Trojan-cliker.Win32.Delf [Résolu]

Bonsoir

Non IExplorer n'est pas un virus. Ton IExplorer est certainement un travesti


Bonjour/Bonsoir
• Ne pas surfer ailleurs que sur le site
• Couper MSN ou tout autre connexion hormis celle sur le site
• Appliquer exactement et dans l'ordre les procédures indiquées.
• Au cas ou plusieurs intervenants se manifestent, en choisir un et un seul.

• Rester devant la machine en rafraichissant souvent le forum pour voir les nouvelles réponses.
• Répondre sans attendre à toutes les questions posées dans l'ordre ou elles ont étés posées
• Soyez précis dans vos réponses. Tenez vous en au sujet et rien qu'au sujet.
• A proscrire : le language SMS.

• Ne pas quitter tant qu'il n'est pas dit explicitement que le problème est résolu ou qu'il
dépasse les compétences de celui ou ceux qui vous aident.
• N'ouvrez pas plusieurs discussions sur le même sujet sauf si on vous le demande
(Problème non résolu. Ca arrive)

• Ne pas s'impatienter. L'analyse d'un rapport et la recherche de solutions
appropriées prends un certain temps.
Inutile donc de reposter le même message. Nous ne vous oublions pas,
nous vous cherchons une solution

• Ne pas oublier : nous sommes bénévoles.
Nous mangeons, nous dormons, nous travaillons, nous avons une vie de famille aussi.


Préparation de la machine
• Vider la corbeille
• Fermer toutes les applications

================ PareFeu XP - Vista ===================
• Si un autre pare-feu que celui de windows est installé, vérifier qu'il est actif et passer à l'étape CCleaner

• Sinon

pour activer/désactiver le Pare-feu Vista
pour activer/désactiver le Pare-feu Xp le Pare-feu Vista

• Activer le pare-Feu si ce n'est déjà fait

===================== CCLEANER ========================
Pour le petit coup de polish.
• Appliquer la procédure ci-dessous.
• l'outil pourra être conservé pour faire le ménage de temps en temps en appliquant la même procédure.

Nettoyage avec CCleaner
On va commencer par faire un peu le ménage

• Télécharger CCLeaner et l'installer sur le bureau en refusant l'installation de la barre Yahoo.

• Fermer toutes les applications
• Lancer CCLeaner
S'il n'est pas en Français cliquer sur Options, Setting, Language
et sélectionner Français
• cocher dans le menu Nettoyeur - onglet Windows :
Internet Explorer: Fichiers Internet Temporaires, Cookies
• Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
• Avancé: Vieilles données du Prefetch
• Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
• Cocher dans le menu Nettoyeur - onglet Applications : Internet: Sun Java
• Cocher , si cela est possible, dans le menu Nettoyeur - onglet Applications :
Firefox/Mozilla: Cache Internet, Cookies
• Click sur Analyse
• Click sur le bouton Lancer le nettoyage dans le menu Nettoyeur.
• Click sur Registre
• Sélectionner tout
• Click sur Chercher des erreurs (En bas)

Une fois le scan terminé sélectionner tout
• Click sur Réparer les erreurs sélectionnées


==================== HIJACKTHIS ======================

HijackThis

• Télécharger HijackThis
• Installer HijackThis en se laissant guider (Accepter le répertoire proposé sans rien changer)
• Fermer HijackThis
• Télécharger sur le bureau HJTNew (Si le Pare-Feu ou l'Anti-virus se manifeste, Ignorer)
• Fermer toutes les applications
• Se débrancher d'Internet (Enlever le cable, c'est encore la meilleure solution)
• Lancer HJTNew.exe (Si le Pare-Feu ou l'Anti-virus se manifeste, Ignorer)
Ne pas s'étonner pour HJTNew, rien ne s'affiche, juste une fenêtre qui s'ouvre et se ferme aussitôt. C'est normal.
• Click sur Do a system scan and save a logfile
• Copier/Coller le rapport dans le prochain message
• Supprimer HJTNew.exe (sinon l'Anti-virus risque de se manifester souvent) puis
• Attendre la suite
_

Voila ce que donne HijackThis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:18:07, on 31/03/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\system32\cfmom.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Program Files\Trend Micro\HijackThis\MonJack.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [mscdti] C:\WINDOWS\cdti.exe /nosrv
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: hdip.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {71DA2A4E-ACB3-4065-9E41-8BC42EABE427} - http://scripts.dlv4.com/binaries/IA/svcia32_FR_XP.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {C80B7FF6-CE60-4079-935E-520C045C30A6} - http://www.mailskinner.com/binaries/msaxsetup.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: cfm - Unknown owner - C:\WINDOWS\system32\cfmom.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Fichiers communs\MAGIX Shared\UPnPService\UPnPService.exe

+ CCl
+ HJT
Navilog
------------------- Ne pas tenir compte des lignes ci-dessus


Houlà, Windows XP. Il faudrait penser à une mise à jour vers XP SP2. Pour cela, il faudra demandé sur le forum Windows.

On va essayer de s'occupe de ce qui te préoccupes pour l'instant

================ NAVILOG ===================
http://mickael.barroux.free.fr/securite/navilog.php#recherche

Navilog

Pour Vista (si XP ou 2000, passer à la suite),
l’UAC doit être désactivée lors de l'utilisation du fix.
pour désactiver l'UAC : http://forum.malekal.com/viewtopic.php?f=59&t=6517

Avec Antivir, la protection en temps réel doit être désactivée
Antivir détecte certains composant de navilog1 comme néfaste.
• Pour cela, faire un clic-droit sur l'icône Antivir (Petit parapluie sur fond rouge) en bas à droite à côté de l'horloge puis Disable Guard.

• Télécharger Navilog1
• Double click sur l'icône de Navilog1 pour lancer l'installation :
• Choisir la langue d'installation : ici, on choisira le français puis cliquez sur Suivant
• Click sur Suivant
• Lire la licence utilisateur puis click sur Oui
• Une fenêtre indique où Navilog1 va être installé (par défaut dans C:\Program Files\Navilog1\):
• click sur Suivant

Si l'installation ne veut pas se faire (Message comme quoi il y a un virus ou autre)
refaire l'opération en mode sans échec. Et faire la suite dans ce mode (imprimer la procédure avant)

• Une fois Navilog1 installé, une fenêtre permet de quitter l'installation.
• Laisser la case Démarrer maintenant l'application installée cochée
• click sur Fermer.
• Sinon, pour l'ouvrir, double-click sur le raccourci navilog1 sur le bureau.
• Taper f du clavier
• Appuyer sur la touche Entrée.
• Appuyer sur une touche du clavier pour continuer...
• Navilog1 vérifie qu'il est bien installé : sans quoi, il faudra le réinstaller,
comme indiqué dans la partie Installation de cet article.
• Taper 1 dans menu principal de Navilog1
• Appuyer sur la touche Entrée.

Navilog1 va effectuer la recherche des fichiers infectieux du PC : cela peut prendre une dizaine de minutes...

Navilog1 informe que la recherche est terminée :
• Appuyer sur une touche du clavier pour afficher le rapport qu'il a généré.
• Poster le rapport C:\fixnavi.txt ici

Et voila le rapport!

Search Navipromo version 3.5.2 commencé le 31/03/2008 à 21:40:08,11

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "JEAN MARIE"

Mise à jour le 29.03.2008 à 22h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2600.0000
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\JEAN MARIE\applic~1" ***



*** Recherche dossiers dans "C:\Documents and Settings\JEAN MARIE\locals~1\applic~1" ***



*** Recherche dossiers dans "C:\Documents and Settings\JEAN MARIE\menudm~1\progra~1" ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\JEAN MARIE\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *



*** Recherche fichiers ***


C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\tmlpcert2007 trouvé !
C:\WINDOWS\system32\axsetup.dll trouvé !


*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :

ebbpebvuhs_nav.dat trouvé !
ebbpebvuhs_navps.dat trouvé !

* Dans "C:\Documents and Settings\JEAN MARIE\locals~1\applic~1" :


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 31/03/2008 à 22:00:08,91 ***

+ CCl
+ HJT
Navilog
------------------- Ne pas tenir compte des lignes ci-dessus

-----------------------------------------------
Désinfection automatique
• Sous Windows Vista : Faire un clic droit sur l’icône Navilog1 qui se trouve sur le bureau, et
Choisir « exécuter en tant qu’administrateur » Sous XP passer cette phase

• Double-click sur le raccourci navilog1 du bureau et refaire les mêmes opérations que
dans la section Recherche de fichiers infectieux de cet article jusqu'à arriver au menu de Navilog1

• Pour lancer le nettoyage automatique, taper 2
• Appuyer sur la touche Entrée.

Laisser Navilog1 travailler et être patient !
Il demandera d'enregistrer les documents en cours d'utilisation, car il aura besoin de redémarrer le PC.

• Quand le PC sera prêt à redémarrer, appuyer sur une touche du clavier et laisser Navilog1 opérer.
• Une fois le PC redémarré, Navilog1 terminera la désinfection et il fournira un rapport de désinfection.
• L'enregistrer si besoin, par exemple si on demande de le poster sur un forum (menu Edition / Enregistrer sous).
Sans quoi le rapport sera quand même sauvegardé dans le fichier suivant : cleannavi.txt
à la racine du disque dur (ex : C:\cleannavi.txt) + rapport HijackThis

désinstaller navilog1 soit :

• Par ajout/suppression de programmes du panneau de configuration, en sélectionnant navilog1 dans la liste puis en cliquant sur Supprimer.
• Soit par le menu Démarrer / Programmes / Navilog1 / Désinstaller Navilog1

• Enfin, après désinstallation, Supprimer le dossier C:\Program Files\Navilog1 si encore existant

• Sous Windows Vista, réactiver l'UAC en suivant la manipulation inverse qu'au début du tuto de cette page
Comment désactiver l’UAC

• Fermer Internet Explorer
• Démarrer/Panneau de Configuration/Options Internet.
• Choisir l'onglet Contenu puis onglet Certificats.
• Si les programmes suivant (en particulier dans Editeurs approuvés), y sont présents les supprimer :

electronic-group
egroup
Montorgueil
VIP
"Sunny Day Design Ltd"

Voici le rapport


Clean Navipromo version 3.5.2 commencé le 31/03/2008 à 22:15:06,62

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "JEAN MARIE"

Mise à jour le 29.03.2008 à 22h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2600.0000
Système de fichiers : NTFS

Mode suppression automatique
avec prise en charge résultats Catchme et GNS



*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)


*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans C:\WINDOWS\System32 *


* Suppression dans "C:\Documents and Settings\JEAN MARIE\locals~1\applic~1" *


* Suppression dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *



*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***


*** Suppression dossiers dans "C:\Documents and Settings\JEAN MARIE\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\JEAN MARIE\locals~1\applic~1" ***


*** Suppression dossiers dans "C:\Documents and Settings\JEAN MARIE\menudm~1\progra~1" ***


*** Suppression dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***



*** Suppression fichiers ***

C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\tmlpcert2007 supprimé !
C:\WINDOWS\system32\axsetup.dll supprimé !

*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\JEAN MARIE\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans C:\WINDOWS\system32 *

ebbpebvuhs_nav.dat trouvé !
Copie ebbpebvuhs_nav.dat réalisée avec succès !
ebbpebvuhs_nav.dat supprimé !

ebbpebvuhs_navps.dat trouvé !
Copie ebbpebvuhs_navps.dat réalisée avec succès !
ebbpebvuhs_navps.dat supprimé !

ebbpebvuhs.dat trouvé !
Copie ebbpebvuhs.dat réalisée avec succès !
ebbpebvuhs.dat supprimé !


* Dans "C:\Documents and Settings\JEAN MARIE\locals~1\applic~1" *


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 31/03/2008 à 22:20:47,49 ***

Petit problème. Le virus est toujours la et n'a pas été supprimer!

+ CCl
+ HJT
+ Navilog
------------------- Ne pas tenir compte des lignes ci-dessus

Et pourtant Navilog a très bien travaillé. Tu es multi infecté on dirait.

il me manque un NOUVEAU rapport HiJackThis

Je te posterai le rapport demain car demain, les cours! Eh oui! Je te posterai le rapport de Hijackthis vers 18h je pense. Voila a demain!

Ah! Mince desolé! Le voici quand même!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:12:18, on 01/04/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cfmom.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Program Files\Trend Micro\HijackThis\MonJack.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [mscdti] C:\WINDOWS\cdti.exe /nosrv
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: hdip.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: cfm - Unknown owner - C:\WINDOWS\system32\cfmom.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Fichiers communs\MAGIX Shared\UPnPService\UPnPService.exe

Il semble que le site fut en maintenance.

Je met ton rapport ici pour qu'il soit dans la file.

Je le regarde.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:22:40, on 01/04/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cfmom.exe
C:\WINDOWS\System32\cidaemon.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\MonJack.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [mscdti] C:\WINDOWS\cdti.exe /nosrv
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: hdip.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: cfm - Unknown owner - C:\WINDOWS\system32\cfmom.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Fichiers communs\MAGIX Shared\UPnPService\UPnPService.exe

----------------------- Fixer des lignes HitjackThis -------------------

Relancer Hitjackthis

• Fixer cette/ces lignes


O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - (no file)

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)


• Pour fixer cette/ces lignes.
• Cliquer sur la petite case à gauche de chaque ligne à fixer.

• Une fois cette/ces lignes cochées, cliquer sur le bouton en bas FIX CHECKED
• Fermer et relancer HitJackThis
• Copier/Coller le nouveau rapport sur le forum.

==================== VIRUS TOTAL ======================

Aller sur le site VIRUS TOTAL

• COPIER/COLLER dans le champ de saisie ce qui est en gras

C:\WINDOWS\system32\cfmom.exe

• Appuyer sur le bouton Envoyer le fichier

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

• Copier/Coller le rapport dans le prochain message.

Faire la même chose avec C:\WINDOWS\cdti.exe

=========== OAD ( outil d'aide au diagnostic ) ============

il permet de rechercher les chemins d'accès COMPLET d'un ou plusieur fichier
et ainsi connaitre leur emplacement dans la base de registre.

Télécharger OAD < http://sosvirus.changelog.fr/OAD.exe >
• L'enregistrer sur le bureau

• Sous VISTA Clique droit sur le fichier OAD.exe et sur Propriétés, dans l'onglet Compatibilité
Cadre Niveau de privilège cocher Exécuter ce programme en tant qu'administrateur.

• Lancer OAD.exe en faisant un double-click sur le fichier
• Saisir -> hdip.exe (faire un copier/coller)
• Type de recherche : sélectionner l'option 6 puis valide entrée
• OAD va maintenant rechercher le fichier.
• Le laisser travailler jusqu'à ce qu'il en ait terminé.
• Suivant la taille des disques durs, cette recherche peut prendre plusieurs minutes.

------------- Patienter. --------------

• Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé.
• Faire un copier/coller de ce rapport dans le prochain message.

Note: Certains Antivirus peuvent émettre une alerte lors du téléchargement / utilisation > ignore

Pour C:\WINDOWS\system32\cfmom.exe


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.4.1.2 2008.04.01 -
AntiVir 7.6.0.78 2008.04.01 TR/Drop.Special
Authentium 4.93.8 2008.03.31 -
Avast 4.7.1098.0 2008.03.31 -
AVG 7.5.0.516 2008.04.01 -
BitDefender 7.2 2008.04.01 Trojan.Clicker.Delf.JE
CAT-QuickHeal 9.50 2008.03.31 -
ClamAV 0.92.1 2008.04.01 -
DrWeb 4.44.0.09170 2008.04.01 -
eSafe 7.0.15.0 2008.03.31 -
eTrust-Vet 31.3.5661 2008.04.01 -
Ewido 4.0 2008.04.01 -
F-Prot 4.4.2.54 2008.03.31 W32/Trojan2.AEDD
F-Secure 6.70.13260.0 2008.04.01 -
FileAdvisor 1 2008.04.01 -
Fortinet 3.14.0.0 2008.04.01 -
Ikarus T3.1.1.20 2008.04.01 Trojan-Clicker.Delf.JE
Kaspersky 7.0.0.125 2008.04.01 Trojan-Clicker.Win32.Delf.qg
McAfee 5264 2008.04.01 -
Microsoft 1.3301 2008.04.01 -
NOD32v2 2993 2008.04.01 -
Norman 5.80.02 2008.04.01 -
Panda 9.0.0.4 2008.04.01 Suspicious file
Prevx1 V2 2008.04.01 TROJAN.AGENT.GEN
Rising 20.38.12.00 2008.04.01 -
Sophos 4.28.0 2008.04.01 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.04.01 -
TheHacker 6.2.92.260 2008.04.01 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.04.01 -
Webwasher-Gateway 6.6.2 2008.04.01 Trojan.Drop.Special


Pour C:\WINDOWS\cdti.exe

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.4.1.2 2008.04.01 -
AntiVir 7.6.0.78 2008.04.01 TR/Drop.Special
Authentium 4.93.8 2008.03.31 -
Avast 4.7.1098.0 2008.03.31 -
AVG 7.5.0.516 2008.04.01 -
BitDefender 7.2 2008.04.01 Trojan.Clicker.Delf.JE
CAT-QuickHeal 9.50 2008.03.31 -
ClamAV 0.92.1 2008.04.01 -
DrWeb 4.44.0.09170 2008.04.01 -
eSafe 7.0.15.0 2008.03.31 -
eTrust-Vet 31.3.5661 2008.04.01 -
Ewido 4.0 2008.04.01 -
F-Prot 4.4.2.54 2008.03.31 W32/Trojan2.AEDD
F-Secure 6.70.13260.0 2008.04.01 -
FileAdvisor 1 2008.04.01 -
Fortinet 3.14.0.0 2008.04.01 -
Ikarus T3.1.1.20 2008.04.01 Trojan-Clicker.Delf.JE
Kaspersky 7.0.0.125 2008.04.01 Trojan-Clicker.Win32.Delf.qg
McAfee 5264 2008.04.01 -
Microsoft 1.3301 2008.04.01 -
NOD32v2 2993 2008.04.01 -
Norman 5.80.02 2008.04.01 -
Panda 9.0.0.4 2008.04.01 Suspicious file
Prevx1 V2 2008.04.01 TROJAN.AGENT.GEN
Rising 20.38.12.00 2008.04.01 -
Sophos 4.28.0 2008.04.01 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.04.01 -
TheHacker 6.2.92.260 2008.04.01 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.04.01 -
Webwasher-Gateway 6.6.2 2008.04.01 Trojan.Drop.Special

Et OAD:

01/04/2008 ---- 21:17:30,93

----------------------------------
§§§§§§ [hdip.exe] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete


********************
[Registre]
********************


*******************
[Fichier]
*******************

c:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\hdip.exe


*********************
[Même date]
*********************

[24/03/2008 ] ---> C:\WINDOWS\cpu.exe
[24/03/2008 ] ---> C:\WINDOWS\Extrac32.exe
[24/03/2008 ] ---> C:\WINDOWS\system32\Adac20b.dll
[24/03/2008 ] ---> C:\WINDOWS\system32\Adac20c.dll
[24/03/2008 ] ---> C:\WINDOWS\system32\ASCOM10.dll
[24/03/2008 ] ---> C:\WINDOWS\system32\ASCOM10C.dll
[24/03/2008 ] ---> C:\WINDOWS\system32\Asinet10.dll
[24/03/2008 ] ---> C:\WINDOWS\system32\Asinet1c.dll
[24/03/2008 ] ---> C:\WINDOWS\system32\Asiutl10.dll
[24/03/2008 ] ---> C:\WINDOWS\system32\Asrdbc10.dll
[24/03/2008 ] ---> C:\WINDOWS\system32\Asued10.dll
[24/03/2008 ] ---> C:\WINDOWS\system32\Asued10c.dll
[24/03/2008 ] ---> C:\WINDOWS\system32\Cdxdbe.dll
[24/03/2008 ] ---> C:\WINDOWS\system32\Dbfdbe.dll
[24/03/2008 ] ---> C:\WINDOWS\system32\Deldbe.dll
[24/03/2008 ] ---> C:\WINDOWS\system32\Foxdbe.dll
[24/03/2008 ] ---> C:\WINDOWS\system32\Ntxdbe.dll
[24/03/2008 ] ---> C:\WINDOWS\system32\Odbcdbe.dll
[24/03/2008 ] ---> C:\WINDOWS\system32\odbcut10.dll
[24/03/2008 ] ---> C:\WINDOWS\system32\Sdfdbe.dll
[24/03/2008 ] ---> C:\WINDOWS\system32\Som.dll
[24/03/2008 ] ---> C:\WINDOWS\system32\XBTBase1.dll
[24/03/2008 ] ---> C:\WINDOWS\system32\XBTBase2.dll
[24/03/2008 ] ---> C:\WINDOWS\system32\Xbtnetb.dll
[24/03/2008 ] ---> C:\WINDOWS\system32\Xbtnetw.dll
[24/03/2008 ] ---> C:\WINDOWS\system32\Xppdbgc.dll
[24/03/2008 ] ---> C:\WINDOWS\system32\Xppnat.dll
[24/03/2008 ] ---> C:\WINDOWS\system32\Xpprt1.dll
[24/03/2008 ] ---> C:\WINDOWS\system32\Xpprt2.dll
[24/03/2008 ] ---> C:\WINDOWS\system32\Xppui1.dll
[24/03/2008 ] ---> C:\WINDOWS\system32\Xppui2.dll
[24/03/2008 ] ---> C:\WINDOWS\system32\Xppui3.dll



Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------

+ CCl
+ HJT
+ Navilog
+ OAD
------------------- Ne pas tenir compte des lignes ci-dessus

================== MalwareBytes =====================

Telecharger MalwareBytes

Le Tutorial

Ne pas oublier de supprimer tout ce que MalwaresByte trouve.

Poster le rapport et un nouveau rapport HuJackThis

J'ai effectuer un examen complet en mode sans echec.

Malwarebytes' Anti-Malware 1.10
Version de la base de données: 582

Type de recherche: Examen complet (C:\|)
Eléments examinés: 84764
Temps écoulé: 1 hour(s), 7 minute(s), 3 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\basehrlcb32.dll (Trojan.Agent) -> No action taken.

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\basehrlcb32.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\cpu.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\System32:svchost.exe (Rootkit.ADS) -> No action taken.

Je précise que les fichiers infecté ont été supprimer par le logiciel .

Le rapport d'hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:18:22, on 02/04/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\WINDOWS\system32\cfmom.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\MonJack.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [mscdti] C:\WINDOWS\cdti.exe /nosrv
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: hdip.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: cfm - Unknown owner - C:\WINDOWS\system32\cfmom.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Fichiers communs\MAGIX Shared\UPnPService\UPnPService.exe

J'ai posté le mauvais rapport de Malwarebytes! Voici le bon!

Malwarebytes' Anti-Malware 1.10
Version de la base de données: 582

Type de recherche: Examen complet (C:\|)
Eléments examinés: 84764
Temps écoulé: 1 hour(s), 7 minute(s), 3 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\basehrlcb32.dll (Trojan.Agent) -> Unloaded module successfully.

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\basehrlcb32.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\cpu.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\System32:svchost.exe (Rootkit.ADS) -> Quarantined and deleted successfully.

==================== VIRUS TOTAL ======================

Aller sur le site VIRUS TOTAL

• COPIER/COLLER dans le champ de saisie ce qui est en gras

c:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\hdip.exe

• Appuyer sur le bouton Envoyer le fichier

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

• Copier/Coller le rapport dans le prochain message.

=========== OAD ( outil d'aide au diagnostic ) ============

il permet de rechercher les chemins d'accès COMPLET d'un ou plusieur fichier
et ainsi connaitre leur emplacement dans la base de registre.

Télécharger OAD < http://sosvirus.changelog.fr/OAD.exe >
• L'enregistrer sur le bureau

• Sous VISTA Clique droit sur le fichier OAD.exe et sur Propriétés, dans l'onglet Compatibilité
Cadre Niveau de privilège cocher Exécuter ce programme en tant qu'administrateur.

• Lancer OAD.exe en faisant un double-click sur le fichier
• Saisir -> cfmom.exe ( faire un copier/coller )
• Type de recherche : sélectionner l'option 6 puis valide entrée
• OAD va maintenant rechercher le fichier.
• Le laisser travailler jusqu'à ce qu'il en ait terminé.
• Suivant la taille des disques durs, cette recherche peut prendre plusieurs minutes.

------------- Patienter. --------------

• Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé.
• Faire un copier/coller de ce rapport dans le prochain message.

Note: Certains Antivirus peuvent émettre une alerte lors du téléchargement / utilisation > ignore

====================
Refaire OAD avec cdti.exe à la place de cfmom.exe

• Faire un copier/coller du rapport dans le prochain message.

Virustotal pour hdip.exe:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.4.1.2 2008.04.02 -
AntiVir 7.6.0.78 2008.04.02 -
Authentium 4.93.8 2008.04.02 -
Avast 4.7.1098.0 2008.04.01 -
AVG 7.5.0.516 2008.04.01 -
BitDefender 7.2 2008.04.02 -
CAT-QuickHeal 9.50 2008.04.02 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.04.02 -
DrWeb 4.44.0.09170 2008.04.02 -
eSafe 7.0.15.0 2008.04.01 suspicious Trojan/Worm
eTrust-Vet 31.3.5664 2008.04.02 -
Ewido 4.0 2008.04.02 -
F-Prot 4.4.2.54 2008.04.01 -
F-Secure 6.70.13260.0 2008.04.02 Suspicious:W32/Malware!Gemini
FileAdvisor 1 2008.04.02 -
Fortinet 3.14.0.0 2008.04.02 -
Ikarus T3.1.1.20 2008.04.02 -
Kaspersky 7.0.0.125 2008.04.02 -
McAfee 5264 2008.04.01 -
Microsoft 1.3301 2008.04.01 -
NOD32v2 2994 2008.04.02 -
Norman 5.80.02 2008.04.01 -
Panda 9.0.0.4 2008.04.01 Suspicious file
Prevx1 V2 2008.04.02 Heuristic: Suspicious File With Outbound Communications
Rising 20.38.12.00 2008.04.01 -
Sophos 4.28.0 2008.04.02 Sus/UnkPacker
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.04.02 -
TheHacker 6.2.92.262 2008.04.02 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.04.01 -
Webwasher-Gateway 6.6.2 2008.04.02 Win32.Malware.gen (suspicious)

Pour cfmom.exe:

02/04/2008 ---- 14:42:42,49

----------------------------------
§§§§§§ [cfmom.exe] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete


********************
[Registre]
********************


*******************
[Fichier]
*******************

c:\WINDOWS\system32\cfmom.exe


*********************
[Même date]
*********************

[28/03/2008 ] --- REP ---> C:\Program Files\TuneUp Utilities 2007
[28/03/2008 ] ---> C:\WINDOWS\ÿupd.dll
[28/03/2008 ] ---> C:\WINDOWS\cdti.exe
[28/03/2008 ] ---> C:\WINDOWS\system32\cfmom.exe
[28/03/2008 ] ---> C:\WINDOWS\system32\uxtuneup.dll



Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------

Pour cdti.exe :

02/04/2008 ---- 14:50:10,47

----------------------------------
§§§§§§ [cdti.exe] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete


********************
[Registre]
********************


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mscdti"="C:\\WINDOWS\\cdti.exe /nosrv"

*******************
[Fichier]
*******************

c:\WINDOWS\cdti.exe


*********************
[Même date]
*********************

[28/03/2008 ] --- REP ---> C:\Program Files\TuneUp Utilities 2007
[28/03/2008 ] ---> C:\WINDOWS\ÿupd.dll
[28/03/2008 ] ---> C:\WINDOWS\cdti.exe
[28/03/2008 ] ---> C:\WINDOWS\system32\cfmom.exe
[28/03/2008 ] ---> C:\WINDOWS\system32\uxtuneup.dll



Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§

+ CCl
+ HJT
+ Navilog
+ OAD
+ Virus Total
ComboFix
------------------- Ne pas tenir compte des lignes ci-dessus


===================== COMBOFIX =======================
</gras>
• Imprimer ou sauvegarder avec le bloc-note cette procédure car la suite va se dérouler sans accès à Internet.
• Installer ComboFix sur le bureau
Note :
Le serveur de téléchargement peut être en surcharge et renvoyer une page d'erreur. Il faut insister.
• Renommer COMBOFIX.EXE en COMBO-FIX.EXE
------
• Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
• Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes.

• Relancer le Pc et tapoter la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
• Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
-------
• Désactiver seulement pendant l'utilisation de ComboFix, la protection de l'antivirus et de l'antispyware ceux-ci pouvant entraver le bon fonctionnement de combofix
• Fermer toutes les applications en cours
• Double-click sur l'icône qui s'est installé sur le bureau
• Appuyer sur la touche 1 puis sur entrée:
• Laisser Combofix travailler sans se servir de la machine.
• Si ComboFix a besoin de redémarrer la machine, laisser faire sinon redémarrer en mode normal.
• Copier/Coller le rapport généré dans le bloc-note dans le prochain message
(Ce fichier est automatiquement généré et enregistré sous C:\Combofix.txt)

Voici le rapport:

ComboFix 08-04-01.2 - JEAN MARIE 2008-04-02 19:34:20.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.147 [GMT 2:00]
Endroit: C:\Documents and Settings\JEAN MARIE\Bureau\Combo-Fix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
.
[i] ADS - system32: deleted 70168 bytes in 1 streams. /i

((((((((((((((((((((((((((((( Fichiers créés 2008-03-02 to 2008-04-02 ))))))))))))))))))))))))))))))))))))
.

2008-04-02 19:08 . 2008-04-02 19:08 <REP> d-------- C:\Program Files\Windows Live
2008-04-02 11:49 . 2008-04-02 11:50 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-04-02 11:49 . 2008-04-02 11:49 <REP> d-------- C:\Documents and Settings\JEAN MARIE\Application Data\Malwarebytes
2008-04-02 11:49 . 2008-04-02 11:49 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-04-02 00:45 . 2008-04-02 00:45 <REP> d-------- C:\WINDOWS\Sun
2008-03-31 21:15 . 2008-03-31 21:15 <REP> d-------- C:\Program Files\Trend Micro
2008-03-31 20:58 . 2008-03-31 20:58 <REP> d-------- C:\Program Files\CCleaner
2008-03-30 19:10 . 2008-04-02 19:27 <REP> d-------- C:\Documents and Settings\JEAN MARIE\Application Data\OpenOffice.org2
2008-03-30 19:01 . 2008-03-30 19:02 <REP> d-------- C:\Program Files\OpenOffice.org 2.4
2008-03-30 18:59 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-03-30 18:54 . 2008-03-31 20:02 <REP> d-------- C:\Program Files\Java
2008-03-30 18:54 . 2008-03-30 18:54 <REP> d-------- C:\Program Files\Fichiers communs\Java
2008-03-30 17:00 . 2008-03-30 17:00 91,700 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-03-30 17:00 . 2008-03-30 17:00 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-03-30 16:58 . 2008-03-30 16:58 <REP> d-------- C:\Program Files\Kaspersky Lab
2008-03-30 16:58 . 2008-04-02 18:11 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-03-30 16:58 . 2008-04-02 19:27 2,625,312 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-03-30 16:58 . 2008-04-02 19:27 67,872 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-03-30 16:58 . 2008-04-02 19:27 36,236 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-03-30 16:58 . 2008-04-02 19:27 7,436 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-03-30 16:10 . 2008-03-30 16:10 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-03-30 13:54 . 2008-03-30 16:04 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-03-30 00:52 . 2008-03-30 00:52 <REP> dr------- C:\Documents and Settings\LocalService\Favoris
2008-03-28 23:23 . 2008-03-28 23:23 1,494,510 --a------ C:\WINDOWS\system32\cfmom.exe
2008-03-28 23:23 . 2008-03-28 23:23 1,494,510 --a------ C:\WINDOWS\cdti.exe
2008-03-28 23:23 . 2008-04-02 19:26 5,224 --a------ C:\WINDOWS\ upd.dll
2008-03-28 23:04 . 2008-03-28 23:04 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ESET
2008-03-28 20:01 . 2007-03-28 20:42 29,704 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-03-28 20:00 . 2008-03-30 19:48 <REP> d-------- C:\Program Files\TuneUp Utilities 2007
2008-03-28 20:00 . 2008-03-28 20:00 <REP> d-------- C:\Documents and Settings\JEAN MARIE\Application Data\TuneUp Software
2008-03-28 19:59 . 2008-03-30 19:50 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-03-28 19:59 . 2008-03-28 19:59 <REP> d-------- C:\Documents and Settings\All Users\Application Data\TuneUp Software
2008-03-25 20:48 . 2008-03-25 20:48 148 --a------ C:\WINDOWS\Readiris.ini
2008-03-25 12:50 . 2008-03-25 12:50 0 --a------ C:\WINDOWS\musicmaker.INI
2008-03-25 12:39 . 2008-03-25 12:50 340 --a------ C:\WINDOWS\BeatBox.INI
2008-03-25 12:36 . 2004-08-11 21:53 38,912 --a------ C:\WINDOWS\system32\mgxasio.dll
2008-03-25 12:30 . 2008-03-25 12:30 <REP> d-------- C:\Program Files\Fichiers communs\MAGIX
2008-03-25 12:30 . 2007-04-27 10:43 120,200 --a------ C:\WINDOWS\system32\DLLDEV32i.dll
2008-03-25 11:19 . 2008-03-25 11:19 <REP> d-------- C:\Documents and Settings\JEAN MARIE\Application Data\MAGIX
2008-03-25 11:18 . 2003-04-18 17:46 1,233,920 --a------ C:\WINDOWS\system32\msxml4.dll
2008-03-25 11:18 . 2003-04-18 17:29 82,432 --a------ C:\WINDOWS\system32\msxml4r.dll
2008-03-25 11:18 . 2003-04-18 17:29 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2008-03-25 11:17 . 2008-03-25 11:18 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MAGIX
2008-03-25 11:17 . 2007-02-07 11:53 663,552 --a------ C:\WINDOWS\system32\mgxoschk.dll
2008-03-25 11:16 . 2008-03-25 11:21 <REP> d-------- C:\Program Files\Fichiers communs\MAGIX Shared
2008-03-25 11:14 . 1998-10-15 18:28 85,504 --a------ C:\WINDOWS\system32\HtmlWH.dll
2008-03-25 11:13 . 2008-03-25 12:56 <REP> d-------- C:\WINDOWS\system32\MAGIX
2008-03-25 11:13 . 2008-03-25 12:37 6,651 --a------ C:\WINDOWS\mgxoschk.ini
2008-03-24 02:17 . 2008-03-24 02:17 <REP> d-------- C:\Documents and Settings\All Users\Application Data\BASAL7
2008-03-22 23:15 . 2006-03-13 18:38 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-03-22 23:15 . 2006-03-13 18:38 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-03-22 23:15 . 2006-03-13 18:46 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-03-22 23:15 . 2006-03-13 18:38 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-03-22 23:15 . 2006-03-13 18:38 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-03-22 23:15 . 2006-03-13 18:38 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-03-22 23:15 . 2006-03-13 18:38 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-03-22 15:15 . 2008-03-22 15:15 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files
2008-03-22 01:04 . 2000-11-03 19:56 638,976 --a------ C:\WINDOWS\system32\eJ_Editorctrl.ocx
2008-03-22 01:03 . 2001-05-23 10:05 307,200 --a------ C:\WINDOWS\system32\drumpad.dll
2008-03-22 01:03 . 2000-03-29 02:58 280,576 --a------ C:\WINDOWS\system32\pxd_kom.dll
2008-03-22 01:03 . 2000-03-28 15:27 75,976 --a------ C:\WINDOWS\system32\BASSDEC.dll
2008-03-22 01:03 . 2001-04-01 19:16 45,056 --a------ C:\WINDOWS\system32\fader.dll
2008-03-21 18:53 . 2008-03-26 16:48 <REP> d-------- C:\Program Files\Ares
2008-03-21 18:43 . 2008-03-21 18:53 <REP> d-------- C:\Documents and Settings\JEAN MARIE\Application Data\BitTorrent
2008-03-20 21:18 . 2002-01-23 19:10 86,016 --a------ C:\WINDOWS\unvise32qt.exe
2008-03-20 21:15 . 2008-03-20 21:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\QuickTime
2008-03-20 19:48 . 2007-07-30 20:19 38,232 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-03-20 19:48 . 2007-07-30 20:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-03-20 19:48 . 2007-07-30 20:19 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-03-20 19:48 . 2007-07-30 20:18 21,336 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-03-19 17:30 . 2008-03-19 17:30 0 --a------ C:\WINDOWS\nsreg.dat
2008-03-19 17:15 . 2008-03-22 14:40 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2008-03-19 17:14 . 2008-04-02 19:08 <REP> d-------- C:\Program Files\Messenger Plus! Live
2008-03-19 16:59 . 2008-03-21 18:24 <REP> d-------- C:\Documents and Settings\JEAN MARIE\Contacts
2008-03-19 16:57 . 2008-04-02 19:08 <REP> d-------- C:\Program Files\MSN Messenger
2008-03-19 16:00 . 2007-01-11 12:18 31,547 -ra------ C:\WINDOWS\system32\drivers\usbiad.sys
2008-03-06 20:26 . 2008-03-28 22:01 <REP> d-------- C:\Program Files\Sony Ericsson

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-28 20:02 --------- d-----w C:\Program Files\Fichiers communs\Real
2008-03-28 19:23 --------- d-----w C:\Documents and Settings\JEAN MARIE\Application Data\ACAMPREF
2008-03-26 18:35 47,696 ----a-w C:\Program Files\print.pdf
2008-03-22 19:58 --------- d-----w C:\Program Files\Maxis
2008-02-24 17:05 52,224 --sha-w C:\Program Files\Thumbs.db
2008-02-24 17:05 --------- d-----w C:\Program Files\Micro Application
2008-02-16 18:23 --------- d-----w C:\Documents and Settings\JEAN MARIE\Application Data\vlc
2008-02-16 18:02 --------- d-----w C:\Program Files\VideoLAN
2008-02-10 10:55 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-02-08 16:37 219,664 ----a-w C:\WINDOWS\system32\klogon.dll
2008-02-08 16:35 23,604 ----a-w C:\WINDOWS\system32\drivers\klopp.dat
2008-02-02 12:15 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-02 12:13 --------- d-----w C:\Documents and Settings\JEAN MARIE\Application Data\XCPCSync.OEM
2008-02-02 12:12 --------- d-----w C:\Program Files\Ulead Systems
2008-02-02 12:12 --------- d-----w C:\Documents and Settings\All Users\Application Data\Ulead Systems
2008-02-02 12:10 --------- d-----w C:\Program Files\DivX
2008-02-02 11:59 --------- d-----w C:\Program Files\Wanadoo
2008-02-02 10:44 --------- d-----w C:\Program Files\Fichiers communs\Ahead
2006-07-10 22:36 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2006-02-03 16:37 17,943,552 ------w C:\Program Files\TIConnectV1.6_Fra.exe
2001-08-28 10:00 4,096 --sha-w C:\WINDOWS\system32\7776.dat
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AtiPTA"="atiptaxx.exe" [2001-09-27 02:39 245760 C:\WINDOWS\system32\atiptaxx.exe]
"mscdti"="C:\WINDOWS\cdti.exe" [2008-03-28 23:23 1494510]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2008-02-08 18:36 227856]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-28 12:00 13312]

C:\Documents and Settings\JEAN MARIE\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 2.4.lnk - C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 15:41:28 393216]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2008-02-02 14:25:23 110592]
BlueSoleil.lnk - C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe [2006-03-16 12:37:25 1183744]
hdip.exe [2008-03-24 02:03:49 55808]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Documents and Settings\\All Users\\Menu Démarrer\\Programmes\\Démarrage\\hdip.exe"=

S2 Ca533av;Cam 3200, WDM Video Capture;C:\WINDOWS\System32\Drivers\Ca533av.sys []
S2 cfm;cfm;C:\WINDOWS\system32\cfmom.exe [2008-03-28 23:23]
S2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2001-08-28 12:00]
S3 ati2mpaa;ati2mpaa;C:\WINDOWS\System32\DRIVERS\ati2mpaa.sys [2001-08-23 17:59]
S3 ati2mtaa;ati2mtaa;C:\WINDOWS\System32\DRIVERS\ati2mtaa.sys [2001-09-27 01:32]
S3 C-Dilla;C-Dilla;C:\WINDOWS\System32\drivers\CDANT.SYS [2002-04-03 14:17]
S3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\System32\DRIVERS\klim5.sys [2007-12-13 13:28]
S3 MBAMCatchMe;MBAMCatchMe;C:\Program Files\Malwarebytes' Anti-Malware\catchme.sys [2008-04-01 19:54]
S3 PALLADIA;Palladia 300/400 Usb Adsl Modem;C:\WINDOWS\System32\DRIVERS\usbiad.sys [2007-01-11 12:18]
S3 RescueDrv;Inventel Access Point USB Rescue Driver;C:\WINDOWS\System32\Drivers\resc_dwb.sys []
S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;C:\WINDOWS\System32\DRIVERS\sis163u.sys [2006-03-01 19:37]
S3 UPnPService;UPnPService;C:\Program Files\Fichiers communs\MAGIX Shared\UPnPService\UPnPService.exe [2006-12-14 17:00]
S3 USBCamera;DSC Still Image Capture (CA100);C:\WINDOWS\System32\Drivers\Bulk533.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{50C413FA-25F9-4C54-EB6C-03AE71A313CE}]
C:\WINDOWS\System32:svchost.exe
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-03-28 18:49:35 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
- C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-02 19:37:02
Windows 5.1.2600 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-04-02 19:38:09
ComboFix-quarantined-files.txt 2008-04-02 17:37:54
Pre-Run: 17,429,602,304 octets libres
Post-Run: 17,415,479,296 octets libres
.
2008-03-20 18:05:36 --- E O F ---

Petit probléme, mon antivirus a vient de detecter un virus et parait-il qu'il vient de Combofix, est-ce normal? Il s'appele virus Heur.Invader

PS: mon virus principal est helas toujours la!

Petit probléme, mon antivirus a vient de detecter un virus et parait-il qu'il vient de Combofix, est-ce normal? Il s'appele virus Heur.Invader
================
Oui, les outils que l'ont utilise ont des parties de codes ressemblant à des virus et ceci affole certains antivirus.

Tu peux me remettre un rapport Hijackthis STP