebytes
    2008-12-05 11:39 . 2008-12-05 11:39 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
    2008-12-05 11:39 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
    2008-12-05 11:39 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
    2008-12-04 15:49 . 2008-12-04 15:55 <REP> d-------- C:\Exchange
    2008-12-04 15:47 . 2008-12-04 15:47 <REP> d-------- c:\windows\MSREMOTE.SFS
    2008-12-03 14:29 . 2001-08-23 17:18 899,914 --a--c--- c:\windows\system32\dllcache\r2mdkxga.sys
    2008-12-03 14:28 . 2001-08-23 17:46 1,738,496 --a--c--- c:\windows\system32\dllcache\nv4.dll
    2008-12-03 14:27 . 2001-08-17 21:28 802,683 --a--c--- c:\windows\system32\dllcache\ltsm.sys
    2008-12-03 14:26 . 2001-08-23 17:46 1,733,120 --a--c--- c:\windows\system32\dllcache\g400d.dll
    2008-12-03 14:25 . 2001-08-23 17:04 980,034 --a--c--- c:\windows\system32\dllcache\cicap.sys
    2008-12-03 14:24 . 2001-08-17 21:28 762,780 --a--c--- c:\windows\system32\dllcache\3cwmcru.sys
    2008-12-03 13:03 . 2008-12-03 13:03 <REP> d-------- c:\program files\Sunbelt Software
    2008-12-03 11:42 . 2008-12-03 11:42 <REP> d-------- c:\windows\system32\Kaspersky Lab
    2008-11-30 18:02 . 2008-11-30 18:02 <REP> d-------- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
    2008-11-30 18:01 . 2008-12-06 12:47 <REP> d-------- c:\program files\SUPERAntiSpyware
    2008-11-30 18:01 . 2008-12-06 12:47 <REP> d-------- c:\documents and settings\Zorro3\Application Data\SUPERAntiSpyware.com
    2008-11-27 11:24 . 2002-01-23 11:19 107,430 --------- c:\windows\system32\drivers\pwd_2k.sys

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-12-05 18:06 --------- d-----w c:\documents and settings\All Users\Application Data\AntiVir PersonalEdition classic
    2008-12-05 11:52 105,984 ----a-w c:\windows\system32\imgzoaa.dll
    2008-12-02 17:09 --------- d-----w c:\program files\DivX
    2008-12-02 17:08 --------- d--h--w c:\program files\InstallShield Installation Information
    2008-11-27 10:24 --------- d-----w c:\program files\Fichiers communs\Adaptec Shared
    2008-11-01 13:25 --------- d-----w c:\program files\CCleaner
    2008-10-28 19:50 --------- d-----w c:\documents and settings\All Users\Application Data\pdf995
    2006-10-30 10:45 131 ----a-w c:\program files\default.lfq
    2006-10-30 10:34 634 ---h--w c:\program files\uninstall.uif
    2005-09-25 13:49 21 ----a-w c:\program files\AVPersonalAVWIN.INI
    1999-04-16 19:40 828,416 ----a-w c:\program files\Leechftp.exe
    1999-04-16 17:37 3,188 ----a-w c:\program files\readme.txt
    1999-01-08 16:10 87,312 ----a-w c:\program files\d3dpmesh.dll
    1999-01-08 16:10 576 ----a-w c:\program files\gmreadme.txt
    1999-01-08 16:10 437,008 ----a-w c:\program files\d3drm.dll
    1999-01-08 16:10 3,440,660 ----a-w c:\program files\gm16.dls
    1999-01-08 16:10 107,792 ----a-w c:\program files\d3dxof.dll
    1998-08-01 19:17 94,157 ----a-w c:\program files\LEECHFTP.HLP
    1998-08-01 19:17 624 ----a-w c:\program files\leechftp.cnt
    1997-07-14 15:00 41,472 ----a-w c:\program files\dpserial.dll
    1997-07-14 15:00 39,936 ----a-w c:\program files\dplay.dll
    1997-07-14 15:00 24,064 ----a-w c:\program files\dpwsock.dll
    1997-07-14 15:00 14,344 ----a-w c:\program files\dplay.inf
    1997-07-14 15:00 1,549 ----a-w c:\program files\dplaydx2.inf
    2005-05-13 15:12 217,073 --sha-r c:\windows\meta4.exe
    2005-10-24 09:13 66,560 --sha-r c:\windows\MOTA113.exe
    2001-08-28 12:00 94,864 --sh--w c:\windows\twain.dll
    2001-08-28 12:00 46,592 --sh--w c:\windows\twain_32.dll
    2005-10-13 19:27 422,400 --sha-r c:\windows\x2.64.exe
    2005-10-07 17:14 308,224 --sha-r c:\windows\system32\avisynth.dll
    2005-07-14 10:31 27,648 --sha-r c:\windows\system32\AVSredirect.dll
    2005-06-26 13:32 616,448 --sha-r c:\windows\system32\cygwin1.dll
    2005-06-21 20:37 45,568 --sha-r c:\windows\system32\cygz.dll
    2004-01-24 22:00 70,656 --sha-r c:\windows\system32\i420vfw.dll
    2001-08-28 12:00 995,383 --sh--w c:\windows\system32\mfc42.dll
    2001-08-28 12:00 50,688 --sh--w c:\windows\system32\msvcirt.dll
    2001-08-28 12:00 401,462 --sh--w c:\windows\system32\msvcp60.dll
    2001-08-28 12:00 322,560 --sh--w c:\windows\system32\msvcrt.dll
    2001-08-28 12:00 569,344 --sh--w c:\windows\system32\oleaut32.dll
    2001-08-28 12:00 106,496 --sh--w c:\windows\system32\olepro32.dll
    2001-08-28 12:00 10,240 --sh--w c:\windows\system32\regsvr32.exe
    2006-04-27 08:24 2,945,024 --sha-r c:\windows\system32\Smab.dll
    2005-02-28 11:16 240,128 --sha-r c:\windows\system32\x.264.exe
    .

    ((((((((((((((((((((((((((((( snapshot@2008-12-05_12.56.11.62 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2001-07-14 16:32:24 69,632 ----a-w c:\windows\setupupd\temp\wsdueng.dll
    + 2001-09-28 15:37:00 19,200 ----a-w c:\windows\setupupd\updates\i386\usbuhci.sys
    + 2002-01-23 00:54:26 457,728 ----a-w c:\windows\setupupd\winnt32\w95upgnt.dll
    + 2002-07-08 18:21:54 847,872 ----a-w c:\windows\setupupd\winnt32\win9xupg\w95upg.dll
    + 2002-01-30 22:31:48 1,155,072 ----a-w c:\windows\setupupd\winnt32\winnt32a.dll
    + 2002-01-30 22:31:50 1,267,200 ----a-w c:\windows\setupupd\winnt32\winnt32u.dll
    - 2008-12-05 11:08:10 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
    + 2008-12-06 16:28:30 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
    - 2008-12-05 11:08:10 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
    + 2008-12-06 16:28:30 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
    - 2008-12-04 07:29:04 138,848 ----a-w c:\windows\system32\FNTCACHE.DAT
    + 2008-12-06 17:46:55 138,848 ----a-w c:\windows\system32\FNTCACHE.DAT
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{031771DA-2F35-420B-94DE-0929BE900FD8}]
    2008-12-05 12:52 105984 --a------ c:\windows\system32\qjwjxcr.dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2004-07-11 151597]
    "NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2004-10-29 86016]
    "NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2004-10-29 4620288]
    "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496]
    "avgnt"="c:\program files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
    "nwiz"="nwiz.exe" [2004-10-29 c:\windows\system32\nwiz.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-08-28 13312]

    c:\documents and settings\Zorro3\Menu D‚marrer\Programmes\D‚marrage\
    D‚marrage d'Office.lnk - c:\program files\Microsoft Office\Office\OSA.EXE [1997-01-14 51984]
    Microsoft Recherche acc‚l‚r‚e.lnk - c:\program files\Microsoft Office\Office\FINDFAST.EXE [1997-01-14 111376]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    HPAiODevice(hp psc 700 series) - 1.lnk - c:\program files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe [2002-04-24 487484]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "msacm.l3acm"= l3codecp.acm
    "vidc.DIV3"= DivXc32.dll
    "vidc.DIV4"= DivXc32f.dll
    "msacm.divxa32"= DivXa32.acm

    R0 avgntmgr;avgntmgr;c:\windows\System32\drivers\avgntmgr.sys [2006-02-13 22336]
    R0 konkurqo;konkurqo;c:\windows\System32\drivers\konkurqo.sys [2001-08-28 23424]
    R1 avgntdd;avgntdd;c:\windows\System32\DRIVERS\avgntdd.sys [2006-02-13 45376]
    R1 fwdrv;Firewall Driver;c:\windows\System32\drivers\fwdrv.sys [2007-04-26 302000]
    R1 khips;Kerio HIPS Driver;c:\windows\System32\drivers\khips.sys [2007-04-26 72624]
    S0 NVDual;NVDual;c:\windows\System32\DRIVERS\nvDual.sys []
    S2 SPF4;Sunbelt Personal Firewall 4;"c:\program files\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 1234480]
    S3 WFsys;WinFox Control I/O Driver;c:\windows\System32\DRIVERS\wfsys.sys [2004-05-15 13692]
    S4 hpt3xx;hpt3xx; []
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    uDefault_Search_URL = hxxp://www.google.com/ie
    uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
    IE: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
    IE: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm -

    c:\windows\Downloaded Program Files\Account.dll - O16 -: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4}
    hxxp://www.tele2mail.com/static/apps/utils/AccountHelper.cab
    c:\windows\Downloaded Program Files\Account.inf
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-12-06 18:51:54
    Windows 5.1.2600 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Iomega Activity Disk2]
    "ImagePath"="\"\""
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(536)
    c:\windows\system32\ODBC32.dll
    c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll

    - - - - - - - > 'lsass.exe'(592)
    c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
    c:\windows\System32\dssenh.dll
    .
    Heure de fin: 2008-12-06 18:54:50
    ComboFix-quarantined-files.txt 2008-12-06 17:54:44
    ComboFix2.txt 2008-12-05 14:14:22
    ComboFix3.txt 2008-12-05 13:47:45
    ComboFix4.txt 2008-12-05 11:59:18

    Avant-CF: 26 044 788 736 octets libres
    Après-CF: 26,046,218,240 octets libres

    170

    Et le rapport HijackThis

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:03:46, on 06/12/2008
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\rnathchk.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
    C:\Program Files\Microsoft Office\Office\OSA.EXE
    C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
    C:\WINDOWS\System32\hpoipm07.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Documents and Settings\Zorro3\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {031771DA-2F35-420B-94DE-0929BE900FD8} - c:\windows\system32\qjwjxcr.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe -osboot
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
    O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
    O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O12 - Plugin for .m4v: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin6.dll
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://www.tele2mail.com/static/apps/utils/AccountHelper.cab
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
    O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
    0