TR/Pandex.L.2, TR/Crypt.XPACK.Gen, TR/Drop.Ag [Résolu]

Télécharge ceci :

Lien : http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

Démo : http://pageperso.aol.fr/balltrap34/demohijack.htm

Choisir l'option "do a scan and a logfile", et faire un copier/coller du rapport ainsi générer sur le forum.

++

Merci pour ta rapidité!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:08:35, on 09/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\xbxokqaj.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon .exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
F3 - REG:win.ini: load=C:\WINDOWS\system32\ddcyy.exe
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C68F9105-04FD-4B48-B6CC-2A076F711C35} (HpodPCFileCtrl2 Class) - file://D:\MEMDISC\ALBUM_A\VIEW\PLUGIN\HPODPCFC.CAB
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxmultijoueurs.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} - http://www.bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: DomainService - - C:\WINDOWS\system32\xbxokqaj.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

ok, fais un clic droit sur hijackthis.exe < renommer puis nomme le CCM.exe

et pour un nouveau hijack stp

++

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:16:22, on 09/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\xbxokqaj.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon .exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\ccm.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
F3 - REG:win.ini: load=C:\WINDOWS\system32\ddcyy.exe
O2 - BHO: {61e3a090-e0c0-190a-4734-2132e02c92a4} - {4a29c20e-2312-4374-a091-0c0e090a3e16} - C:\WINDOWS\system32\roirafsf.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6CF99CB0-B45D-442F-8008-DD90AD98A49F} - C:\WINDOWS\system32\ddcyy.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C68F9105-04FD-4B48-B6CC-2A076F711C35} (HpodPCFileCtrl2 Class) - file://D:\MEMDISC\ALBUM_A\VIEW\PLUGIN\HPODPCFC.CAB
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxmultijoueurs.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} - http://www.bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: DomainService - - C:\WINDOWS\system32\xbxokqaj.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

très bien,

Télécharger ComboFix (par sUBs) sur le Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

* Démarrer en mode sans echec
* Double cliquer combofix.exe.
* Appuyer sur la touche Y (Yes) pour démarrer le scan
* Le rapport sera crée dans: C:\Combofix.txt, poste le stp

++

je ne l'ai pas trouvé danc c:\ mais dans c:\combofix\combofix.txt

ComboFix 08-01-09.2 - Lud 2008-01-09 13:31:36.1 - NTFSx86 MINIMAL
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.555 [GMT 1:00]
Running from: C:\Documents and Settings\Lud\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data.\salesmonitor
C:\Documents and Settings\Lud\Application Data\DriveCleaner Free
C:\Documents and Settings\Lud\Application Data\DriveCleaner Free\Logs\update.log
C:\Documents and Settings\Lud\err.log
C:\Documents and Settings\Lud\ResErrors.log
C:\PROGRA~1\Wanadoo\GestMaj.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Wanadoo\GestMaj .exe
C:\Program Files\Wanadoo\Shell.exe
C:\Program Files\Wanadoo\Watch .exe
C:\Program Files\winantivirus pro 2007
C:\WINDOWS\system32\0_exception.nls
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ctfmon.exe.tmp
C:\WINDOWS\system32\ddcyy.dll
C:\WINDOWS\system32\ddcyy.exe
C:\WINDOWS\system32\jkkjk.dll
C:\WINDOWS\system32\rtstv.ini
C:\WINDOWS\system32\rtstv.ini2
C:\WINDOWS\system32\ssttu.dll
C:\WINDOWS\system32\vturo.dll
C:\WINDOWS\system32\xbxokqaj.exe
C:\WINDOWS\system32\yycdd.ini
C:\WINDOWS\system32\yycdd.ini2

[code] <pre>
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt .exe ---> avgnt.exe
C:\Program Files\Wanadoo\GestMaj .exe ---> QooBox
C:\Program Files\Wanadoo\Shell .exe ---> Shell.exe
C:\Program Files\Wanadoo\Watch .exe ---> QooBox
C:\WINDOWS\system32\ctfmon .exe ---> ctfmon.exe
</pre> [/code]
.
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE
-------\LEGACY_RUNTIME
-------\LEGACY_SMTPDRV
-------\DomainService
-------\nm
-------\runtime
-------\smtpdrv


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-09 to 2008-01-09 ))))))))))))))))))))))))))))))))))))
.

2008-01-09 13:29 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-09 13:08 . 2008-01-09 13:08 <REP> d-------- C:\Program Files\Trend Micro
2008-01-09 12:49 . 2008-01-09 12:49 <REP> d-------- C:\Program Files\Avira
2008-01-09 12:46 . 2008-01-09 13:24 24,832 --a------ C:\WINDOWS\system32\drivers\Swb71.sys
2008-01-09 12:17 . 2008-01-09 12:17 1,568,947 --a------ C:\upload_moi_LUDOVIC-KPOLFMO.tar.gz
2008-01-09 12:01 . 2008-01-09 12:11 <REP> d-------- C:\Program Files\Navilog1
2008-01-09 11:47 . 2008-01-09 11:47 <REP> d-------- C:\Program Files\Sophos
2008-01-09 10:37 . 2008-01-09 10:51 <REP> d-------- C:\WINDOWS\system32\ActiveScan
2008-01-09 10:37 . 2008-01-09 10:39 30,590 --a------ C:\WINDOWS\system32\pavas.ico
2008-01-09 10:37 . 2008-01-09 10:39 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-01-09 10:37 . 2008-01-09 10:39 1,406 --a------ C:\WINDOWS\system32\Help.ico
2008-01-09 08:56 . 2008-01-09 08:56 <REP> d-------- C:\Program Files\MSXML 6.0
2008-01-08 19:37 . 2008-01-08 19:37 <REP> d-------- C:\Program Files\Reference Assemblies
2008-01-08 19:36 . 2008-01-08 19:36 <REP> d-------- C:\c7e28b6c0af72f076f96a7c47928776b
2008-01-08 19:35 . 2006-06-29 13:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
2008-01-08 19:02 . 2008-01-08 19:02 <REP> d-------- C:\VundoFix Backups
2008-01-08 17:09 . 2008-01-08 17:09 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-01-06 13:32 . 2004-08-03 23:00 29,056 --a------ C:\WINDOWS\system32\drivers\ip6fw.sys
2008-01-06 13:32 . 2004-08-03 23:00 29,056 --a--c--- C:\WINDOWS\system32\dllcache\ip6fw.sys
2008-01-06 13:03 . 2008-01-06 13:03 <REP> d-------- C:\Program Files\SAGEM WiFi manager
2008-01-06 13:03 . 2008-01-06 13:03 <REP> d-------- C:\Program Files\SAGEM
2008-01-06 13:03 . 2006-01-18 14:09 31,744 --a------ C:\WINDOWS\system32\drivers\ZDPSp50a64.sys
2008-01-06 13:03 . 2006-01-18 14:09 29,184 --a------ C:\WINDOWS\system32\drivers\BRGSp50a64.sys
2008-01-06 13:03 . 2006-01-18 14:09 20,608 --a------ C:\WINDOWS\system32\drivers\BRGSp50.sys
2008-01-06 13:03 . 2006-01-18 14:09 17,664 --a------ C:\WINDOWS\system32\drivers\ZDPSp50.sys
2008-01-06 13:01 . 2005-12-22 14:45 493,440 --a------ C:\WINDOWS\system32\drivers\WlanBZ64.SYS
2008-01-06 13:01 . 2005-12-22 14:45 402,432 --a------ C:\WINDOWS\system32\drivers\WlanBZXP.sys
2008-01-06 12:59 . 2008-01-06 12:59 <REP> d-------- C:\Program Files\Securitoo
2008-01-05 13:16 . 2008-01-08 17:04 21,760 --a------ C:\WINDOWS\Nsv04.sys
2008-01-05 10:14 . 2008-01-08 18:51 2,034 ---hs---- C:\WINDOWS\system32\dqvwcmkf.ini
2008-01-05 10:03 . 2008-01-05 10:03 21,760 --a------ C:\WINDOWS\system32\drivers\Nsv04.sys
2007-12-30 08:15 . 2007-12-30 08:15 268 --ah----- C:\sqmdata07.sqm
2007-12-30 08:15 . 2007-12-30 08:15 244 --ah----- C:\sqmnoopt07.sqm
2007-12-15 23:15 . 2007-12-15 23:15 268 --ah----- C:\sqmdata06.sqm
2007-12-15 23:15 . 2007-12-15 23:15 244 --ah----- C:\sqmnoopt06.sqm
2007-12-15 20:42 . 2007-12-15 20:42 244 --ah----- C:\sqmnoopt04.sqm
2007-12-15 20:42 . 2007-12-15 20:42 232 --ah----- C:\sqmdata03.sqm
2007-12-15 20:42 . 2007-12-15 20:42 172 --ah----- C:\sqmnoopt05.sqm
2007-12-15 20:42 . 2007-12-15 20:42 172 --ah----- C:\sqmdata05.sqm
2007-12-15 20:42 . 2007-12-15 20:42 136 --ah----- C:\sqmdata04.sqm
2007-12-15 20:41 . 2007-12-15 20:41 244 --ah----- C:\sqmnoopt03.sqm

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-09 12:40 --------- d-----w C:\Program Files\Wanadoo
2008-01-06 12:03 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-04 08:20 --------- d-----w C:\Documents and Settings\Lud\Application Data\uTorrent
2007-12-07 18:32 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-10-29 12:34 512 ----a-w C:\ScanSectorLog.dat
2007-10-27 18:41 92,064 ----a-w C:\Documents and Settings\Lud\mqdmmdm.sys
2007-10-27 18:41 9,232 ----a-w C:\Documents and Settings\Lud\mqdmmdfl.sys
2007-10-27 18:41 79,328 ----a-w C:\Documents and Settings\Lud\mqdmserd.sys
2007-10-27 18:41 66,656 ----a-w C:\Documents and Settings\Lud\mqdmbus.sys
2007-10-27 18:41 6,208 ----a-w C:\Documents and Settings\Lud\mqdmcmnt.sys
2007-10-27 18:41 5,936 ----a-w C:\Documents and Settings\Lud\mqdmwhnt.sys
2007-10-27 18:41 4,048 ----a-w C:\Documents and Settings\Lud\mqdmcr.sys
2007-10-27 18:41 25,600 ----a-w C:\Documents and Settings\Lud\usbsermptxp.sys
2007-10-27 18:41 22,768 ----a-w C:\Documents and Settings\Lud\usbsermpt.sys
2007-02-16 19:19 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
.
[code]<pre>
----a-w 153,136 2008-01-05 19:34:56 C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck .exe
----a-w 202,024 2008-01-05 19:35:15 C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor .exe
----a-w 1,836,328 2008-01-05 19:35:07 C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan .exe
</pre>[/code]


((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4a29c20e-2312-4374-a091-0c0e090a3e16}]
C:\WINDOWS\system32\roirafsf.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOKIT"="C:\Program Files\Wanadoo\Shell.exe" [2008-01-09 13:07 122880]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe" [ ]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-08-30 06:48 69632 C:\WINDOWS\SOUNDMAN.EXE]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe" [ ]
"NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [ ]
"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [ ]
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [ ]
"Cmaudio"="cmicnfg.cpl" []
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-09 13:06 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [ ]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Nsv04.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Swb71.sys]
@="Driver"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"msnmsgr"="C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
"WOOKIT"=C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"WOOTASKBARICON"=C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
"Creative WebCam Tray"=C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
"WOOWATCH"=C:\PROGRA~1\Wanadoo\Watch.exe
"InCD"=C:\Program Files\Ahead\InCD\InCD.exe
"SiSPower"=Rundll32.exe SiSPower.dll,ModeAgent
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd.exe"
"HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
"SiSUSBRG"=C:\WINDOWS\SiSUSBrg.exe
"AGRSMMSG"=AGRSMMSG.exe
"SiS Windows KeyHook"=C:\WINDOWS\System32\keyhook.exe
"SynTPEnh"=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
"SynTPLpr"=C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

R0 Nsv04;Nsv04;C:\WINDOWS\system32\Drivers\Nsv04.sys [2008-01-05 10:03]
R0 Swb71;Swb71;C:\WINDOWS\system32\Drivers\Swb71.sys [2008-01-09 13:24]
S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\1A.tmp []
S3 P1171VID;Creative WebCam Notebook #2;C:\WINDOWS\system32\DRIVERS\P1171Vid.sys [2004-03-19 02:00]
S3 RescueDrv;Inventel Access Point USB Rescue Driver;C:\WINDOWS\system32\Drivers\resc_dwb.sys [2003-04-24 12:03]
S3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;C:\WINDOWS\system32\DRIVERS\WlanBZXP.sys [2005-12-22 14:45]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]
S3 ZDCndis5;ZDCndis5 Protocol Driver;C:\WINDOWS\System32\ZDCndis5.SYS []

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-01-04 16:15:00 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
- C:\Program Files\TuneUp Utilities 2006\SystemOptimizer.exe
"2008-01-09 12:21:01 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"

oula ...

Télécharge SDFix sur ton bureau

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
Redémarre ton ordinateur en mode sans échec
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.cmd pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !


++

Salut,

Pour suivre.

FillPCA

Salut ! :-)

Voila suite:


SDFix: Version 1.125

Run by Lud on 2008-01-10 at 12:55

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\Lud\Bureau\SDFix\SDFix

Safe Mode:
Checking Services:

Name:
smtpdrv

Path:
System32\DRIVERS\smtpdrv.sys

smtpdrv - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\system32\*_exception.nls - Deleted




Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-10 13:24:28
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000086
"TracesSuccessful"=dword:00000009

scanning hidden files ...


scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 7


Remaining Services:
------------------

smtpdrv


Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------

File Backups: - C:\DOCUME~1\Lud\Bureau\SDFix\SDFix\backups\backups.zip

Files with Hidden Attributes:

Sun 11 Feb 2007 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Fri 25 Jun 2004 418,816 ...HR --- "C:\WINDOWS\system32\Tools\All.exe"
Fri 25 Jun 2004 390,144 ...HR --- "C:\WINDOWS\system32\Tools\Change.exe"
Fri 25 Jun 2004 574,464 ...HR --- "C:\WINDOWS\system32\Tools\CheckPath.exe"
Fri 25 Jun 2004 430,592 ...HR --- "C:\WINDOWS\system32\Tools\Counter.exe"
Fri 25 Jun 2004 390,656 ...HR --- "C:\WINDOWS\system32\Tools\DelFolders.exe"
Fri 25 Jun 2004 399,872 ...HR --- "C:\WINDOWS\system32\Tools\DirectSetup.exe"
Fri 25 Jun 2004 388,096 ...HR --- "C:\WINDOWS\system32\Tools\RegClean.exe"
Fri 25 Jun 2004 388,608 ...HR --- "C:\WINDOWS\system32\Tools\Regexe.exe"
Fri 25 Jun 2004 431,616 ...HR --- "C:\WINDOWS\system32\Tools\Restart.exe"
Fri 25 Jun 2004 388,096 ...HR --- "C:\WINDOWS\system32\Tools\RunRegexe.exe"
Tue 3 Apr 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

Finished!


et Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:32, on 2008-01-10
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\SAGEM WiFi manager\WLANUTL.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\CCM.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: {61e3a090-e0c0-190a-4734-2132e02c92a4} - {4a29c20e-2312-4374-a091-0c0e090a3e16} - C:\WINDOWS\system32\roirafsf.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C68F9105-04FD-4B48-B6CC-2A076F711C35} (HpodPCFileCtrl2 Class) - file://D:\MEMDISC\ALBUM_A\VIEW\PLUGIN\HPODPCFC.CAB
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxmultijoueurs.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} - http://www.bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Salut

fais analyser les fichiers en gras stp :

C:\WINDOWS\system32\drivers\Swb71.sys
C:\WINDOWS\system32\drivers\ip6fw.sys
C:\WINDOWS\system32\dqvwcmkf.ini
C:\WINDOWS\Nsv04.sys

et poste les rapports

Rends toi sur ce site :

http://www.virustotal.com/

Clique sur parcourir et cherche ce fichier :XXXXXXXXXXXXXXX

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

++

Fichier ip6fw.sys reçu le 2008.01.10 18:24:04 (CET)Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.11.10 2008.01.10 -
AntiVir 7.6.0.46 2008.01.10 -
Authentium 4.93.8 2008.01.09 -
Avast 4.7.1098.0 2008.01.09 -
AVG 7.5.0.516 2008.01.10 -
BitDefender 7.2 2008.01.10 -
CAT-QuickHeal 9.00 2008.01.10 -
ClamAV 0.91.2 2008.01.10 -
DrWeb 4.44.0.09170 2008.01.10 -
eSafe 7.0.15.0 2008.01.09 -
eTrust-Vet 31.3.5446 2008.01.10 -
Ewido 4.0 2008.01.10 -
FileAdvisor 1 2008.01.10 -
Fortinet 3.14.0.0 2008.01.10 -
F-Prot 4.4.2.54 2008.01.09 -
F-Secure 6.70.13030.0 2008.01.10 -
Ikarus T3.1.1.20 2008.01.10 -
Kaspersky 7.0.0.125 2008.01.10 -
McAfee 5204 2008.01.10 -
Microsoft 1.3109 2008.01.10 -
NOD32v2 2780 2008.01.10 -
Norman 5.80.02 2008.01.10 -
Panda 9.0.0.4 2008.01.10 -
Prevx1 V2 2008.01.10 -
Rising 20.26.32.00 2008.01.10 -
Sophos 4.24.0 2008.01.10 -
Sunbelt 2.2.907.0 2008.01.10 -
Symantec 10 2008.01.10 -
TheHacker 6.2.9.185 2008.01.09 -
VBA32 3.12.2.5 2008.01.10 -
VirusBuster 4.3.26:9 2008.01.10 -
Webwasher-Gateway 6.0.1 2008.01.10 -

Information additionnelle
File size: 29056 bytes
MD5: 4448006b6bc60e6c027932cfc38d6855
SHA1: 677304e575660642bced544266126131ff6ed75f
PEiD: -


Impossible de trouver le fichier C:\WINDOWS\system32\dqvwcmkf.ini
Pour les fichiers Swb71.sys et Nsv04.sys le site m'affiche: 0 bytes size received / Se ha recibido un archivo vacio
j'ai essayé plusieur fois et il me retourne tjrs la meme reponse.

ok,

Télécharge Avira AntiRootkit Tool et dézippe-le sur ton bureau:

http://dl.antivir.de/down/windows/antivir_rootkit.zip

Ouvre le dossier antivir_rootkit créé, double-clique sur le fichier setup.exe, et suis les instructions d'installation du programme. Lorsque c'est terminé, lance l'outil par le menu démarrer / tous les programmes / Avira RootKit Detection / Avira RootKit Detection.
Vérifie que les cases "Scan files", "Scan registry", "Scan processes", "Scan all drives" et "Show progress" soient bien cochées. Clique à présent sur "Start scan" et patiente.
Lorsque le scan est terminé, clique sur "View report" et dans ta prochaine réponse, poste le contenu du rapport qui s'est ouvert.

++

Avira AntiRootkit Tool - Beta (1.0.1.17)

========================================================================================================
- Scan started 2008-01-11 - 11:01
========================================================================================================

--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 37.25 GB
- Working disk free size : 14.24 GB (38 %)
--------------------------------------------------------------------------------------------------------

Scan task finished. No hidden objects detected!

--------------------------------------------------------------------------------------------------------
Files: 0/47290
Registry items: 0/313687
Processes: 0/31
Scan time: 00:05:08
--------------------------------------------------------------------------------------------------------
Active processes:
- niffmgty.exe (PID 5016) (Avira AntiRootkit Tool - Beta)
- System (PID 4)
- smss.exe (PID 412)
- csrss.exe (PID 468)
- winlogon.exe (PID 492)
- services.exe (PID 536)
- lsass.exe (PID 548)
- svchost.exe (PID 696)
- svchost.exe (PID 772)
- svchost.exe (PID 840)
- svchost.exe (PID 884)
- svchost.exe (PID 1096)
- explorer.exe (PID 1208)
- svchost.exe (PID 1220)
- spoolsv.exe (PID 1372)
- avguard.exe (PID 1408)
- sched.exe (PID 1644)
- mscorsvw.exe (PID 1656)
- FTRTSVC.exe (PID 1684)
- NBService.exe (PID 1708)
- svchost.exe (PID 1840)
- alg.exe (PID 312)
- SOUNDMAN.EXE (PID 864)
- avgnt.exe (PID 1036)
- WLANUTL.EXE (PID 1304)
- svchost.exe (PID 1876)
- iexplore.exe (PID 2364)
- WLLoginProxy.ex (PID 2396)
- svchost.exe (PID 2680)
- svchost.exe (PID 2756)
- avirarkd.exe (PID 4988)
========================================================================================================
- Scan finished 2008-01-11 - 11:06
========================================================================================================

J'en ai profité pour l'executer sur mon deuxieme pc et voici le rapport il me detect un rootkit comment l'effacer ?

Avira AntiRootkit Tool - Beta (1.0.1.17)

========================================================================================================
- Scan started vendredi 11 janvier 2008 - 11:06:19
========================================================================================================

--------------------------------------------------------------------------------------------------------
Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 53.19 GB
- Working disk free size : 6.89 GB (12 %)
--------------------------------------------------------------------------------------------------------

Results:
Hidden value : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System -> oodefrag10.00.00.01workstation

--------------------------------------------------------------------------------------------------------
Files: 0/114159
Registry items: 1/378446
Processes: 0/56
Scan time: 00:04:53
--------------------------------------------------------------------------------------------------------
Active processes:
- uvpcmquv.exe (PID 3736) (Avira AntiRootkit Tool - Beta)
- System (PID 4)
- smss.exe (PID 644)
- csrss.exe (PID 716)
- winlogon.exe (PID 748)
- services.exe (PID 792)
- lsass.exe (PID 804)
- ati2evxx.exe (PID 956)
- svchost.exe (PID 968)
- svchost.exe (PID 1044)
- svchost.exe (PID 1144)
- svchost.exe (PID 1184)
- svchost.exe (PID 1384)
- ati2evxx.exe (PID 1408)
- aawservice.exe (PID 1548)
- spoolsv.exe (PID 1628)
- scardsvr.exe (PID 1672)
- avguard.exe (PID 1692)
- schedul2.exe (PID 284)
- sched.exe (PID 336)
- AOLacsd.exe (PID 348)
- PnkBstrA.exe (PID 448)
- explorer.exe (PID 688)
- kpf4ss.exe (PID 708)
- StarWindService (PID 1096)
- svchost.exe (PID 1120)
- nvraidservice.e (PID 1960)
- soundman.exe (PID 2020)
- jusched.exe (PID 2032)
- aolsoftware.exe (PID 2052)
- schedhlp.exe (PID 2060)
- TrayIcon.exe (PID 2096)
- ATITool.exe (PID 2128)
- avgnt.exe (PID 2144)
- ctfmon.exe (PID 2152)
- wmiprvse.exe (PID 2160)
- NMBgMonitor.exe (PID 2164)
- MediaCenter.exe (PID 2176)
- daemon.exe (PID 2188)
- MOM.exe (PID 2196)
- ATIRW.EXE (PID 2204)
- RocketDock.exe (PID 2252)
- NMIndexStoreSvr (PID 2388)
- rundll32.exe (PID 2636)
- CCC.exe (PID 2696)
- unsecapp.exe (PID 2732)
- UberIcon Manage (PID 2740)
- YzShadow.exe (PID 2792)
- kpf4gui.exe (PID 3064)
- alg.exe (PID 3356)
- httpd.exe (PID 3404)
- httpd.exe (PID 3488)
- kpf4gui.exe (PID 3896)
- svchost.exe (PID 2016)
- firefox.exe (PID 3584)
- avirarkd.exe (PID 2780)
========================================================================================================
- Scan finished vendredi 11 janvier 2008 - 11:11:12
========================================================================================================

Salut

UN Pc a la fois ! sinon on ne va pas s'en sortir !

on continue sur le 1er si tu veux bien, car ce n'est pas fini !!

Télécharge RenV.exe d'sUBs sur ton Bureau:

http://download.bleepingcomputer.com/sUBs/Beta/RenV.exe

Double-clique sur RenV.exe pour le lancer, et patiente.

Un rapport, log.txt, sera crée, et s'ouvrira à la fin du scan, poste le en réponse.


++

Oui biensur 1 pc à la fois alors voila le rapport:

[code]
Ran on 2008-01-11 - 23:55:32.48

----a-w 153,136 2008-01-05 19:34:56 C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck .exe
----a-w 202,024 2008-01-05 19:35:15 C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor .exe
----a-w 1,836,328 2008-01-05 19:35:07 C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan .exe

Entries: 3 (3)
Directories: 0 Files: 3
Bytes: 2,191,488 Blocks: 4,282
[/code]

Salut j'ai decidé de tout formater et de reinstaller windaube en tout cas merci pour le tps que tu m'a consacré ciao

Salut

ah ! j'avais pourtant mis un nom sur le coupable ... tant pie !

voir ici pour ne plus avoir à formater :

http://www.commentcamarche.net/faq/sujet 2432 securite proteger un ordinateur contre les malwares d internet

++

Télécharge SDFix sur ton bureau

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
Redémarre ton ordinateur en mode sans échec
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.cmd pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !