High-Tech Santé Médecine Droit-Finances

Grippe A

Que dois-je faire ?

Rechercher : dans
Par :

Virus fxstaller.exe

Dernière réponse le 30 déc 2008 à 20:59:50 Marie, le 3 nov 2008 à 20:10:34 
 Signaler ce message aux modérateurs

Bonjour,

A chaque fois que j'ouvre mon ordi un message m'apparaît. Il me demande d'exécuter le programme fxstaller.exe. J'ai downloadé trend micro hijack this et voici le contenu du bloc-notes.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:02:34, on 2008-11-03
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AGI\common\win32\PythonService.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Program Files\PrevxCSI\prevxcsi.exe
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe­
C:\WINDOWS\system32\svchost.exe
C:\Program Files\PrevxCSI\prevxcsi.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe­
C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\Documents and Settings\marcel\Mes documents\Picasa2\PicasaMediaDetector.exe
C:\Program Files\Kiwee Toolbar\2.8.167\kwtbaim.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://qc.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cf.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cf.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: AGSearchHook Class - {0BC6E3FA-78EF-4886-842C-5A1258C4455A} - C:\Program Files\AGI\common\agcutils.dll
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: AGSearchHook Class - {0BC6E3FA-78EF-4886-842C-5A1258C4455A} - C:\Program Files\AGI\common\agcutils.dll
O2 - BHO: Kiwee Toolbar - {6638A9DE-0745-4292-8A2E-AE530E7B9B3F} - C:\Program Files\Kiwee Toolbar\2.8.167\KiweeIEToolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O3 - Toolbar: Kiwee Toolbar - {6638A9DE-0745-4292-8A2E-AE530E7B9B3F} - C:\Program Files\Kiwee Toolbar\2.8.167\KiweeIEToolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [MyWebSearch Plugin] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL,UPF
O4 - HKLM\..\Run: [My Web Search Bar Search Scope Monitor] "C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=2 /w
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Documents and Settings\marcel\Mes documents\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [Windows UDP Control Center] fxstaller.exe
O4 - HKLM\..\Run: [KiweeHook] "C:\Program Files\Kiwee Toolbar\2.8.167\kwtbaim.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9f.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: IMVU.lnk = C:\Program Files\IMVU\IMVUClient.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZCxdm491YYCA
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Marie-Josée\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/...
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-CA/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6F750202-1362-4815-A476-88533DE61D0C} (Kodak Gallery Easy Upload Manager Class) - http://www.kodakgallery.fr/downloads/BUM/BUM_WIN_IE_2/axofupld.cab
O16 - DPF: {6F750203-1362-4815-A476-88533DE61D0C} (Kodak Gallery Easy Upload Manager Class) - http://www.kodakgallery.fr/downloads/BUM/BUM_WIN_IE_2/axofupld.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O18 - Protocol: intu-ir2007 - {52BAEC6B-9405-46F9-A131-6D50720A3CC4} - C:\Program Files\ImpotRapide 2007\ic2007pp.dll
O23 - Service: AG Windows Service (AGWinService) - Unknown owner - C:\Program Files\AGI\common\win32\PythonService.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: CSIScanner - Prevx - C:\Program Files\PrevxCSI\prevxcsi.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: My Web Search Service (MyWebSearchService) - MyWebSearch.com - C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
End of file - 12060 bytes

Pouvez-vous me dire comment enlever ce programme. Merci de votre aide

Configuration: Windows XP
Internet Explorer 7.0

Posez votre question Répondre

1

DllD, le 3 nov 2008 à 20:22:20

Bonsoir en effet,
Mais tu n'as pas que cela.

> Télécharge Toolbar-S&D (Team IDN) sur ton Bureau : http://eric.71.mespages.googlepages.com/ToolBarSD.exe
- Double-clique sur le raccourci de Toolbar-S&D
NB : Si tu es sous Vista : clique-droit sur le raccourci de Toolbar-S&D sur le Bureau et choisis "Exécuter en tant qu' Administrateur".
- Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
- Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
- Poste le rapport généré. (C:\TB.txt)



Ensuite,
> Télécharge SDFix sur ton bureau
- Double clique sur l'archive SDFix qui à été créé sur le Bureau et installe le programme (l'installation va créer un dossier (par défaut à la racine du disque dur) nommé SDFix).

> Démarre en mode sans échec (impératif) sans passer par MSconfig : (image) Si problème : tuto ici.
- Vas dans c:/SDFix et double-clique sur RunThis.bat
- Appuie sur < Y > puis < Entrée >....Le nettoyage commance....patience...
- Le programme va te demander de relancer le PC, frappe une touche...
- Le nettoyage se termine...un rapport apparait...
-Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse
NB : Le rapport se trouve aussi dans le dossier SDFix sous le nom Report.txt



Puis on continue.

Bon courage.

A+ Fire Walk with Me   ~~~~~~~~~~>   o_Ö   
URGENT !!! DONNEZ-MOI DES DRIVERS !!! JE VEUX DES DRIVERS ! AIDEZ-MOI ! VITE !!!!!
Hick, Hack et Crack-Boum-Euuuu  (créé par Tutéféniker©®™)

   
Répondre à DllD

2

philippe357, le 15 déc 2008 à 11:51:03

Bonjour,
j'ai un soucis avec, fxstaller.exe. J'ai suivis votre démarche et je me suis permis de poster le rapport. Vous êtes il possible d'y jeter un coup d'oeil. D'avance merci.

A+

Philippe357


-----------\\ ToolBar S&D 1.2.6 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.20GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : philippe TIJERAS ( Administrator )
BOOT : Normal boot
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:92 Go (Free:12 Go)
D:\ (Local Disk) - NTFS - Total:91 Go (Free:87 Go)
E:\ (Local Disk) - FAT32 - Total:2 Go (Free:0 Go)
F:\ (CD or DVD)
G:\ (CD or DVD)
I:\ (USB)
J:\ (USB) - FAT - Total:949 Mo (Free:0 Go)
K:\ (USB)
L:\ (USB)
M:\ (USB)

"C:\ToolBar SD" ( MAJ : 04-12-2008|20:40 )
Option : [1] ( 15/12/2008|11:42 )

-----------\\ Recherche de Fichiers / Dossiers ...

C:\WINDOWS\iun6002.exe

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.google.com"
"Start Page"="http://www.google.fr/"
"Search Bar"="http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="http://www.carrefour.fr"


--------------------\\ Recherche d'autres infections

C:\WINDOWS\Pack.epk
[b]==> EGDACCESS <==/b

C:\WINDOWS\system32\LkRqYJlm.ini
C:\WINDOWS\system32\LkRqYJlm.ini2
C:\WINDOWS\system32\UDLorBeg.ini
C:\WINDOWS\system32\UDLorBeg.ini2
C:\WINDOWS\system32\mlJYqRkL.dll
C:\WINDOWS\system32\geBroLDU.dll
[b]==> VUNDO <==/b




1 - "C:\ToolBar SD\TB_1.txt" - 15/12/2008|11:43 - Option : [1]

-----------\\ Fin du rapport a 11:43:46,06

   
Répondre à philippe357

3

DllD, le 15 déc 2008 à 13:39:27

Bonjour Philippe,

Depuis le temps Marie ne répondra plus....Elle répondra pas. Tu n'as qu'a prendre sa place.
Peut-on se tutoyer aussi ? C'est plus sympa.


Alors,
fais ceci stp :

> Télécharge Navilog1 de Il Mafioso : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip
- Enregistre-le sur ton Bureau puis décompresse-le en faisant un clic droit dessus puis « extraire-tout ».
- Double clique sur Navilog1.exe (NB : Si tu es sous Vista : clique-droit sur le programme et choisis "Exécuter en tant qu' Administrateur").
- Choisis pour la langue le français, puis l'option 1 et valide.
Attention : n’utilise surtout pas les options 2,3 ou 4 maintenant. (tu risquerais d’endommager ton PC)
- Patiente jusqu'au message : < Analyse Terminée le ..... > Ensuite appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir.
- Fais un copier coller du rapport généré et poste-le ici.
NB : Le rapport se trouve aussi à la racine de ton disque : fixnavi.txt





Ensuite,
Commence par poster un rapport HijackThis stp,
>Télécharge HiJackThis : http://www.commentcamarche.net/telecharger/telecharger-159-hijackthis
- Lance le programme, puis sélectionne <Do a system scan and save a logfile>
- Enregistre le rapport sur ton bureau.
Et envoie, par copier/coller, ton log Hijackthis sur le forum.




Bon courage.

A+

Tuto si problème : http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
Formatage en cours...3% Veuillez patienter. Merci.

   
Répondre à DllD

4

jlpjlp, le 16 déc 2008 à 15:18:44
   
Répondre à jlpjlp

5

DllD, le 16 déc 2008 à 18:16:53

Hello,

merci jlpjlp.

Je poste tes rapports ici Philippe. Merci de continuer sur la présente discussion ;)
Pas en MP non plus.



Bonjour,

J'ai fais plusieurs contrôles de mon ordi, que ce soit avec spy bot ou adware, je n'arrive pas à me débarrasser de fxstaller ainsi que de différents chevaux de Troie qui réapparaissent.
J'ai suivis les conseilles de D11D, dans un premier temps j'ai fais un contrôle avec ToolBarSD et ensuite SDFIX.
Je vous transmets le rapport si quelqu'un peut y jeter un coup d'oeil, d'avance merci et surtout me dire quelle est la marche suivre pour la suite.

A+

Philippe

-----------\\ ToolBar S&D 1.2.6 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.20GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : philippe TIJERAS ( Administrator )
BOOT : Normal boot
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:92 Go (Free:12 Go)
D:\ (Local Disk) - NTFS - Total:91 Go (Free:87 Go)
E:\ (Local Disk) - FAT32 - Total:2 Go (Free:0 Go)
F:\ (CD or DVD)
G:\ (CD or DVD)
I:\ (USB)
J:\ (USB) - FAT - Total:949 Mo (Free:0 Go)
K:\ (USB)
L:\ (USB)
M:\ (USB)

"C:\ToolBar SD" ( MAJ : 04-12-2008|20:40 )
Option : [1] ( 15/12/2008|11:42 )

-----------\\ Recherche de Fichiers / Dossiers ...

C:\WINDOWS\iun6002.exe

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.google.com"
"Start Page"="http://www.google.fr/"
"Search Bar"="http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="http://www.carrefour.fr"


--------------------\\ Recherche d'autres infections

C:\WINDOWS\Pack.epk
[b]==> EGDACCESS <==/b

C:\WINDOWS\system32\LkRqYJlm.ini
C:\WINDOWS\system32\LkRqYJlm.ini2
C:\WINDOWS\system32\UDLorBeg.ini
C:\WINDOWS\system32\UDLorBeg.ini2
C:\WINDOWS\system32\mlJYqRkL.dll
C:\WINDOWS\system32\geBroLDU.dll
[b]==> VUNDO <==/b




1 - "C:\ToolBar SD\TB_1.txt" - 15/12/2008|11:43 - Option : [1]

-----------\\ Fin du rapport a 11:43:46,06



[b]SDFix: Version 1.240 /b
Run by philippe TIJERAS on 15/12/2008 at 13:27

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services /b:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files /b:

Trojan Files Found:

C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMP10.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMP12.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMP15.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMP18.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMP1E.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMP33.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMP35.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMP3C.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMP3F.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMP40.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMP46.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMP47.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMP48.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMP56.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMP58.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMP59.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMP5B.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMP5D.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMP5E.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMP5F.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMP60.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMP61.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMP62.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMP63.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMP64.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMP65.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMP66.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMP7.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMP70.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMP78.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMP8.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMP9.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMPA.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMPB.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMPC.tmp - Deleted
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\TMPD.tmp - Deleted
C:\WINDOWS\fxstaller.exe - Deleted





Removing Temp Files

[b]ADS Check /b:



[b]Final Check /b:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-15 18:32:34
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services /b:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%ProgramFiles%\\Messenger\\msmsgs.exe"="%ProgramFiles%\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"%WinDir%\\system32\\fxsclnt.exe"="%WinDir%\\system32\\fxsclnt.exe:*:enabled:Microsoft Fax Console"
"C:\\Program Files\\EA GAMES\\Battlefield 1942\\BF1942.exe"="C:\\Program Files\\EA GAMES\\Battlefield 1942\\BF1942.exe:*:Disabled:BF1942"
"C:\\Program Files\\NovaLogic\\Joint Operations Typhoon Rising\\UPDATE.EXE"="C:\\Program Files\\NovaLogic\\Joint Operations Typhoon Rising\\UPDATE.EXE:*:Enabled:UPDATE"
"C:\\Program Files\\JVTorrent\\btdownloadgui.exe"="C:\\Program Files\\JVTorrent\\btdownloadgui.exe:*:Enabled:btdownloadgui"
"C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"="C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe:*:Enabled:Assistance … distance - Windows Messenger et voix"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\Program Files\\Hewlett-Packard\\HP Software Update\\HPWUCli.exe"="C:\\Program Files\\Hewlett-Packard\\HP Software Update\\HPWUCli.exe:*:Enabled:HP Software Update Client"
"C:\\Program Files\\EA GAMES\\La Bataille pour la Terre du Milieu(tm)\\patchget.dat"="C:\\Program Files\\EA GAMES\\La Bataille pour la Terre du Milieu(tm)\\patchget.dat:*:Enabled:patchgrabber"
"C:\\Program Files\\BitTornado\\btdownloadgui.exe"="C:\\Program Files\\BitTornado\\btdownloadgui.exe:*:Enabled:btdownloadgui"
"C:\\Soldat\\Soldat.exe"="C:\\Soldat\\Soldat.exe:*:Disabled:Soldat"
"C:\\Program Files\\GameSpy Arcade\\Aphex.exe"="C:\\Program Files\\GameSpy Arcade\\Aphex.exe:*:Enabled:GameSpy Arcade"
"D:\\dfbhdlc.exe"="D:\\dfbhdlc.exe:*:Enabled:dfbhdlc"
"D:\\UPDATE.EXE"="D:\\UPDATE.EXE:*:Enabled:UPDATE"
"C:\\Program Files\\Livecom\\Application\\eConfv4\\ftplayer.exe"="C:\\Program Files\\Livecom\\Application\\eConfv4\\ftplayer.exe:*:Disabled:eConf player"
"C:\\Program Files\\AOL 9.0\\WAOL.exe"="C:\\Program Files\\AOL 9.0\\WAOL.exe:*:Disabled:AOL 9.0"
"C:\\Program Files\\AOL 9.0\\AOL.exe"="C:\\Program Files\\AOL 9.0\\AOL.exe:*:Disabled:AOL 9.0"
"C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDIAL.exe"="C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDIAL.exe:*:Disabled:AOL 9.0 (Connectivity Service Dialer)"
"C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLACSD.exe"="C:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLACSD.exe:*:Disabled:AOL 9.0 (Connectivity Service)"
"D:\\Program Files\\iMesh\\iMesh5\\iMesh.exe"="D:\\Program Files\\iMesh\\iMesh5\\iMesh.exe:*:Disabled:iMesh 5"
"C:\\Program Files\\iMesh\\iMesh5\\iMesh.exe"="C:\\Program Files\\iMesh\\iMesh5\\iMesh.exe:*:Disabled:iMesh 5"
"C:\\Program Files\\EA GAMES\\La Bataille pour la Terre du Milieu(tm)\\game.dat"="C:\\Program Files\\EA GAMES\\La Bataille pour la Terre du Milieu(tm)\\game.dat:*:Disabled:La Bataille pour la Terre du Milieu(tm)"
"C:\\Program Files\\TribalWeb.net\\tribalweb.exe"="C:\\Program Files\\TribalWeb.net\\tribalweb.exe:*:Enabled:TribalWeb.net : R‚seau priv‚ sur Internet"
"C:\\Program Files\\LucasArts\\Star Wars JK II Jedi Outcast\\GameData\\jk2mp.exe"="C:\\Program Files\\LucasArts\\Star Wars JK II Jedi Outcast\\GameData\\jk2mp.exe:*:Enabled:jk2mp"
"C:\\Program Files\\Electronic Arts\\La Bataille pour la Terre du Milieu II\\patchget.dat"="C:\\Program Files\\Electronic Arts\\La Bataille pour la Terre du Milieu II\\patchget.dat:*:Enabled:patchgrabber"
"C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*:Enabled:Ex‚cuter une DLL en tant qu'application"
"C:\\Program Files\\BitTorrent\\bittorrent.exe"="C:\\Program Files\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"D:\\pc\\igi2.exe"="D:\\pc\\igi2.exe:*:Disabled:IGI2:Covert Strike"
"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\\Program Files\\Steam\\SteamApps\\philippe357\\half-life deathmatch source\\hl2.exe"="C:\\Program Files\\Steam\\SteamApps\\philippe357\\half-life deathmatch source\\hl2.exe:*:Enabled:hl2"
"C:\\WINDOWS\\system32\\rtcshare.exe"="C:\\WINDOWS\\system32\\rtcshare.exe:*:Enabled:Partage de l'application RTC"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\WINDOWS\\system32\\PnkBstrA.exe"="C:\\WINDOWS\\system32\\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\\WINDOWS\\system32\\PnkBstrB.exe"="C:\\WINDOWS\\system32\\PnkBstrB.exe:*:Enabled:PnkBstrB"
"C:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"="C:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM) "
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Disabled:eMule"
"C:\\Program Files\\Codemasters\\IGI 2\\pc\\igi2.exe"="C:\\Program Files\\Codemasters\\IGI 2\\pc\\igi2.exe:*:Disabled:IGI2:Covert Strike"
"C:\\Program Files\\IncrediMail\\bin\\IncMail.exe"="C:\\Program Files\\IncrediMail\\bin\\IncMail.exe:*:Disabled:IncrediMail"
"C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"="C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe:*:Disabled:IncrediMail"
"C:\\Program Files\\IncrediMail\\bin\\ImApp.exe"="C:\\Program Files\\IncrediMail\\bin\\ImApp.exe:*:Disabled:IncrediMail"
"C:\\Program Files\\NovaLogic\\Joint Operations Typhoon Rising\\Jointops.exe"="C:\\Program Files\\NovaLogic\\Joint Operations Typhoon Rising\\Jointops.exe:*:Disabled:Jointops"
"C:\\Program Files\\Electronic Arts\\La Bataille pour la Terre du Milieu II\\game.dat"="C:\\Program Files\\Electronic Arts\\La Bataille pour la Terre du Milieu II\\game.dat:*:Disabled:La Bataille pour la Terre du Milieu T II"
"C:\\Program Files\\Quake III Arena\\quake3.exe"="C:\\Program Files\\Quake III Arena\\quake3.exe:*:Disabled:quake3"
"C:\\games\\RedFaction\\rf.exe"="C:\\games\\RedFaction\\rf.exe:*:Disabled:Red Faction"
"C:\\games\\RedFaction\\RedFaction.exe"="C:\\games\\RedFaction\\RedFaction.exe:*:Disabled:Red Faction Launcher"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%ProgramFiles%\\Messenger\\msmsgs.exe"="%ProgramFiles%\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"%ProgramFiles%\\AOL 9.0\\AOL.exe"="%ProgramFiles%\\AOL 9.0\\AOL.exe:*:enabled:AOL 9.0"
"%ProgramFiles%\\AOL 9.0\\WAOL.exe"="%ProgramFiles%\\AOL 9.0\\WAOL.exe:*:enabled:AOL 9.0"
"%CommonProgramFiles%\\AOL\\ACS\\AOLACSD.exe"="%CommonProgramFiles%\\AOL\\ACS\\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service)"
"%CommonProgramFiles%\\AOL\\ACS\\AOLDIAL.exe"="%CommonProgramFiles%\\AOL\\ACS\\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer)"
"%WinDir%\\system32\\fxsclnt.exe"="%WinDir%\\system32\\fxsclnt.exe:*:enabled:Microsoft Fax Console"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files /b:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes /b:

Mon 14 Apr 2008 1,695,232 A.SH. --- "C:\Program Files\Messenger\msmsgs.exe"
Wed 22 Oct 2008 949,072 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\advcheck.dll"
Thu 14 Aug 2008 1,429,840 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Wed 30 Jul 2008 4,891,984 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Wed 22 Oct 2008 962,896 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\Tools.dll"
Wed 27 Oct 2004 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Fri 16 Sep 2005 2,687 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv10.bak"
Mon 4 Dec 2006 1,544 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv11.bak"
Thu 28 Dec 2006 1,163 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv12.bak"
Sat 30 Sep 2006 2,687 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv13.bak"
Thu 24 May 2007 1,544 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv14.bak"
Sat 9 Jun 2007 782 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv15.bak"
Sun 12 Nov 2006 1,544 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv16.bak"
Sun 3 Feb 2008 1,544 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv17.bak"
Mon 4 Dec 2006 1,925 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv18.bak"
Sun 12 Nov 2006 1,163 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv19.bak"
Thu 19 Jun 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Mon 18 Apr 2005 60,201,096 A..H. --- "C:\Documents and Settings\nathalie TIJERAS\Local Settings\Temp\dn24.tmp"
Wed 13 Apr 2005 4,686,852 A..H. --- "C:\Documents and Settings\nathalie TIJERAS\Local Settings\Temp\dn241.tmp"
Tue 12 Apr 2005 62,956,971 A..H. --- "C:\Documents and Settings\nathalie TIJERAS\Local Settings\Temp\dn246.tmp"
Tue 19 Apr 2005 6,196,054 A..H. --- "C:\Documents and Settings\nathalie TIJERAS\Local Settings\Temp\dn25.tmp"
Sat 4 Jun 2005 60,201,096 A..H. --- "C:\Documents and Settings\nathalie TIJERAS\Local Settings\Temp\dn26.tmp"
Thu 21 Apr 2005 60,201,096 A..H. --- "C:\Documents and Settings\nathalie TIJERAS\Local Settings\Temp\dn2D9.tmp"
Sun 1 Oct 2006 174 A..H. --- "C:\Documents and Settings\nathalie TIJERAS\Local Settings\Temp\Free Download Manager\tic5.tmp"
Sun 1 Oct 2006 53 A..H. --- "C:\Documents and Settings\nathalie TIJERAS\Local Settings\Temp\Free Download Manager\tic7.tmp"
Sun 1 Oct 2006 151 A..H. --- "C:\Documents and Settings\nathalie TIJERAS\Local Settings\Temp\Free Download Manager\ticA.tmp"
Wed 1 Nov 2006 0 ...H. --- "C:\Documents and Settings\philippe TIJERAS\Application Data\Microsoft\Word\~WRL0005.tmp"
Wed 27 Oct 2004 4,348 ...H. --- "C:\Documents and Settings\philippe TIJERAS\Mes documents\Ma musique\Sauvegarde de la licence\drmv1key.bak"
Wed 27 Oct 2004 20 A..H. --- "C:\Documents and Settings\philippe TIJERAS\Mes documents\Ma musique\Sauvegarde de la licence\drmv1lic.bak"
Wed 27 Oct 2004 312 A.SH. --- "C:\Documents and Settings\philippe TIJERAS\Mes documents\Ma musique\Sauvegarde de la licence\drmv2key.bak"
Thu 13 Oct 2005 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\7e808a3c27f845e09ebb11aa4251afd5\BIT8.tmp"
Mon 15 Dec 2008 5,940 A.SH. --- "C:\Documents and Settings\All Users\Documents\Recorded TV\TempRec\TempSBE\SBE2.tmp"

[b]Finished!/b

Configuration: Windows XP
Internet Explorer 7.0






Je t'envoie la suite sous peu.


A+
Formatage en cours...3% Veuillez patienter. Merci.

   
Répondre à DllD

6

DllD, le 16 déc 2008 à 18:21:43

Ok,

alors fais ceci stp :

> Télécharge Navilog1 de Il Mafioso : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip
- Enregistre-le sur ton Bureau puis décompresse-le en faisant un clic droit dessus puis « extraire-tout ».
- Double clique sur Navilog1.exe (NB : Si tu es sous Vista : clique-droit sur le programme et choisis "Exécuter en tant qu' Administrateur").
- Choisis pour la langue le français, puis l'option 1 et valide.
Attention : n’utilise surtout pas les options 2,3 ou 4 maintenant. (tu risquerais d’endommager ton PC)
- Patiente jusqu'au message : < Analyse Terminée le ..... > Ensuite appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir.
- Fais un copier coller du rapport généré et poste-le ici.
NB : Le rapport se trouve aussi à la racine de ton disque : fixnavi.txt





Ensuite,
>Télécharge HiJackThis : http://www.commentcamarche.net/telecharger/telecharger-159-hijackthis
- Lance le programme, puis sélectionne <Do a system scan and save a logfile>
- Enregistre le rapport sur ton bureau.
Et envoie, par copier/coller, ton log Hijackthis sur le forum.




Après on passe à ton infection Vundo.



A+
Formatage en cours...3% Veuillez patienter. Merci.

   
Répondre à DllD

7

philippe357, le 17 déc 2008 à 14:14:04

Bonjour D11D,

Je te transmets le rapport de NAVILOG:

Search Navipromo version 3.7.0 commencé le 16/12/2008 à 19:00:56,81

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 10.12.2008 à 21h00 par IL-MAFIOSO

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.20GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : philippe TIJERAS ( Administrator )
BOOT : Normal boot




A:\ (USB)
C:\ (Local Disk) - NTFS - Total:92 Go (Free:14 Go)
D:\ (Local Disk) - NTFS - Total:91 Go (Free:87 Go)
E:\ (Local Disk) - FAT32 - Total:2 Go (Free:0 Go)
F:\ (CD or DVD)
G:\ (CD or DVD)
H:\ (Local Disk) - NTFS - Total:232 Go (Free:33 Go)
I:\ (USB)
J:\ (USB)
K:\ (USB)
L:\ (USB)
M:\ (USB)


Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\philippe TIJERAS\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\NATHAL~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\TEMP\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\philippe TIJERAS\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\NATHAL~1\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\TEMP\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\philippe TIJERAS\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\INVIT~1\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\NATHAL~1\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\TEMP\menudm~1\progra~1" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\philippe TIJERAS\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\NATHAL~1\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\TEMP\locals~1\applic~1" *



*** Recherche fichiers ***


C:\WINDOWS\pack.epk trouvé !

*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\philippe TIJERAS\locals~1\applic~1" :


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :


* Dans "C:\DOCUME~1\INVIT~1\locals~1\applic~1" :


* Dans "C:\DOCUME~1\NATHAL~1\locals~1\applic~1" :


* Dans "C:\DOCUME~1\TEMP\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :

C:\WINDOWS\system32\LkRqYJlm.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\UDLorBeg.ini2 trouvé ! Infection Vundo possible non traitée par cet outil !


*** Analyse terminée le 16/12/2008 à 19:07:47,89 ***

J'ai pas desoucis à ouvrir ma session, cela devient de plus en plus difficile.

A+

Philippe

   
Répondre à philippe357

8

philippe357, le 17 déc 2008 à 14:49:22

Re bonjour D11D,

je te transmets le rapport HijackThis fait ce jour:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:43:19, on 17/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
C:\Program Files\CA\eTrust Antivirus\InoRT.exe
C:\Program Files\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZIPM12.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\WINDOWS\system32\hphmon05.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\PROGRA~1\SYSTRAN\4_0\Premium\SY1E22~1.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.carrefour.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: (no name) - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - (no file)
O3 - Toolbar: Premium 4.0 - {F9443A0B-6BFD-11D7-ACD0-00B0D094B576} - C:\Program Files\SYSTRAN\4_0\Premium\IEPlugin.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {6638A9DE-0745-4292-8A2E-AE530E7B9B3F} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\PROGRA~1\AQUATI~1\AQ3HEL~1.EXE /partner AQ3
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [fca26a95] rundll32.exe "C:\WINDOWS\system32\ahasovye.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [two hole] C:\Documents and Settings\philippe TIJERAS\Application Data\platform does\active ball jump.exe
O4 - HKCU\..\Run: [E06FDXRC_16528109] "D:\Collection Microsoft Encarta 2006\EDICT.EXE" -m
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.defenza.com
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.update.microsoft.com/...
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://express.foto.com/ImageUploader5.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6662.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://express.foto.com/NewUploader/ImageUploader4.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/...
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O16 - DPF: {FB90BA05-66E6-4C56-BCD3-D65B0F7EBA39} (Foto.com SpeedUploader 1.0 Control) - http://express.foto.com/SFUploader/SpeedUploader.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: jmglio.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Client de licence CA (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZIPM12.EXE
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
End of file - 13348 bytes

Comme je te le disais dans le dernier message, j'ai l'impression que je perds le contrôle da mon ordi, j'ai de plus en plus de difficulté à ouvrir ma session.

Bonne journée

A+

Philippe

   
Répondre à philippe357

9

DllD, le 17 déc 2008 à 16:47:16
  • +1

Salut Philippe,

C'est un peu normal : tu as une belle brochette d'infections.

Bon,
fais ceci stp :

> Télécharge ComboFix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe (par sUBs) sur ton Bureau.
Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement.
- Double clique combofix.exe
- Tape sur la touche 1 (Yes) pour démarrer le scan.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer la machine.
- Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
PS2 : Il peut s'avérer que le rapport Combofix soit trop long pour être supporter par CCM.net. Dans ce cas utilise ce service http://www.cijoint.fr pour me l'envoyer (dépose le fichier puis poste le lien sur le forum).




Bon courage.

A+
Formatage en cours...3% Veuillez patienter. Merci.

   
Répondre à DllD

10

philippe357, le 17 déc 2008 à 17:50:55

Salut D11D,

je te transmets le rapport de combofix,

A+

Philippe




ComboFix 08-12-16.03 - philippe TIJERAS 2008-12-17 17:32:34.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1535.943 [GMT 1:00]
Lancé depuis: c:\documents and settings\philippe TIJERAS\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\philippe TIJERAS\Menu Démarrer\Antivirus 360
c:\documents and settings\philippe TIJERAS\Menu Démarrer\Antivirus 360\Help.lnk
c:\windows\pack.epk
c:\windows\system\oeminfo.ini
c:\windows\system32\ahasovye.dll
c:\windows\system32\ahnwmu.dll
c:\windows\system32\cipluxil.ini
c:\windows\system32\dbmoieht.dll
c:\windows\system32\dmmmiwjw.dll
c:\windows\system32\dnlqby.dll
c:\windows\system32\eyvosaha.ini
c:\windows\system32\geBroLDU.dll
c:\windows\system32\geBtUlkH.dll
c:\windows\system32\gheeepat.ini
c:\windows\system32\gofxavau.dll
c:\windows\system32\iwtiry.dll
c:\windows\system32\jkkHYoNe.dll
c:\windows\system32\jkmxhxqf.ini
c:\windows\system32\jmglio.dll
c:\windows\system32\jxwcoxnf.ini
c:\windows\system32\kmqskgvw.dll
c:\windows\system32\lcpbcqcv.dll
c:\windows\system32\lixulpic.dll
c:\windows\system32\ljlyobwq.dll
c:\windows\system32\LkRqYJlm.ini
c:\windows\system32\LkRqYJlm.ini2
c:\windows\system32\lpvrcklj.ini
c:\windows\system32\luiwhdwo.dll
c:\windows\system32\lxrmed.dll
c:\windows\system32\mcrh.tmp
c:\windows\system32\mlJYqRkL.dll
c:\windows\system32\mwsrdeqw.dll
c:\windows\system32\omjgwyxw.dll
c:\windows\system32\pluhjqai.dll
c:\windows\system32\sirenacm(2).dll
c:\windows\system32\theiombd.ini
c:\windows\system32\uavaxfog.ini
c:\windows\system32\UDLorBeg.ini
c:\windows\system32\UDLorBeg.ini2
c:\windows\system32\uxyxxm.dll
c:\windows\system32\wqedrswm.ini
c:\windows\system32\xbfcnx.dll
c:\windows\system32\xsxmocai.dll
c:\windows\Tasks\ypxybcnk.job

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BOONTY_GAMES
-------\Service_Boonty Games


((((((((((((((((((((((((((((( Fichiers créés du 2008-11-17 au 2008-12-17 ))))))))))))))))))))))))))))))))))))
.

2008-12-17 17:38 . 2008-12-17 17:38 <REP> d-------- c:\windows\LastGood
2008-12-17 14:42 . 2008-12-17 14:42 <REP> d-------- c:\program files\Trend Micro
2008-12-16 18:58 . 2008-12-16 20:42 <REP> d-------- c:\program files\Navilog1
2008-12-15 20:32 . 2008-12-15 20:32 244 --ah----- C:\sqmnoopt01.sqm
2008-12-15 20:32 . 2008-12-15 20:32 244 --ah----- C:\sqmnoopt00.sqm
2008-12-15 20:32 . 2008-12-15 20:32 232 --ah----- C:\sqmdata01.sqm
2008-12-15 20:32 . 2008-12-15 20:32 232 --ah----- C:\sqmdata00.sqm
2008-12-15 18:50 . 2006-12-28 12:01 19,569 --a------ c:\windows\[u]0/u00002_.tmp
2008-12-15 13:26 . 2008-12-15 13:26 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll
2008-12-15 13:22 . 2008-12-15 13:22 <REP> d-------- c:\windows\ERUNT
2008-12-15 12:59 . 2008-12-15 18:35 <REP> d-------- C:\SDFix
2008-12-15 11:40 . 2008-12-15 11:43 <REP> d-------- C:\ToolBar SD
2008-12-15 11:03 . 2006-12-28 12:01 19,569 --a------ c:\windows\[u]0/u00001_.tmp
2008-12-13 21:07 . 2008-12-16 15:06 <REP> d-------- c:\program files\AxBx
2008-12-13 20:50 . 2008-12-13 20:50 84 --a------ c:\windows\system32\ikhcore.cfg
2008-12-13 20:28 . 2008-12-13 20:28 <REP> d-------- c:\windows\system32\runtime
2008-12-13 13:56 . 2008-12-13 13:56 <REP> d-------- c:\windows\report
2008-12-13 13:56 . 2008-12-13 13:55 21,415,977 --a------ c:\windows\LPT$VPN.707
2008-12-13 13:55 . 2008-12-13 13:55 <REP> d-------- c:\windows\AU_Backup
2008-12-13 13:55 . 2008-12-13 13:55 21,415,977 --a------ c:\windows\VPTNFILE.707
2008-12-13 13:55 . 2008-12-13 13:55 1,973,120 --a------ c:\windows\tsc.ptn
2008-12-13 13:55 . 2008-12-13 13:55 1,213,784 --a------ c:\windows\vsapi32.dll
2008-12-13 13:55 . 2008-12-13 13:55 345,157 --a------ c:\windows\tsc.exe
2008-12-13 13:55 . 2008-12-13 13:55 91,744 --a------ c:\windows\BPMNT.dll
2008-12-13 13:55 . 2008-12-13 13:55 71,749 --a------ c:\windows\hcextoutput.dll
2008-12-13 13:55 . 2008-12-13 18:37 823 --a------ c:\windows\tsc.ini
2008-12-13 13:51 . 2008-12-13 13:55 <REP> d-------- c:\windows\AU_Temp
2008-12-13 13:51 . 2008-12-13 13:51 <REP> d-------- c:\windows\AU_Log
2008-12-13 13:51 . 2008-12-13 13:51 507,904 --a------ c:\windows\TMUPDATE.DLL
2008-12-13 13:51 . 2008-12-13 13:51 286,720 --a------ c:\windows\PATCH.EXE
2008-12-13 13:51 . 2008-12-13 13:51 69,689 --a------ c:\windows\UNZIP.DLL
2008-12-13 13:51 . 2008-12-13 13:51 170 --a------ c:\windows\GetServer.ini
2008-12-11 21:39 . 2008-12-11 21:40 <REP> d--h----- c:\windows\msdownld.tmp
2008-12-11 21:39 . 2008-12-11 21:39 <REP> d-------- c:\windows\Logs
2008-12-11 21:24 . 2008-12-11 21:30 <REP> d-------- c:\program files\QUAD Utilities
2008-12-11 15:21 . 2008-12-12 13:47 <REP> d-------- c:\program files\A360
2008-12-10 10:53 . 2008-12-11 09:30 26,162 --a------ C:\iri.exe
2008-12-04 20:50 . 2008-12-17 15:25 202,040 --a------ c:\windows\system32\PnkBstrB.exe
2008-12-04 20:50 . 2008-12-17 15:25 137,688 --a------ c:\windows\system32\drivers\PnkBstrK.sys
2008-12-04 20:50 . 2008-12-04 20:53 66,872 --a------ c:\windows\system32\PnkBstrA.exe
2008-12-04 20:50 . 2008-12-04 20:50 22,328 --a------ c:\documents and settings\philippe TIJERAS\Application Data\PnkBstrK.sys
2008-11-24 17:09 . 2008-11-24 17:28 <REP> d-------- c:\program files\NOS
2008-11-24 17:09 . 2008-11-24 17:31 <REP> d-------- c:\documents and settings\All Users\Application Data\NOS
2008-11-23 19:01 . 2008-11-23 19:01 <REP> d-------- c:\documents and settings\TEMP\Application Data\Apple Computer
2008-11-23 18:46 . 2008-11-23 18:46 <REP> d-------- c:\program files\iTunes
2008-11-23 18:46 . 2008-11-23 18:46 <REP> d-------- c:\program files\iPod
2008-11-23 18:46 . 2008-11-23 18:46 <REP> d-------- c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-17 16:32 --------- d-----w c:\documents and settings\philippe TIJERAS\Application Data\Skype
2008-12-17 15:03 --------- d-----w c:\documents and settings\philippe TIJERAS\Application Data\skypePM
2008-12-17 12:39 --------- d-----w c:\documents and settings\All Users\Application Data\Google Updater
2008-12-15 19:59 --------- d-----w c:\program files\Bonjour
2008-12-15 08:08 --------- d-----w c:\program files\Google
2008-12-13 20:02 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP
2008-12-12 09:14 --------- d-----w c:\program files\Windows Live Safety Center
2008-12-09 17:01 322 ----a-w C:\ffmpeg_debug.bat
2008-12-09 17:01 315 ----a-w C:\ffmpeg.bat
2008-12-03 09:18 --------- d-----w c:\program files\Ripp-it_AM
2008-11-24 19:43 --------- d-----w c:\program files\QuickTime
2008-11-23 17:43 --------- d-----w c:\program files\Fichiers communs\Apple
2008-11-23 17:32 --------- d-----w c:\program files\Safari
2008-11-16 15:03 --------- d-----w c:\program files\OpenOffice.org 3
2008-11-16 14:43 --------- d-----w c:\documents and settings\philippe TIJERAS\Application Data\OpenOffice.org
2008-11-15 20:23 --------- d-----w c:\documents and settings\LocalService\Application Data\agi
2008-11-15 20:22 --------- d-----w c:\documents and settings\TEMP\Application Data\agi
2008-11-13 19:19 --------- d-----w c:\program files\Fichiers communs\Adobe
2008-11-13 13:23 --------- d-----w c:\program files\Fichiers communs\logishrd
2008-11-09 18:50 --------- d-----w c:\program files\BoontyGames
2008-11-09 15:19 --------- d-----w c:\program files\Spybot - Search & Destroy
2008-11-09 08:49 --------- d-----w c:\program files\OpenOffice.org 2.4
2008-11-02 10:50 --------- d-----w c:\documents and settings\nathalie TIJERAS\Application Data\OpenOffice.org2
2008-11-01 19:55 --------- d-----w c:\documents and settings\philippe TIJERAS\Application Data\OpenOffice.org2
2008-10-31 06:39 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-10-27 08:33 --------- d-----w c:\program files\Studio-Scrap
2008-10-26 23:12 230 ----a-w C:\muxmp4.bat
2008-10-26 20:33 --------- d-----w c:\program files\AviSynth 2.5
2008-10-25 09:56 --------- d-----w c:\documents and settings\philippe TIJERAS\Application Data\Apple Computer
2008-10-25 09:31 --------- d-----w c:\program files\LucasArts
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-22 07:23 --------- d-----w c:\program files\eRightSoft
2008-10-21 10:08 --------- d-----w c:\program files\IncrediMail
2008-05-03 07:24 0 -c--a-w c:\program files\temp01
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-04-23 22058792]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-12 68856]
"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"Realtime Monitor"="c:\progra~1\CA\ETRUST~1\realmon.exe" [2003-03-21 487696]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2004-07-15 32768]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-07-25 188416]
"HPHUPD05"="c:\program files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe" [2003-08-21 49152]
"HPHmon05"="c:\windows\system32\hphmon05.exe" [2003-08-21 483328]
"HP Component Manager"="c:\program files\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 241664]
"HP Software Update"="c:\program files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-09-14 185632]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-05 8523776]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-09-06 413696]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 c:\windows\system32\Hdaudpropshortcut.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2005-03-04 c:\windows\AGRSMMSG.exe]
"nwiz"="nwiz.exe" [2007-12-05 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-02-02 110592]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=jmglio.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%ProgramFiles%\\Messenger\\msmsgs.exe"=
"%WinDir%\\system32\\fxsclnt.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Hewlett-Packard\\HP Software Update\\HPWUCli.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\WINDOWS\\system32\\rtcshare.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R2 LogWatch;Event Log Watch;"c:\program files\CA\SharedComponents\CA_LIC\LogWatNT.exe" [2002-09-20 53248]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [2004-10-06 1272000]
S3 CA_LIC_CLNT;Client de licence CA;"c:\program files\CA\SharedComponents\CA_LIC\lic98rmt.exe" [2002-09-20 77824]
S3 CA_LIC_SRVR;Serveur de licence CA;"c:\program files\CA\SharedComponents\CA_LIC\lic98rmtd.exe" [2002-09-20 77824]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\DRIVERS\fbxusb32.sys [2008-03-02 21344]
.
Contenu du dossier 'Tâches planifiées'

2008-10-27 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2008-12-17 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-12-13 20:22]

2008-12-12 c:\windows\Tasks\Maintenance en 1 clic.job
- c:\program files\TuneUp Utilities 2004\SystemOptimizer.exe []

2008-03-02 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]

2008-12-16 c:\windows\Tasks\WebReg 20061215215211.job
- c:\program files\Hewlett-Packard\Digital Imaging\bin\hpqwrg.exe [2002-10-16 14:39]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{026DEBBB-A506-4E01-A9E6-0F259A74F8C6} - (no file)
BHO-{35AB8832-1BA6-4CA8-9F55-145E17DAF561} - (no file)
BHO-{6638A9DE-0745-4292-8A2E-AE530E7B9B3F} - (no file)
BHO-{6e86bfee-4f68-4163-b2ec-0cac7ced5d23} - (no file)
BHO-{775BC9DB-F68A-40F1-83E5-5D3E8BEE0903} - (no file)
BHO-{89F59C94-3909-493F-90C9-38CDE20A5AAF} - (no file)
BHO-{b543a3c2-8b8f-4a04-8ebc-a23664e17dba} - c:\windows\system32\jmglio.dll
BHO-{BB062BDD-D6AD-476F-995C-1990584D6306} - c:\windows\system32\geBroLDU.dll
BHO-{bebaf313-8344-4090-8c24-a2b20cafb39f} - (no file)
BHO-{fc671755-728f-452f-a3b8-348734c1fe2a} - (no file)
Toolbar-{6638A9DE-0745-4292-8A2E-AE530E7B9B3F} - (no file)
WebBrowser-{6638A9DE-0745-4292-8A2E-AE530E7B9B3F} - (no file)
HKCU-Run-MessengerPlus3 - c:\program files\MessengerPlus! 3\MsgPlus.exe
HKCU-Run-two hole - c:\documents and settings\philippe TIJERAS\Application Data\platform does\active ball jump.exe
HKCU-Run-E06FDXRC_16528109 - d:\collection microsoft encarta 2006\EDICT.EXE
HKLM-Run-AQ3HelperStartUp - c:\progra~1\AQUATI~1\AQ3HEL~1.EXE
HKLM-Run-MessengerPlus3 - c:\program files\MessengerPlus! 3\MsgPlus.exe
HKLM-Run-Cmaudio - cmicnfg.cpl
HKLM-Run-Dit - Dit.exe
Notify-ljJYOfFW - ljJYOfFW.dll


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://www.carrefour.fr
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

c:\windows\Downloaded Program Files\InstallerControl.dll - O16 -: CabBuilder
hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
c:\windows\Downloaded Program Files\OSDC5.OSD

O16 -: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} - hxxp://minitelweb.minitel.com/imin_data/ocx/MDM.cab
c:\windows\Downloaded Program Files\MDM.inf

c:\windows\system32\unicows.dll - c:\windows\Downloaded Program Files\ImageUploader5.ocx
O16 -: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3}
hxxp://express.foto.com/ImageUploader5.cab
c:\windows\Downloaded Program Files\ImageUploader5.inf

c:\windows\system32\msvcp60.dll - c:\windows\system32\atl.dll
c:\windows\Downloaded Program Files\AdVerifierADP.dll
c:\windows\Downloaded Program Files\AdSignerADP.dll
O16 -: {88764F69-3831-4EC1-B40B-FF21D8381345}
hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
c:\windows\Downloaded Program Files\AdSignerADP.inf

c:\windows\system32\unicows.dll - c:\windows\Downloaded Program Files\SpeedUploader.ocx
O16 -: {FB90BA05-66E6-4C56-BCD3-D65B0F7EBA39}
hxxp://express.foto.com/SFUploader/SpeedUploader.cab
c:\windows\Downloaded Program Files\SpeedUploader.inf
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-17 17:39:25
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\ehome\ehrecvr.exe
c:\windows\ehome\ehSched.exe
c:\program files\CA\eTrust Antivirus\InoRpc.exe
c:\program files\CA\eTrust Antivirus\InoRT.exe
c:\program files\CA\eTrust Antivirus\InoTask.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\spool\drivers\w32x86\3\HPZIPM12.EXE
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\windows\ehome\mcrdsvc.exe
c:\windows\system32\dllhost.exe
c:\windows\system32\wscntfy.exe
c:\windows\ehome\ehmsas.exe
c:\windows\system32\rundll32.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Heure de fin: 2008-12-17 17:42:10 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-12-17 16:42:07

Avant-CF: 15 775 391 744 octets libres
Après-CF: 16,789,925,888 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

312 --- E O F --- 2008-12-17 16:40:26

   
Répondre à philippe357

11

DllD, le 17 déc 2008 à 18:25:28
  • +1

Re,

Ok, le PC doit déjà aller mieux, non ?


Bon,
maintenant :
> Télécharge OTMoveIT_3 (de Old_Timer) : http://oldtimer.geekstogo.com/OTMoveIt3.exe sur ton bureau...
- Double-clique sur OTMoveIt3.exe pour le lancer.
- Copie le texte qui se trouve ci-dessous et colle-le dans le cadre de gauche de OTMoveIt nommé < Paste standard List of Files/Folders to be moved > ( Image ). 

:processes
explorer.exe

:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"CTFMON.EXE"="-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"NeroFilterCheck"=-
"iTunesHelper"=-
"QuickTime Task"=-   
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] 
"CTFMON.EXE"=-

:files
c:\windows\[u]0/u00002_.tmp  
c:\windows\[u]0/u00001_.tmp  
c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} 
C:\Program Files\Fichiers communs\BOONTY Shared
C:\Program Files\Boonty
C:\Program Files\BoontyGames 

:commands
[emptytemp]
[start explorer]
[reboot]

- Clique sur < MoveIt! > pour lancer la suppression.
N.B :Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.
Un rapport est créé dans %SYSTEMDRIVE%\_OTMoveIt\MovedFiles\date du jour (souvent C:\_OTMoveIt\MovedFiles\), copie-colle-le dans ta réponse suivante.






Ensuite,
j'ai un doute sur un fichier. Donc :
> Rends toi sur le site Virus Total : http://www.virustotal.com/fr/ et fais analyser le/les fichier(s) suivant(s) : (Clique sur <parcourir> puis copie/colle la/les ligne(s) dans le cadre "Nom du Fichier", ensuite valide par <Ouvrir>. Clique alors sur <Envoyer un fichier>) 

C:\iri.exe

et poste le/les résultat(s) par copier/coller (ou le/les lien(s) http, c'est plus rapide et préférable).
N.B. : Les fichiers doivent être analysés un par un. Ouvrir plusieurs fenêtres sur Virus Total peut bloquer les envois.





Pour finir,
poste un nouveau rapport HiJackT stp.





Il reste une étape avant la fin.
Comment va le PC aussi ?



A+
Formatage en cours...3% Veuillez patienter. Merci.

   
Répondre à DllD

13

philippe357, le 17 déc 2008 à 18:57:26

Voila pour l'analyse de virus total:


Fichier iri.exe reçu le 2008.12.17 17:55:39 (CET)
Situation actuelle: terminé

Résultat: 22/37 (59.46%)
Formaté Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - Worm/IrcBot.52786.2
Authentium - - W32/Trojan3.QR
Avast - - Win32:Trojan-gen {Other}
AVG - - BackDoor.Ircbot.GJG
BitDefender - - Backdoor.RBot.YBW
CAT-QuickHeal - - -
ClamAV - - -
Comodo - - -
DrWeb - - Trojan.Inject.5299
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - W32/Trojan3.QR
F-Secure - - Trojan.Win32.Agent.aukq
Fortinet - - W32/Agent.AUKQ!tr
GData - - Backdoor.RBot.YBW
Ikarus - - VirTool.Win32.CeeInject
K7AntiVirus - - -
Kaspersky - - Trojan.Win32.Agent.aukq
McAfee - - -
McAfee+Artemis - - Generic!Artemis
Microsoft - - VirTool:Win32/CeeInject.gen!J
NOD32 - - Win32/Poebot
Norman - - W32/Smalltroj.JSIE
Panda - - Generic Worm
PCTools - - -
Prevx1 - - Malicious Software
Rising - - Worm.Win32.Autorun.fac
SecureWeb-Gateway - - Worm.IrcBot.52786.2
Sophos - - Troj/Agent-GZP
Sunbelt - - -
TheHacker - - -
TrendMicro - - -
VBA32 - - Backdoor.Win32.IRCBot.gtu
ViRobot - - -
VirusBuster - - -
Information additionnelle
MD5: be21f3d06616afd2bcfa5fb57a62427d
SHA1: c00ef08444d9886f9ede1e7e39719b40f97f63a1
SHA256: 8a7e648dc86e658feeefa591b07cef1a4f46d29076426b4ae9b7dc5bc605­8e4c
SHA512: f935e46646c75dc40ade2d333dc3f2b9cac25ae0b8ae8840dec94162cff0­0390b934b799d33a791237759e480d7a40554a70723d172c8bb900e74f41­3c9b3b72

A+

   
Répondre à philippe357

12

philippe357, le 17 déc 2008 à 18:52:27

Super cela va beaucoup mieux, je te confirme que le dossier IRI est apparu avec fxstaller, je crois
je te transmets le rapport de OTMovelt:

Error: Unable to interpret <c:\windows\[u]0/u00002_.tmp > in the current context!
Error: Unable to interpret <c:\windows\[u]0/u00001_.tmp > in the current context!
Error: Unable to interpret <c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} > in the current context!
Error: Unable to interpret <C:\Program Files\Fichiers communs\BOONTY Shared> in the current context!
Error: Unable to interpret <C:\Program Files\Boonty> in the current context!
Error: Unable to interpret <C:\Program Files\BoontyGames > in the current context!
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\WCESLog.log scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\~DF2C6A.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\~DF2C77.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\~DF4E9B.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\~DF4EAA.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\~DF5915.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\~DF5D6B.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\~DFCC50.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\~DFCDF2.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12172008_184318

Files moved on Reboot...
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\WCESLog.log moved successfully.
File C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\~DF2C6A.tmp not found!
File C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\~DF2C77.tmp not found!
File C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\~DF4E9B.tmp not found!
File C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\~DF4EAA.tmp not found!
File C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\~DF5915.tmp not found!
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\~DF5D6B.tmp moved successfully.
File C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\~DFCC50.tmp not found!
File C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\~DFCDF2.tmp not found!
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.

A+

   
Répondre à philippe357

14

DllD, le 17 déc 2008 à 19:21:02

Ok,
super alors on continue.



> Encore avec OTmoveIT execute ce script stp : http://oldtimer.geekstogo.com/OTMoveIt3.exe sur ton bureau...
- Double-clique sur OTMoveIt3.exe pour le lancer.
- Copie le texte qui se trouve ci-dessous et colle-le dans le cadre de gauche de OTMoveIt nommé < Paste standard List of Files/Folders to be moved > ( Image ). 

:processes
explorer.exe

:files
C:\iri.exe

:commands
[start explorer]
[reboot]

- Clique sur < MoveIt! > pour lancer la suppression.
N.B :Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.
Un rapport est créé dans %SYSTEMDRIVE%\_OTMoveIt\MovedFiles\date du jour (souvent C:\_OTMoveIt\MovedFiles\), copie-colle-le dans ta réponse suivante.





Puis,
> Les logiciels suivants (MalwareByte's Anti-Malware et Ccleaner) te seront utiles par la suite - ils sont à conserver.
Il faudra que tu les utilises de temps en temps pour éviter ce genre de problèmes.

> Télécharge MalwareByte's Anti-Malware :
- Installe le programme puis lance le.
NB : S'il te manque COMCTL32.OCX alors télécharge le ici
- Fais les mises à jour (clique sur "Mises à jour" puis "Recherche de mises à jour").
- Clique sur "Executer un examen complet" puis "Rechercher" et sélectionne tous tes disques durs => le scan débute....patiente...
- A la fin du scanne, clique sur "supprimer" (Si des éléments sont difficiles à supprimer, un message te demandera de redémarrer : clique sur <Oui> alors)
- après suppression des infections : un rapport va être généré : sauvegarde le et poste le sur forum.
NB : Si tu as besoin : Tuto


Après,
>Télécharge et installe Ccleaner (logiciel à conserver et à utiliser régulièrement) : http://www.commentcamarche.net/telecharger/telecharger-168-ccleaner , si besoin est tu trouveras des Tutoriaux ici, ici et .
(N'installe pas la Yahoo Toolbar)
> Démarre en mode sans échec : (image). Si problème : tuto ici
>Lance Ccleaner,,
- Choisi l’onglet "Options" puis clique sur "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures" (tout doit être supprimé).
- Dans l'onglet "Nettoyeur" clique sur "Analyse".
- Une fois l'analyse terminée, clique sur "Lancer le Nettoyage".
- Recommence jusqu’à ce qu’il ne trouve plus rien (cela varie en général entre 1 et 4 fois).
- Dans l'onglet "registre" => Recherches des erreurs => Réparer les erreurs sélectionnées => enregistre une sauvegarde => corriger toutes erreurs sélectionnées => ok => fermer.
N.B : Si Ccleaner te propose d'enregistrer une sauvegarde, reponds oui et enregistre sous 'Bureau'
- Recommence jusqu’à ce qu’il ne trouve plus rien (cela varie en général entre 1 et 4 fois).


Ensuite,
> Relance ton PC et HiJackThis
Puis sélectionne < do a system scan and save a logfile >,
Et envoie moi, par collier/coller, ton log Hijackthis.





Après je t'envoie la fin.
Bon courage.


A+
Formatage en cours...3% Veuillez patienter. Merci.

   
Répondre à DllD

15

philippe357, le 18 déc 2008 à 00:19:08

Voilà pour le rapport de MalwareByte's:

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\A360 (Rogue.A360Antivirus) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Qoobox\Quarantine\C\WINDOWS\system32\ahasovye.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\dmmmiwjw.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\geBroLDU.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\geBtUlkH.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\gofxavau.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\iwtiry.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\jkkHYoNe.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\jmglio.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\lixulpic.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\luiwhdwo.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\omjgwyxw.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\uxyxxm.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\xbfcnx.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\xsxmocai.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9AE25207-D0F3-45D6-8A28-2B738070A4D5}\RP646\A0119534.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9AE25207-D0F3-45D6-8A28-2B738070A4D5}\RP647\A0119600.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9AE25207-D0F3-45D6-8A28-2B738070A4D5}\RP658\A0122427.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9AE25207-D0F3-45D6-8A28-2B738070A4D5}\RP663\A0125133.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9AE25207-D0F3-45D6-8A28-2B738070A4D5}\RP663\A0125137.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9AE25207-D0F3-45D6-8A28-2B738070A4D5}\RP663\A0125140.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9AE25207-D0F3-45D6-8A28-2B738070A4D5}\RP663\A0125141.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9AE25207-D0F3-45D6-8A28-2B738070A4D5}\RP663\A0125144.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9AE25207-D0F3-45D6-8A28-2B738070A4D5}\RP663\A0125145.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9AE25207-D0F3-45D6-8A28-2B738070A4D5}\RP663\A0125147.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9AE25207-D0F3-45D6-8A28-2B738070A4D5}\RP663\A0125151.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9AE25207-D0F3-45D6-8A28-2B738070A4D5}\RP663\A0125155.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9AE25207-D0F3-45D6-8A28-2B738070A4D5}\RP663\A0125159.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9AE25207-D0F3-45D6-8A28-2B738070A4D5}\RP663\A0125163.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9AE25207-D0F3-45D6-8A28-2B738070A4D5}\RP663\A0125165.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9AE25207-D0F3-45D6-8A28-2B738070A4D5}\RP663\A0125166.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9AE25207-D0F3-45D6-8A28-2B738070A4D5}\RP663\A0125143.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\_OTMoveIt\MovedFiles\12172008_231024\iri.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

Bonne soirée je ferai le Ccleaner demain, merci pour ton aide

a+

Philippe

   
Répondre à philippe357

16

DllD, le 18 déc 2008 à 00:23:55

Oki,
pas de souci.

J'aimerai aussi avoir celui de OTmoveIT stp.

BN ; à demain. Formatage en cours...3% Veuillez patienter. Merci.

   
Répondre à DllD

18

philippe357, le 18 déc 2008 à 10:44:30

Je viens de lancer OTmoveIT, il n'y a rien du tout dans le rapport, es ce qu'il faut que je reprenne le texte que tu m'avais donné dans un des mail concernant le dossier C:\iri.exe.

Peux tu me conseiller un antivirus qui soit efficace, je suis actuellement avec etrust antivirus mais je ne suis pas sur qui soit vraiment opérationnel.

A+

Philippe

   
Répondre à philippe357

17

philippe357, le 18 déc 2008 à 10:31:55

Bonjour D11D,

voilà le nouveau rapport HIjackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:25:13, on 18/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
C:\Program Files\CA\eTrust Antivirus\InoRT.exe
C:\Program Files\CA\eTrust Antivirus\InoTask.exe
C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZIPM12.EXE
C:\PROGRA~1\CA\SHARED~1\SCANEN~1\InoDist.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\WINDOWS\system32\hphmon05.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.carrefour.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: (no name) - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - (no file)
O3 - Toolbar: Premium 4.0 - {F9443A0B-6BFD-11D7-ACD0-00B0D094B576} - C:\Program Files\SYSTRAN\4_0\Premium\IEPlugin.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.defenza.com
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.update.microsoft.com/...
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://express.foto.com/ImageUploader5.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6662.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://express.foto.com/NewUploader/ImageUploader4.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/...
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O16 - DPF: {FB90BA05-66E6-4C56-BCD3-D65B0F7EBA39} (Foto.com SpeedUploader 1.0 Control) - http://express.foto.com/SFUploader/SpeedUploader.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: jmglio.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Client de licence CA (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZIPM12.EXE
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
End of file - 13125 bytes

Bonne journée

A+

Philippe

   
Répondre à philippe357

19

DllD, le 18 déc 2008 à 14:57:46

Salut Philippe :)

Comment vas-tu ?

Bon,
en fait pour OtmoveIT l'opération s'est déroulée avec succès (MBAM le confirme) :

C:\_OTMoveIt\MovedFiles\12172008_231024\iri.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

Donc pour iri.exe c'est bon.



Alors,
avant de t'envoyer la fin on va faire un scanne en ligne pour vérifier qu'il ne reste rien. ;)

> Fais un scan en ligne avec Kaspersky : http://webscanner.kaspersky.fr/
N.B. : Le scan ne marche que sous Internet Explorer.
- Commence par connecter tout ton matériel de stockage à ton PC (clés USB, DD amovible...). Allume les si nécessaire.
- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >.
- On va te demander de télécharger un contrôle active x, accepte .
- Dans le menu < Choisissez la cible de l'analyse >, sélectionne < Poste de travail >. Le scan va commencer.
- Poste le rapport qui sera généré (voir cette image) (clique sur <enregistrer le rapport> puis sauvegarde-le sur ton bureau en choisissant "fichier texte (*.txt)" pour l'extension).
S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3
Rappel : le scan est à faire sous Internet Explorer
Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
Pour le rapport Kaspersky il faut que tu choisisses "Afficher le rapport" puis que tu l'enregistres sur ton bureau sous forme de fichier texte (type de fichier "tous les fichiers").






> Pour ce qui est de l'antivirus :
- En payant je te conseille Kaspersky (le meilleur du marché à mon sens).
- En gratuit je te conseille Antivir (qui est très bien - c'est lui que j'ai).



Dis moi ce que tu comptes faire dans ta prochaine réponse puis on termine.

Bon courage.



A+
Formatage en cours...3% Veuillez patienter. Merci.

   
Répondre à DllD

20

philippe357, le 18 déc 2008 à 22:12:44

Bonjour D11D,

j'ai lancé le scan avec Kaspersky. Apparemment, il aurait trouvé un virus et trois fichiers infectés. Je transmets le rapport dès que possible, le scan est long.

En ce qui concerne l'antivirus, je pense que je vais faire comme toi et opter pour Antivir, et le coupler avec les deux logiciels que tu m'as conseillé. MALWAREBYTES et CCLEANER.

Bonne soirée
A+

Philippe

   
Répondre à philippe357

21

DllD, le 18 déc 2008 à 23:59:23

Hello Philippe,

Ok,
alors quand j'aurai ton rapport on passera à la suite.
Je te donnerai aussi des info quant à l'antivirus.


Bonne fin de soirée.
Formatage en cours...3% Veuillez patienter. Merci.

   
Répondre à DllD

23

philippe357, le 19 déc 2008 à 09:31:45

Bonjour DllD,

j'ai trouver mon erreur, je transmets le rapport de Kaspersky:


KASPERSKY ON-LINE SCANNER REPORT
Friday, December 19, 2008 9:23:51 AM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 18/12/2008
Enregistrements dans la base antivirus Kaspersky : 1325354
------------------------------------------------------------­-------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
E:\
F:\
G:\
I:\
J:\
K:\
L:\
M:\

Statistiques de l'analyse:
Total d'objets analysés: 101787
Nombre de virus trouvés: 1
Nombre d'objets infectés: 3 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 01:45:01

Nom de l'objet infecté / Nom du virus / Dernière action
C:\778d7d628456d95d9a3b5dd078b4a624\mrt.exe._p L'objet est verrouillé ignoré
C:\778d7d628456d95d9a3b5dd078b4a624\mrtstub.exe L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\eHome\logs\ehRecvr.log L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Documents\Recorded TV\TempRec\TempSBE\MSDVRMM_4238502458_10682368_31363 L'objet­ est verrouillé ignoré
C:\Documents and Settings\All Users\Documents\Recorded TV\TempRec\TempSBE\SBE3.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Documents\Recorded TV\TempRec\{64DEB089-DCA4-489C-A4EA-CA065A464AB8}.TmpSBE L'o­bjet est verrouillé ignoré
C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\DRM\drmstore.hds L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Application Data\Microsoft\Internet Explorer\UserData\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Application Data\Microsoft\Modèles\Normal.dot L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Application Data\Microsoft\MSNLiveFav\LiveFavorites.xml L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Application Data\Microsoft\Outlook\outitems.log L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Application Data\Microsoft\Outlook\Outlook~1.srs L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Application Data\Skype\philippe357\call256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Application Data\Skype\philippe357\callmember256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Application Data\Skype\philippe357\chat512.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Application Data\Skype\philippe357\chatmember256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Application Data\Skype\philippe357\chatmsg256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Application Data\Skype\philippe357\chatmsg512.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Application Data\Skype\philippe357\contactgroup256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Application Data\Skype\philippe357\dyncontent\bundle.dat L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Application Data\Skype\philippe357\index2.dat L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Application Data\Skype\philippe357\profile16384.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Application Data\Skype\philippe357\user1024.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Application Data\Skype\philippe357\user256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Application Data\Skype\philippe357\user32768.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Application Data\Skype\philippe357\user4096.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Application Data\Skype\philippe357\voicemail256.dbb L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Local Settings\Application Data\Microsoft\Messenger\tijeras_64@hotmail.com\SharingMetad­ata\Logs\Dfsr00005.log L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Local Settings\Application Data\Microsoft\Messenger\tijeras_64@hotmail.com\SharingMetad­ata\pending.dat L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Local Settings\Application Data\Microsoft\Messenger\tijeras_64@hotmail.com\SharingMetad­ata\Working\database_3CFC_A2B6_FCA2_6A3A\dfsr.db L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Local Settings\Application Data\Microsoft\Messenger\tijeras_64@hotmail.com\SharingMetad­ata\Working\database_3CFC_A2B6_FCA2_6A3A\fsr.log L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Local Settings\Application Data\Microsoft\Messenger\tijeras_64@hotmail.com\SharingMetad­ata\Working\database_3CFC_A2B6_FCA2_6A3A\fsrtmp.log L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Local Settings\Application Data\Microsoft\Messenger\tijeras_64@hotmail.com\SharingMetad­ata\Working\database_3CFC_A2B6_FCA2_6A3A\tmp.edb L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Local Settings\Application Data\Microsoft\Outlook\Outlook1.pst L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Local Settings\Application Data\Microsoft\Search Enhancement Pack\Search Box Extension\history.dat L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Local Settings\Application Data\Microsoft\Windows Live Contacts\TIJERAS_64@hotmail.com\real\members.stg L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Local Settings\Application Data\Microsoft\Windows Live Contacts\TIJERAS_64@hotmail.com\shadow\members.stg L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Local Settings\Historique\History.IE5\MSHist012008121920081220\ind­ex.dat L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Local Settings\temp\~DF474A.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Local Settings\temp\~DF4C12.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Local Settings\temp\~DF566F.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Local Settings\temp\~DF567C.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Local Settings\temp\~DF91C0.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Local Settings\temp\~DF91FB.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Local Settings\temp\~DFFE5B.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Local Settings\temp\~DFFEE0.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat ­L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\Local Settings\Temporary Internet Files\Content.Word\~WRS0000.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\philippe TIJERAS\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\TEMP\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\TEMP\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\CA\eTrust Antivirus\DB\rtmaster.dbf L'objet est verrouillé ignoré
C:\Program Files\CA\eTrust Antivirus\DB\rtmaster.ntx L'objet est verrouillé ignoré
C:\Program Files\HP\hpcoretech\hpcmerr.log L'objet est verrouillé ignoré
C:\Qoobox\Quarantine\C\WINDOWS\system32\dbmoieht.dll.vir Inf­ecté : Trojan.Win32.Monder.abuj ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{9AE25207-D0F3-45D6-8A28-2B738070A4D5}\R­P655\A0121208.dll Infecté : Trojan.Win32.Monder.abuj ignoré
C:\System Volume Information\_restore{9AE25207-D0F3-45D6-8A28-2B738070A4D5}\R­P663\A0125136.dll Infecté : Trojan.Win32.Monder.abuj ignoré
C:\System Volume Information\_restore{9AE25207-D0F3-45D6-8A28-2B738070A4D5}\R­P668\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\ModemLog_Agere Systems PCI Soft Modem.txt L'objet est verrouillé ignoré
C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC7923­5}.{5DCA4A6C-BBDB-4730-A9A6-E8F1EF5071EE}.crmlog L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Media Ce.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
D:\System Volume Information\_restore{9AE25207-D0F3-45D6-8A28-2B738070A4D5}\R­P668\change.log L'objet est verrouillé ignoré

Analyse terminée.

Bonne journée

A+

Philippe

   
Répondre à philippe357

22

philippe357, le 19 déc 2008 à 02:23:29

Bonjour D11D,

j'ai un petit souci, le rapport du scan ne veut pas s'afficher sur le bureau. Je clique sur enregistrer le rapport, une fenêtre s'ouvre et me demande d'enregistrer le rapport. Je selectionne le bureau, ainsi que le type de fichier (fichier texte),
ensuite quand je clique sur enregistrer rien ne se passe. Je refais une tentative de scan. Comme je te le disais dans le dernier mail, le scan aurait trouvé un virus et trois fichiers infectés. Je suis bloqué

Bonne journée

A+

Philippe

   
Répondre à philippe357

24

DllD, le 19 déc 2008 à 15:01:52

Salut Philippe,

Tout va bien de part chez toi ?

Bon,
c'est parfait tout ça. Je vois pas bien où cela a coincé pour générer un rapport Kasper au début mais tant qu'il est là c'est l'essentiel.

:)


En fait j'ai oublié une étape. Mais elle est courte à faire. Autant mieux faire les choses proprement, non ?


Alors,
On va commencer par changer ton antivirus.
> Télécharge Antivir à cette adresse (mais ne l'installe pas maintenant) :
http://www.commentcamarche.net/telecharger/telecharger 55 antivir



Ensuite,
> Désinstalle E Trust via ajout/suppression de programme du panneau de configurations Windows.




Puis,
> Désactivation puis suppression de services :
- Vas dans Menu Démarrer => Exécuter => tape cmd puis valide => dans la console cmd (la fenêtre noire) tape :
sc stop InoRPC
sc delete InoRPC
sc stop InoRT
sc delete InoRT
sc stop InoTask
sc delete InoTask




Maintenant,
> Essaye d'installer Antivir : : ouvre ce lien, télécharge Antivir et installe le.
N.B : Tuto : http://www.malekal.com/tutorial_antivir.php
- Lance Antivir, fais les mises à jours puis ferme le programme.




Après,
> Lance Hijackthis :
- Puis sélectionne <Do a system scan only>
- Coche les cases des lignes suivantes : 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.carrefour.fr 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)     

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)     

O3 - Toolbar: (no name) - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - (no file) 

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe     

O15 - Trusted Zone: http://*.defenza.com     

O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll 

O20 - AppInit_DLLs: jmglio.dll

Ensuite,
- Ferme toutes les autres fenêtres et applications (même internet).
- Clic sur <Fixe checked>




Maintenant,
j'ai un doute sur un fichier, donc :
> Rends toi sur le site Virus Total : http://www.virustotal.com/fr/ et fais analyser le/les fichier(s) suivant(s) : (Clique sur <parcourir> puis copie/colle la/les ligne(s) dans le cadre "Nom du Fichier", ensuite valide par <Ouvrir>. Clique alors sur <Envoyer un fichier>) 

C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

et poste le/les résultat(s) par copier/coller (ou le/les lien(s) http, c'est plus rapide et préférable).
N.B. : Les fichiers doivent être analysés un par un. Ouvrir plusieurs fenêtres sur Virus Total peut bloquer les envois.




Ensuite,
> Relance ton PC en mode normal puis Hijackthis :
Puis sélectionne <Do a system scan and save a logfile>,

Et envoie, par collier/coller, ton log Hijackthis,




Pour finir,
J'ai un doute quand à certains programmes que tu as éventuellement installé tel que Defenza, donc :
> Télécharge DiagHelp.zip (de Malekal_morte) sur ton bureau : http://www.malekal.com/download/DiagHelp.zip
- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
- Un nouveau dossier DiagHelp va être créé.
- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 1
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
- A la fin de l'analyse, il te sera redemandé de redémarrer l'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note.. Ce dernier se trouve aussi ici C:\resultat.txt
- Copie/colle le contenu du rapport obtenu et poste le sur le forum
Tuto si besoin est : http://www.malekal.com/DiagHelp/DiagHelp.php




Poste le rapport DiagHelp dans un message différent stp car il est assez long et risque de ne pas passer sinon.




Bon courage,
après je t'envoie la fin.
Suis la procédure jusqu'au bout stp afin que tu n'ais pas de nouveaux soucis rapidement ;)



A bientôt.
Formatage en cours...3% Veuillez patienter. Merci.

   
Répondre à DllD

25

philippe357, le 19 déc 2008 à 19:39:25

Bonjour DllD,

j'ai désinstallé etrust, pas de soucis mais pour ce qui est de la désactivation et la suppression de services,

j'ai bien suivi ta procèdure, et quand je me retrouve dans la fenêtre noir il y a:
Microsoft Windows XP [version 5.1.2600]
<C> Copyright 1985-2001 Microsoft Corp.
C:\Documents and Settings\philippe TIJERAS> avec le cursuer qui clignote et il me dit quand je rentre les ligne que le programme n'est pas là. je te donnerai la phrase exacte.
Pas de soucis pour ANTIVIR
voila le rapport pour virtual

Fichier SeaPort.exe reçu le 2008.12.18 17:47:52 (CET)
Situation actuelle: terminé

Résultat: 0/38 (0.00%)
Formaté Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.12.19.0 2008.12.18 -
AntiVir 7.9.0.45 2008.12.18 -
Authentium 5.1.0.4 2008.12.18 -
Avast 4.8.1281.0 2008.12.18 -
AVG 8.0.0.199 2008.12.18 -
BitDefender 7.2 2008.12.18 -
CAT-QuickHeal 10.00 2008.12.18 -
ClamAV 0.94.1 2008.12.18 -
Comodo 771 2008.12.17 -
DrWeb 4.44.0.09170 2008.12.18 -
eSafe 7.0.17.0 2008.12.17 -
eTrust-Vet 31.6.6267 2008.12.18 -
Ewido 4.0 2008.12.18 -
F-Prot 4.4.4.56 2008.12.17 -
F-Secure 8.0.14332.0 2008.12.18 -
Fortinet 3.117.0.0 2008.12.18 -
GData 19 2008.12.18 -
Ikarus T3.1.1.45.0 2008.12.18 -
K7AntiVirus 7.10.557 2008.12.18 -
Kaspersky 7.0.0.125 2008.12.18 -
McAfee 5467 2008.12.18 -
McAfee+Artemis 5467 2008.12.18 -
Microsoft 1.4205 2008.12.18 -
NOD32 3703 2008.12.18 -
Norman 5.80.02 2008.12.17 -
Panda 9.0.0.4 2008.12.18 -
PCTools 4.4.2.0 2008.12.18 -
Prevx1 V2 2008.12.18 -
Rising 21.08.32.00 2008.12.18 -
SecureWeb-Gateway 6.7.6 2008.12.18 -
Sophos 4.37.0 2008.12.18 -
Sunbelt 3.2.1801.2 2008.12.10 -
Symantec 10 2008.12.18 -
TheHacker 6.3.1.4.191 2008.12.17 -
TrendMicro 8.700.0.1004 2008.12.18 -
VBA32 3.12.8.10 2008.12.18 -
ViRobot 2008.12.18.1525 2008.12.18 -
VirusBuster 4.5.11.0 2008.12.18 -
Information additionnelle
File size: 226640 bytes
MD5...: 58dc20eb15f071804c56fccc796417a2
SHA1..: 02e919a917beed64e51e96e40308552e290b4f45
SHA256: f0fba311879b4167723b4abf18e13d8a95eb798fd94abcae0733c2f974348930
SHA512: 80b5686515d6d46ee316ae555557f41fd0ad4fd84911c7c8c99cf5e08df03d17
35675b50a87aa8da8c4aba40d044e4a28e7c00ea9579305f006c210eccb2fe28

ssdeep: 6144:ZwKdFvNdCkZENeL4d5JRfiK3ki9ZWSJsFg:+KBdCk9UhXki+/Fg

PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4115f0
timedatestamp.....: 0x4938701a (Fri Dec 05 00:04:42 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x29d10 0x29e00 6.53 2100f1d9e0d0f0d34fe4fe12718cf4cf
.data 0x2b000 0x4a18 0x1800 3.80 bce2d1c3b5e6656d7b58a5f6b6b61043
.rsrc 0x30000 0x7a10 0x7c00 4.79 46802bcc9c9055822253c35c9634a167
.reloc 0x38000 0x261e 0x2800 4.78 603038ebb521a312fabb8cfa69bf2757

( 11 imports )
> ADVAPI32.dll: SetServiceStatus, CloseServiceHandle, OpenServiceW, OpenSCManagerW, DeregisterEventSource, ReportEventW, RegisterEventSourceW, RegDeleteKeyW, RegDeleteValueW, RegCloseKey, RegCreateKeyExW, RegOpenKeyExW, RegQueryValueExW, RegSetValueExW, RegQueryInfoKeyW, CreateServiceW, DeleteService, ControlService, RegEnumKeyExW, RegisterServiceCtrlHandlerW, GetSecurityDescriptorLength, ConvertStringSecurityDescriptorToSecurityDescriptorW, StartServiceCtrlDispatcherW, IsValidSid, CopySid, GetLengthSid, ConvertSidToStringSidW, GetTokenInformation, OpenThreadToken, RegNotifyChangeKeyValue
> KERNEL32.dll: lstrcmpiW, SetLastError, Sleep, CreateThread, TerminateThread, GetModuleFileNameW, CreateEventW, GetCurrentThreadId, InterlockedIncrement, InterlockedDecrement, FreeLibrary, MultiByteToWideChar, SizeofResource, LoadResource, FindResourceW, LoadLibraryExW, LocalFree, GetCommandLineW, GetVersionExW, HeapSetInformation, CreateDirectoryA, SetFileAttributesA, SetFileTime, LocalFileTimeToFileTime, DosDateTimeToFileTime, CreateFileA, WideCharToMultiByte, DeleteFileW, GetTempFileNameW, GetTempPathW, GetFileTime, CreateFileW, GetSystemTimeAsFileTime, LockResource, FindResourceExW, GetCurrentThread, SetFileAttributesW, SystemTimeToFileTime, WriteFile, FileTimeToSystemTime, MoveFileW, GetModuleHandleW, GetModuleHandleA, lstrlenA, GetComputerNameExW, CreateMutexW, ReleaseMutex, FlushFileBuffers, GetLocaleInfoA, GetStringTypeW, GetStringTypeA, SetEndOfFile, InitializeCriticalSectionAndSpinCount, LoadLibraryA, LCMapStringW, LCMapStringA, IsValidCodePage, GetOEMCP, GetACP, GetCPInfo, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, VirtualAlloc, IsDebuggerPresent, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, VirtualFree, HeapCreate, TlsFree, TlsSetValue, TlsAlloc, TlsGetValue, GetStartupInfoA, GetFileType, SetHandleCount, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetModuleFileNameA, GetStdHandle, ExitProcess, SetUnhandledExceptionFilter, SetFilePointer, GetConsoleMode, GetConsoleCP, ReadFile, RtlUnwind, GetStartupInfoW, GetProcessHeap, HeapSize, HeapReAlloc, HeapFree, HeapAlloc, HeapDestroy, LeaveCriticalSection, EnterCriticalSection, GetProcAddress, GetLastError, DeleteCriticalSection, InitializeCriticalSection, RaiseException, WaitForSingleObject, CloseHandle, lstrlenW, SetEvent, WaitForMultipleObjects, ResetEvent
> USER32.dll: wvsprintfA, MessageBoxW, CharUpperBuffW, CharUpperW, CharNextW, LoadStringW, wvsprintfW, CharLowerBuffW, GetMessageW, PostThreadMessageW, DispatchMessageW, TranslateMessage
> SHELL32.dll: SHGetFolderPathW
> ole32.dll: CoInitializeSecurity, CoUninitialize, CoInitialize, CoTaskMemAlloc, CoTaskMemRealloc, CoRevokeClassObject, CoRegisterClassObject, CoTaskMemFree, StringFromGUID2, CoCreateInstance, CoCreateGuid, CoRevertToSelf, CLSIDFromString, CoImpersonateClient
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> SHLWAPI.dll: PathAppendW
> WININET.dll: HttpOpenRequestW, HttpQueryInfoW, HttpAddRequestHeadersA, InternetCrackUrlW, InternetReadFile, InternetOpenA, InternetSetOptionW, InternetConnectW, InternetCloseHandle, HttpSendRequestW
> SensApi.dll: IsNetworkAlive
> WINTRUST.dll: WinVerifyTrust
> CRYPT32.dll: CertFindCertificateInStore, CertGetCertificateChain, CertVerifyCertificateChainPolicy, CertFreeCertificateChain, CertFreeCertificateContext, CertCloseStore, CryptMsgClose, CertGetNameStringW, CryptQueryObject, CryptMsgGetParam

( 0 exports )

a+

   
Répondre à philippe357

26

DllD, le 19 déc 2008 à 20:04:55

Ha ok,
très bien.
La phase concernant la suppression de services n'était que par précaution.

Tu peux continuer la suite stp ?

A+ Formatage en cours...3% Veuillez patienter. Merci.

   
Répondre à DllD

27

philippe357, le 19 déc 2008 à 21:42:28

Bonsoir DllD,

voila le rapport




MDiagHelp version v1.4 - http://www.malekal.com
excute le 19/12/2008 à 20:28:02,96


Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->19/12/2008 20:27:51
C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->19/12/2008 20:27:46
C:\WINDOWS\prefetch\WINRAR.EXE-39C6DAD9.pf -->19/12/2008 20:26:56
C:\WINDOWS\prefetch\AVWSC.EXE-347FCF75.pf -->19/12/2008 20:26:10
C:\WINDOWS\prefetch\WLLOGINPROXY.EXE-2D4B6027.pf -->19/12/2008 20:26:05
C:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->19/12/2008 20:25:58
C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->19/12/2008 20:25:08
C:\WINDOWS\prefetch\SY1E22~1.EXE-2AEE8205.pf -->19/12/2008 20:18:00
C:\WINDOWS\prefetch\WINWORD.EXE-37F6AE09.pf -->19/12/2008 20:17:57
C:\WINDOWS\prefetch\OUTLOOK.EXE-106351DB.pf -->19/12/2008 20:17:47

C:\WINDOWS\System32\drivers\PnkBstrK.sys -->17/12/2008 15:25:33
C:\WINDOWS\System32\drivers\mbamswissarmy.sys -->03/12/2008 19:52:38
C:\WINDOWS\System32\drivers\mbam.sys -->03/12/2008 19:52:34
C:\WINDOWS\System32\drivers\avipbb.sys -->30/10/2008 10:21:03
C:\WINDOWS\System32\drivers\mrxsmb.sys -->24/10/2008 12:21:09
C:\WINDOWS\System32\drivers\usbaapl.sys -->01/10/2008 12:01:28
C:\WINDOWS\System32\drivers\srv.sys -->08/09/2008 11:41:42

C:\WINDOWS\System32\wpa.dbl -->19/12/2008 20:16:47
C:\WINDOWS\System32\FNTCACHE.DAT -->18/12/2008 09:36:15
C:\WINDOWS\System32\nvapps.xml -->17/12/2008 18:02:42
C:\WINDOWS\System32\PnkBstrB.exe -->17/12/2008 15:25:24
C:\WINDOWS\System32\f781aeeb-.txt -->17/12/2008 13:54:34
C:\WINDOWS\System32\spupdwxp.log -->15/12/2008 18:58:25
C:\WINDOWS\System32\lvcoinst.log -->15/12/2008 18:46:40
C:\WINDOWS\System32\ikhcore.cfg -->13/12/2008 20:50:28
C:\WINDOWS\System32\PerfStringBackup.INI -->13/12/2008 20:41:07
C:\WINDOWS\System32\perfh00C.dat -->13/12/2008 20:41:07
C:\WINDOWS\System32\perfh009.dat -->13/12/2008 20:41:07
C:\WINDOWS\System32\perfc00C.dat -->13/12/2008 20:41:07
C:\WINDOWS\System32\perfc009.dat -->13/12/2008 20:41:07
C:\WINDOWS\System32\mshtml.dll -->13/12/2008 07:37:56
C:\WINDOWS\System32\TZLog.log -->10/12/2008 10:57:47
C:\WINDOWS\System32\MRT.exe -->09/12/2008 15:24:38
C:\WINDOWS\System32\PnkBstrA.exe -->04/12/2008 20:53:10
C:\WINDOWS\System32\pywintypes25.dll -->15/11/2008 21:22:37
C:\WINDOWS\System32\pythoncom25.dll -->15/11/2008 21:22:37
C:\WINDOWS\System32\python25.dll -->15/11/2008 21:22:37
C:\WINDOWS\System32\msvcr71.dll -->15/11/2008 21:22:37
C:\WINDOWS\System32\XAudio2_3.dll -->27/10/2008 10:04:18
C:\WINDOWS\System32\xactengine3_3.dll -->27/10/2008 10:04:16
C:\WINDOWS\System32\X3DAudio1_5.dll -->27/10/2008 10:04:16
C:\WINDOWS\System32\XAPOFX1_2.dll -->27/10/2008 10:04:14

C:\WINDOWS\setupapi.log -->19/12/2008 20:25:23
C:\WINDOWS\ModemLog_Agere Systems PCI Soft Modem.txt -->19/12/2008 20:17:06
C:\WINDOWS\0.log -->19/12/2008 19:42:10
C:\WINDOWS\WindowsUpdate.log -->19/12/2008 19:41:16
C:\WINDOWS\wiadebug.log -->19/12/2008 19:41:16
C:\WINDOWS\wiaservc.log -->19/12/2008 19:41:15
C:\WINDOWS\bootstat.dat -->19/12/2008 19:41:10
C:\WINDOWS\SchedLgU.Txt -->19/12/2008 19:40:24
C:\WINDOWS\Sti_Trace.log -->18/12/2008 10:23:25
C:\WINDOWS\system.ini -->17/12/2008 17:39:31
C:\WINDOWS\ODBC.INI -->15/12/2008 20:50:26
C:\WINDOWS\NeroDigital.ini -->13/12/2008 23:07:10
C:\WINDOWS\tsc.ini -->13/12/2008 18:37:23
C:\WINDOWS\tsc.ptn -->13/12/2008 13:55:26
C:\WINDOWS\tsc.exe -->13/12/2008 13:55:26

winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed


ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 2464
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
0x77be0000 0x58000 7.00.2600.5512 C:\WINDOWS\system32\msvcrt.dll
0x779e0000 0x97000 5.131.2600.5512 C:\WINDOWS\system32\CRYPT32.dll
0x76610000 0x84000 5.131.2600.5512 C:\WINDOWS\system32\CRYPTUI.dll
0x44080000 0xd0000 7.00.6000.16762 C:\WINDOWS\system32\WININET.dll
0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll
0x43e00000 0x45000 7.00.6000.16762 C:\WINDOWS\system32\iertutil.dll
0x76be0000 0x2e000 5.131.2600.5512 C:\WINDOWS\system32\WINTRUST.dll
0x753c0000 0x6b000 1.420.2600.5512 C:\WINDOWS\system32\USP10.dll
0x58b50000 0x9a000 5.82.2900.5512 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0700 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0700 C:\WINDOWS\system32\COMRes.dll
0x76ac0000 0x11000 3.05.2284.0001 C:\WINDOWS\system32\ATL.DLL
0x44360000 0x5cd000 7.00.6000.16762 C:\WINDOWS\system32\ieframe.dll
0x44160000 0x127000 7.00.6000.16762 C:\WINDOWS\system32\urlmon.dll
0x7d200000 0x2bc000 3.01.4001.5512 C:\WINDOWS\system32\msi.dll
0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll
0x442b0000 0x3c000 7.00.6000.16762 C:\WINDOWS\system32\webcheck.dll
0x164a0000 0x23000 5.02.5721.5145 C:\WINDOWS\system32\WPDShServiceObj.dll
0x10000000 0xe000 C:\Program Files\ArcSoft\PhotoImpression 5\share\pihook.dll
0x109c0000 0x2c000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceTypes.dll
0x10930000 0x49000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceApi.dll
0x69270000 0x8d000 5.02.2600.5512 C:\WINDOWS\system32\fxsst.dll
0x61410000 0x72000 5.02.2600.5512 C:\WINDOWS\system32\FXSAPI.dll
0x78130000 0x9b000 8.00.50727.1433 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCR80.dll
0x03570000 0x188000 1.06.0002.0014 C:\PROGRA~1\SPYBOT~1\SDHelper.dll
0x43ff0000 0xa000 7.00.6000.16762 C:\WINDOWS\system32\jsproxy.dll
0x46ca0000 0x19000 1.02.0118.0000 C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
0x46d00000 0x2b000 1.02.0121.0000 C:\Program Files\Microsoft\Search Enhancement Pack\Search Box Extension\SRCHBXEX.dll
0x46cc0000 0x25000 1.02.0121.0000 C:\Program Files\Microsoft\Search Enhancement Pack\SeaShadow\SEASHADO.dll
0x748f0000 0x114000 8.100.1048.0000 C:\WINDOWS\system32\msxml3.dll
0x04340000 0x5b000 9.00.0000.0332 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
0x043a0000 0x4c000 9.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
0x00e60000 0x2b000 C:\Program Files\WinRAR\rarext.dll
0x00970000 0x12000 7.00.0000.0015 C:\Program Files\Avira\AntiVir PersonalEdition Classic\shlext.dll
0x7c250000 0x102000 7.10.3077.0000 C:\Program Files\Avira\AntiVir PersonalEdition Classic\MFC71U.DLL
0x02bb0000 0x56000 7.10.3052.0004 C:\Program Files\Avira\AntiVir PersonalEdition Classic\MSVCR71.dll
0x00da0000 0x12000 1.01.0000.0000 C:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll
0x00e90000 0x10000 9.00.0000.0332 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
0x6d7c0000 0x7b000 6.00.0070.0006 C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
0x325c0000 0x12000 11.00.5510.0000 C:\Program Files\Microsoft Office\OFFICE11\msohev.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 864
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x82000 \??\C:\WINDOWS\system32\winlogon.exe
0x77be0000 0x58000 7.00.2600.5512 C:\WINDOWS\system32\msvcrt.dll
0x779e0000 0x97000 5.131.2600.5512 C:\WINDOWS\system32\CRYPT32.dll
0x76be0000 0x2e000 5.131.2600.5512 C:\WINDOWS\system32\WINTRUST.dll
0x753c0000 0x6b000 1.420.2600.5512 C:\WINDOWS\system32\USP10.dll
0x58b50000 0x9a000 5.82.2900.5512 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1132.0000 C:\WINDOWS\system32\ODBC32.dll
0x1f840000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x01220000 0x3b000 1.07.0018.0005 C:\WINDOWS\system32\WgaLogon.dll
0x76f80000 0x7f000 2001.12.4414.0700 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0700 C:\WINDOWS\system32\COMRes.dll


Le volume dans le lecteur C s'appelle BOOT
Le numéro de série du volume est FCA2-6A3A

Répertoire de C:\WINDOWS\system32

14/04/2008 03:33 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 16 236 417 024 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C s'appelle BOOT
Le numéro de série du volume est FCA2-6A3A

Répertoire de C:\WINDOWS\Downloaded Program Files

18/12/2008 19:01 <REP> .
18/12/2008 19:01 <REP> ..
31/03/2008 20:51 392 528 AdSignerADP.dll
12/12/2007 09:33 747 AdSignerADP.inf
31/03/2008 20:51 261 456 AdVerifierADP.dll
30/09/2006 20:26 65 desktop.ini
25/07/2002 18:13 24 576 dwusplay.dll
25/07/2002 18:13 196 608 dwusplay.exe
31/10/2004 10:41 599 664 eBayBand.dll
10/12/2004 18:08 762 838 eBayFile.Fil
31/10/2004 10:41 124 528 eBayHtml.dll
31/10/2004 10:41 403 056 eBayTBar.exe
11/04/2007 13:55 1 292 erma.inf
14/02/2007 17:44 378 ImageUploader4.inf
14/02/2007 17:44 2 557 752 ImageUploader4.ocx
12/09/2008 18:03 377 ImageUploader5.inf
12/09/2008 18:03 3 552 776 ImageUploader5.ocx
08/09/2008 12:58 204 800 InstallerControl.dll
16/06/2004 06:02 323 584 isusweb.dll
13/08/2008 15:03 575 kavwebscan.inf
26/08/2005 14:57 495 LegitCheckControl.inf
30/01/2002 01:00 497 MDM.inf
29/05/2003 15:00 160 864 messengerstatsclient.dll
31/07/2007 01:38 386 MicrosoftUpdateCatalogWebControl.inf
29/05/2003 15:00 77 408 msgrchkr.dll
14/03/2005 12:39 227 MsnMessengerSetupDownloader.inf
17/03/2005 13:48 113 152 MsnMessengerSetupDownloader.ocx
26/05/2005 03:19 293 muweb.inf
27/11/2003 23:13 869 nsvplayx_vp3_mp3.inf
08/09/2008 12:58 507 OSDC5.OSD
29/05/2003 15:00 86 112 solitaireshowdown.dll
30/06/2006 18:53 375 SpeedUploader.inf
30/06/2006 18:53 2 025 216 SpeedUploader.ocx
22/06/2006 10:41 5 032 swflash.inf
28/10/2008 16:25 453 512 wlscBase.dll
28/10/2008 16:26 320 wlscBase.inf
26/05/2005 03:19 291 wuweb.inf
02/11/2005 18:01 1 777 xscan.inf
02/11/2005 18:07 435 712 xscan53.ocx
01/06/2004 14:41 853 yinst.inf
01/06/2004 14:36 141 312 yinsthelper.dll
39 fichier(s) 12 912 810 octets

Total des fichiers listés :
39 fichier(s) 12 912 810 octets
2 Rép(s) 16 236 408 832 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..


Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%ProgramFiles%\\Messenger\\msmsgs.exe"="%ProgramFiles%\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"%WinDir%\\system32\\fxsclnt.exe"="%WinDir%\\system32\\fxsclnt.exe:*:enabled:Microsoft Fax Console"
"C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"="C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe:*:Enabled:Assistance à distance - Windows Messenger et voix"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\Program Files\\Hewlett-Packard\\HP Software Update\\HPWUCli.exe"="C:\\Program Files\\Hewlett-Packard\\HP Software Update\\HPWUCli.exe:*:Enabled:HP Software Update Client"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\\WINDOWS\\system32\\rtcshare.exe"="C:\\WINDOWS\\system32\\rtcshare.exe:*:Enabled:Partage de l'application RTC"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\WINDOWS\\system32\\PnkBstrA.exe"="C:\\WINDOWS\\system32\\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\\WINDOWS\\system32\\PnkBstrB.exe"="C:\\WINDOWS\\system32\\PnkBstrB.exe:*:Enabled:PnkBstrB"
"C:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"="C:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM) "
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%ProgramFiles%\\Messenger\\msmsgs.exe"="%ProgramFiles%\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"%ProgramFiles%\\AOL 9.0\\AOL.exe"="%ProgramFiles%\\AOL 9.0\\AOL.exe:*:enabled:AOL 9.0"
"%ProgramFiles%\\AOL 9.0\\WAOL.exe"="%ProgramFiles%\\AOL 9.0\\WAOL.exe:*:enabled:AOL 9.0"
"%CommonProgramFiles%\\AOL\\ACS\\AOLACSD.exe"="%CommonProgramFiles%\\AOL\\ACS\\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service)"
"%CommonProgramFiles%\\AOL\\ACS\\AOLDIAL.exe"="%CommonProgramFiles%\\AOL\\ACS\\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer)"
"%WinDir%\\system32\\fxsclnt.exe"="%WinDir%\\system32\\fxsclnt.exe:*:enabled:Microsoft Fax Console"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"



exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"InstallVisualStyle"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,\
63,65,73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,5c,52,6f,79,61,6c,65,2e,\
6d,73,73,74,79,6c,65,73,00
"InstallTheme"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,63,65,\
73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,2e,74,68,65,6d,65,00
"DisableRegistryTools"=dword:00000000
"HideLegacyLogonScripts"=dword:00000000
"HideLogoffScripts"=dword:00000000
"RunLogonScriptSync"=dword:00000001
"RunStartupScriptSync"=dword:00000000
"HideStartupScripts"=dword:00000000



Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-19 20:28:30
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000077

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0


KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
260 - hphmon05.exe
328 - LogWatNT.exe
352 - nvsvc32.exe
464 - HPZIPM12.EXE
600 - PnkBstrA.exe
648 - PnkBstrB.exe
840 - csrss.exe
864 - winlogon.exe
900 - cmd.exe
908 - services.exe
920 - lsass.exe
1104 - svchost.exe
1148 - svchost.exe
1220 - svchost.exe
1292 - svchost.exe
1332 - svchost.exe
1396 - svchost.exe
1492 - avgnt.exe
1520 - svchost.exe
1660 - mcrdsvc.exe
1788 - sched.exe
1876 - avguard.exe
1892 - AppleMobileDevi
1912 - mDNSResponder.e
1960 - ehrecvr.exe
1980 - ehSched.exe
2320 - dllhost.exe
2456 - alg.exe
2464 - explorer.exe
2716 - OUTLOOK.EXE
2780 - WINWORD.EXE
2916 - AGRSMMSG.exe
2944 - svchost.exe
3124 - msnmsgr.exe
3196 - usnsvc.exe
3580 - ctfmon.exe
3584 - Skype.exe
3872 - skypePM.exe

Total number of processes = 39
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntoskrnl.exe
806FF000 - \WINDOWS\system32\hal.dll
F7987000 - \WINDOWS\system32\KDCOM.DLL
F7897000 - \WINDOWS\system32\BOOTVID.dll
F75A7000 - ACPI.sys
F7989000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
F7596000 - pci.sys
F75F7000 - isapnp.sys
F7607000 - ohci1394.sys
F7617000 - \WINDOWS\system32\DRIVERS\1394BUS.SYS
F7A4F000 - pciide.sys
F7707000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
F798B000 - intelide.sys
F7627000 - MountMgr.sys
F74D7000 - ftdisk.sys
F798D000 - dmload.sys
F74B1000 - dmio.sys
F770F000 - PartMgr.sys
F7637000 - VolSnap.sys
F7499000 - atapi.sys
F7647000 - disk.sys
F7657000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
F7479000 - fltmgr.sys
F7467000 - sr.sys
F7667000 - PxHelp20.sys
F7870000 - KSecDD.sys
F785D000 - WudfPf.sys
F7B52000 - Ntfs.sys
F7830000 - NDIS.sys
F796D000 - Mup.sys
BA7EE000 - \SystemRoot\system32\DRIVERS\intelppm.sys
B9E06000 - \SystemRoot\system32\DRIVERS\nv4_mini.sys
B9DF2000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
B9DCA000 - \SystemRoot\system32\DRIVERS\HDAudBus.sys
BA95B000 - \SystemRoot\system32\DRIVERS\usbuhci.sys
B9DA6000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
BA953000 - \SystemRoot\system32\DRIVERS\usbehci.sys
B9CA1000 - \SystemRoot\system32\DRIVERS\AGRSM.sys
BA94B000 - \SystemRoot\System32\Drivers\Modem.SYS
B9C84000 - \SystemRoot\system32\DRIVERS\hcwPP2.sys
B9C61000 - \SystemRoot\system32\DRIVERS\ks.sys
BA7CE000 - \SystemRoot\system32\DRIVERS\fetnd5b.sys
F774F000 - \SystemRoot\system32\DRIVERS\fdc.sys
B9C50000 - \SystemRoot\system32\DRIVERS\serial.sys
BAFDC000 - \SystemRoot\system32\DRIVERS\serenum.sys
B9C3C000 - \SystemRoot\system32\DRIVERS\parport.sys
BA7BE000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
F7757000 - \SystemRoot\system32\DRIVERS\mouclass.sys
F775F000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
BA7AE000 - \SystemRoot\system32\DRIVERS\imapi.sys
F7767000 - \SystemRoot\system32\drivers\pfc.sys
BA79E000 - \SystemRoot\system32\DRIVERS\cdrom.sys
BA78E000 - \SystemRoot\system32\DRIVERS\redbook.sys
BAFD8000 - \SystemRoot\System32\Drivers\GEARAspiWDM.sys
F7AA7000 - \SystemRoot\system32\DRIVERS\audstub.sys
F7576000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
BAFCC000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
B9213000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
F7566000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
F7556000 - \SystemRoot\system32\DRIVERS\raspptp.sys
F777F000 - \SystemRoot\system32\DRIVERS\TDI.SYS
B9202000 - \SystemRoot\system32\DRIVERS\psched.sys
F7546000 - \SystemRoot\system32\DRIVERS\msgpc.sys
F7787000 - \SystemRoot\system32\DRIVERS\ptilink.sys
F778F000 - \SystemRoot\system32\DRIVERS\raspti.sys
B91D2000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
F7536000 - \SystemRoot\system32\DRIVERS\termdd.sys
F79C1000 - \SystemRoot\system32\DRIVERS\swenum.sys
B914C000 - \SystemRoot\system32\DRIVERS\update.sys
BA8AD000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
F7526000 - \SystemRoot\System32\Drivers\NDProxy.SYS
B6E39000 - \SystemRoot\system32\drivers\cmudax.sys
B6E15000 - \SystemRoot\system32\drivers\portcls.sys
F7506000 - \SystemRoot\system32\drivers\drmk.sys
F74F6000 - \SystemRoot\system32\DRIVERS\usbhub.sys
F79D5000 - \SystemRoot\system32\DRIVERS\USBD.SYS
F7923000 - \SystemRoot\system32\drivers\MODEMCSA.sys
F779F000 - \SystemRoot\system32\DRIVERS\flpydisk.sys
F79D7000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
B6DAC000 - \SystemRoot\System32\Drivers\Null.SYS
F79D9000 - \SystemRoot\System32\Drivers\Beep.SYS
F77AF000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
F77B7000 - \SystemRoot\System32\drivers\vga.sys
F79DB000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F79DD000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F77BF000 - \SystemRoot\System32\Drivers\Msfs.SYS
F77C7000 - \SystemRoot\System32\Drivers\Npfs.SYS
F793B000 - \SystemRoot\system32\DRIVERS\rasacd.sys
B2D04000 - \SystemRoot\system32\DRIVERS\ipsec.sys
B2CAB000 - \SystemRoot\system32\DRIVERS\tcpip.sys
B2C85000 - \SystemRoot\system32\DRIVERS\ipnat.sys
B2C5D000 - \SystemRoot\system32\DRIVERS\netbt.sys
B2C3B000 - \SystemRoot\System32\drivers\afd.sys
F7437000 - \SystemRoot\system32\DRIVERS\netbios.sys
F7427000 - \SystemRoot\system32\DRIVERS\wanarp.sys
F77D7000 - \SystemRoot\system32\DRIVERS\usbccgp.sys
F77E7000 - \SystemRoot\system32\DRIVERS\ssmdrv.sys
B2C10000 - \SystemRoot\system32\DRIVERS\rdbss.sys
F77EF000 - \??\C:\WINDOWS\system32\npptNT2.sys
B2B78000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
F7417000 - \SystemRoot\System32\Drivers\Fips.SYS
F7407000 - \SystemRoot\system32\DRIVERS\arp1394.sys
B2977000 - \SystemRoot\system32\DRIVERS\avipbb.sys
F77F7000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS
F79E3000 - \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys
F77FF000 - \SystemRoot\system32\DRIVERS\usbprint.sys
F7807000 - \SystemRoot\system32\DRIVERS\HPZius12.sys
BAB87000 - \SystemRoot\system32\DRIVERS\HPZid412.sys
BAB77000 - \SystemRoot\system32\DRIVERS\LVUSBSta.sys
B2148000 - \SystemRoot\system32\DRIVERS\LV302V32.SYS
BAB67000 - \SystemRoot\system32\drivers\usbaudio.sys
B91BA000 - \SystemRoot\system32\DRIVERS\HPZipr12.sys
B2084000 - \SystemRoot\System32\Drivers\Fastfat.SYS
B206C000 - \SystemRoot\System32\Drivers\dump_atapi.sys
F79E7000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
BAFC0000 - \SystemRoot\System32\drivers\Dxapi.sys
F7747000 - \SystemRoot\System32\watchdog.sys
BF9C3000 - \SystemRoot\System32\drivers\dxg.sys
F7A7C000 - \SystemRoot\System32\drivers\dxgthk.sys
BF9D5000 - \SystemRoot\System32\nv4_disp.dll
B1D7B000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
B1A46000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
B18D9000 - \SystemRoot\System32\Drivers\HTTP.sys
B17BF000 - \SystemRoot\system32\DRIVERS\srv.sys
B1697000 - \SystemRoot\system32\drivers\wdmaud.sys
B1952000 - \SystemRoot\system32\drivers\sysaudio.sys
B1630000 - \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys
B1821000 - \SystemRoot\system32\DRIVERS\secdrv.sys
F79E1000 - \SystemRoot\system32\drivers\MSPQM.sys
B1841000 - \SystemRoot\System32\Drivers\Cdfs.SYS
AFC75000 - \SystemRoot\system32\drivers\kmixer.sys
B2927000 - \SystemRoot\system32\DRIVERS\fbxusb32.sys
AFD30000 - \SystemRoot\system32\DRIVERS\nic1394.sys
BA9F7000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 135

Liste des programmes installes

ABBYY FineReader 6.0 Sprint
Ad-Aware SE Professional
Adobe Flash Player 10 ActiveX
Adobe Photoshop 7.0
Adobe Reader 9 - Français
Agere Systems PCI Soft Modem
Apple Mobile Device Support
Apple Software Update
Archiveur WinRAR
ArcSoft PhotoImpression 5
Assistant de connexion Windows Live
Avira AntiVir Personal - Free Antivirus
AviSynth 2.5
Barre d'outils Outlook de Windows Live (Windows Live Toolbar)
Bloqueur de fenêtres pop-up (Windows Live Toolbar)
Bonjour
C-Media High Definition Audio Driver
CA Licensing
Call of Duty(R) 4 - Modern Warfare(TM)
Call of Duty(R) 4 - Modern Warfare(TM)
Call of Duty(R) 4 - Modern Warfare(TM) 1.6 Patch
Call of Duty(R) 4 - Modern Warfare(TM) 1.6 Patch
Call of Duty(R) 4 - Modern Warfare(TM) 1.7 Patch
Call of Duty(R) 4 - Modern Warfare(TM) 1.7 Patch
CCleaner (remove only)
Clean Virus MSN
Compatibility Pack for the 2007 Office system
Correctif n° 2 pour Windows XP Édition Media Center 2005
Correctif pour Lecteur Windows Media 11 (KB939683)
Correctif pour Windows Internet Explorer 7 (KB947864)
Correctif pour Windows XP (KB952287)
Creatix V.92 Data Fax Modem
DigitImg
Détecteur de flux Windows Live Toolbar (Windows Live Toolbar)
EasyCleaner
EPSON Attach To Email
EPSON Attach To Email
EPSON Copy Utility 3
EPSON Event Manager
EPSON File Manager
EPSON Image Clip Palette
EPSON Scan
EPSON Scan Assistant
EVEREST Home Edition v1.51
Extension de Windows Live Toolbar (Windows Live Toolbar)
Extension HighMAT pour l'Assistant Graver un CD de Microsoft Windows XP
Free - Kit de connexion
GdiplusUpgrade
Google Earth
Google Toolbar for Internet Explorer
Google Toolbar for Internet Explorer
Géorando Edition Spéciale
Géorando Edition Spéciale
HijackThis 2.0.2
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows Media Player 10 (KB903157)
HP Software Update
Informations sur votre PC
iTunes
Java(TM) 6 Update 4
Java(TM) 6 Update 7
Kaspersky On-line Scanner
Kaspersky Online Scanner
L&H TTS3000 Français
Lame ACM MP3 Codec
Language pack for Ad-Aware SE
Lecteur Windows Media 11
Macromedia Shockwave Player
Malwarebytes' Anti-Malware
Menus intelligents (Windows Live Toolbar)
Micro Application - Astrologie
Micro Application - Plus de 14 000 Cliparts Vectoriels - CD 1
Micro Application - Plus de 14 000 Cliparts Vectoriels - CD 2
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 French Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Language Pack - FRA
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft ActiveSync 4.0
Microsoft Application Error Reporting
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Professional Edition 2003
Microsoft Search Enhancement Pack
Microsoft SQL Server 2005 Compact Edition [ENU]
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Works 7.0
Mise à jour de sécurité pour Lecteur Windows Media (KB952069)
Mise à jour de sécurité pour Lecteur Windows Media 10 (KB936782)
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782)
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB954154)
Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)
Mise à jour de sécurité pour Step by Step Interactive Training (KB898458)
Mise à jour de sécurité pour Step by Step Interactive Training (KB923723)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB928090)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB931768)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB933566)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB937143)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB939653)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB942615)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB944533)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB950759)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB953838)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB956390)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB958215)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB960714)
Mise à jour de sécurité pour Windows XP (KB923689)
Mise à jour de sécurité pour Windows XP (KB938464)
Mise à jour de sécurité pour Windows XP (KB941569)
Mise à jour de sécurité pour Windows XP (KB946648)
Mise à jour de sécurité pour Windows XP (KB950760)
Mise à jour de sécurité pour Windows XP (KB950762)
Mise à jour de sécurité pour Windows XP (KB950974)
Mise à jour de sécurité pour Windows XP (KB951066)
Mise à jour de sécurité pour Windows XP (KB951376-v2)
Mise à jour de sécurité pour Windows XP (KB951376)
Mise à jour de sécurité pour Windows XP (KB951698)
Mise à jour de sécurité pour Windows XP (KB951748)
Mise à jour de sécurité pour Windows XP (KB952954)
Mise à jour de sécurité pour Windows XP (KB953839)
Mise à jour de sécurité pour Windows XP (KB954211)
Mise à jour de sécurité pour Windows XP (KB954459)
Mise à jour de sécurité pour Windows XP (KB954600)
Mise à jour de sécurité pour Windows XP (KB955069)
Mise à jour de sécurité pour Windows XP (KB956391)
Mise à jour de sécurité pour Windows XP (KB956802)
Mise à jour de sécurité pour Windows XP (KB956803)
Mise à jour de sécurité pour Windows XP (KB956841)
Mise à jour de sécurité pour Windows XP (KB957095)
Mise à jour de sécurité pour Windows XP (KB957097)
Mise à jour de sécurité pour Windows XP (KB958644)
Mise à jour pour Lecteur Windows Media 10 (KB913800)
Mise à jour pour Windows XP (KB951072-v2)
Mise à jour pour Windows XP (KB951978)
Mise à jour pour Windows XP (KB955839)
MobileMe Control Panel
Module de prise en charge linguistique de Microsoft .NET Framework 2.0 - FRA
Morrowind
MSN
MSXML 4.0 SP2 (KB925672)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
Multi Virus Cleaner 2008
Navilog1 3.7.0
Nero Suite
NVIDIA Drivers
OneCare Advisor (Windows Live Toolbar)
OpenMG Secure Module 4.7.00
OpenMG Secure Module 4.7.00
Outil de mise à jour Google
overland
Pack PSP - Ri4m - v1.0a
PCFriendly
PDF-XChange 3
Perf3490P_3590P Guide util.
Photosmart 140,240,7200,7600,7700,7900 Series
PowerDVD
Presto! BizCard 4.1 Fre
Project64 1.6
PS7600
PSShortcuts
Puzzle Express Deluxe
QuickTime
RealArcade
RealPlayer
Ri4m v5.0.1d
Safari
Security Update for CAPICOM (KB931906)
Security Update for CAPICOM (KB931906)
Skype™ 3.8
Spybot - Search & Destroy
Spybot - Search & Destroy 1.5.2.20
SWAT 4
SYSTRAN Premium
TerraExplorer
Utilitaire de sauvegarde Windows
VideoLAN VLC media player 0.8.4a
Viewpoint Media Player
VirginMega.Fr Premium
Visionneuse Journal Windows Microsoft
WebFldrs XP
Winamp (remove only)
Windows Genuine Advantage Notifications (KB905474)
Windows Genuine Advantage Validation Tool (KB892130)
Windows Genuine Advantage Validation Tool (KB892130)
Windows Imaging Component
Windows Internet Explorer 7
Windows Live Favorites pour Windows Live Toolbar
Windows Live Messenger
Windows Live OneCare safety scanner
Windows Live Toolbar
Windows Live Toolbar
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 10 Hotfix - KB894476
Windows Media Player 11
Windows XP Media Center Edition 2005 KB925766
Windows XP Service Pack 3



Le volume dans le lecteur C s'appelle BOOT
Le numéro de série du volume est FCA2-6A3A

Répertoire de C:\Program Files

19/12/2008 19:19 <REP> .
19/12/2008 19:19 <REP> ..
24/11/2006 20:23 <REP> ABBYY FineReader 6.0 Sprint
22/03/2008 11:01 <REP> Activision
24/11/2008 17:22 <REP> Adobe
31/08/2004 12:08 <REP> Ahead
01/09/2008 19:07 <REP> Apple Software Update
02/05/2006 17:16 <REP> ArcSoft
11/04/2005 20:47 <REP> Athocphilippe TIJERAS
19/12/2008 19:12 <REP> Avira
26/10/2008 21:33 <REP> AviSynth 2.5
19/10/2005 19:19 <REP> AVSMedia
16/12/2008 15:06 <REP> AxBx
03/10/2006 10:04 <REP> Axialis
15/12/2008 20:59 <REP> Bonjour
27/11/2007 22:40 <REP> Boonty
09/11/2008 19:50 <REP> BoontyGames
19/12/2008 19:06 <REP> CA
18/12/2008 00:22 <REP> CCleaner
11/03/2008 19:58 <REP> Codemasters
26/05/2008 19:48 <REP> Common Files
25/09/2006 17:00 <REP> ComPlus Applications
14/03/2008 18:50 <REP> Cube
05/10/2004 22:18 <REP> CyberLink
05/01/2005 22:46 <REP> DivX
19/07/2006 16:13 <REP> Electronic Arts
02/05/2006 17:20 <REP> epson
22/10/2008 08:23 <REP> eRightSoft
17/12/2008 18:06 <REP> Fichiers communs
23/02/2008 12:53 <REP> Free
25/11/2006 21:20 <REP> Free Audio Pack
27/10/2004 18:27 <REP> Free.fr
11/03/2008 20:00 <REP> Gamenext
09/12/2007 18:30 <REP> GameSpy Arcade
19/03/2008 14:29 <REP> Georando ES
15/12/2008 09:08 <REP> Google
11/03/2008 20:03 <REP> Hachette Multimédia
01/04/2005 21:07 <REP> Hewlett-Packard
28/08/2004 19:20 <REP> HighMAT CD Writing Wizard
01/02/2005 00:07 <REP> HP
12/12/2007 17:21 <REP> IGN
21/10/2008 11:08 <REP> IncrediMail
28/08/2004 14:40 <REP> Intel
10/12/2008 10:56 <REP> Internet Explorer
23/11/2008 18:46 <REP> iPod
23/11/2008 18:46 <REP> iTunes
03/05/2005 10:57 <REP> Jasc Software Inc
18/07/2008 15:04 <REP> Java
21/02/2005 21:29 <REP> Lavalys
15/03/2006 21:45 <REP> Lavasoft
25/10/2008 10:31 <REP> LucasArts
17/12/2008 23:19 <REP> Malwarebytes' Anti-Malware
03/08/2006 15:46 <REP> Mes Jeux Téléchargés
17/12/2008 17:40 <REP> Messenger
07/08/2006 16:39 <REP> Micro Application
17/12/2008 18:17 <REP> Microsoft
12/12/2007 17:28 <REP> Microsoft ActiveSync
10/05/2007 08:49 <REP> Microsoft CAPICOM 2.1.0.2
28/08/2004 14:33 <REP> microsoft frontpage
07/10/2008 19:42 <REP> Microsoft Office
04/12/2007 19:03 <REP> Microsoft SQL Server Compact Edition
24/04/2007 19:48 <REP> Microsoft Windows OneCare Live
31/08/2004 11:08 <REP> Microsoft Works
31/01/2005 10:17 <REP> Microsoft.NET
07/06/2008 11:30 <REP> Movie Maker
07/05/2006 20:22 <REP> Mozilla Firefox
30/11/2004 17:13 <REP> Mplayer
07/10/2008 19:41 <REP> MSECache
04/06/2005 16:26 <REP> MSN
22/09/2006 14:26 <REP> MSN Games
28/08/2004 14:28 <REP> MSN Gaming Zone
04/12/2007 19:02 <REP> MSN Messenger
20/10/2006 23:58 <REP> MSXML 4.0
16/12/2008 20:42 <REP> Navilog1
07/06/2008 11:24 <REP> NetMeeting
02/05/2006 17:19 <REP> NewSoft
24/11/2008 17:28 <REP> NOS
11/03/2008 20:11 <REP> NovaLogic
09/11/2008 09:49 <REP> OpenOffice.org 2.4
16/11/2008 16:03 <REP> OpenOffice.org 3
07/06/2008 11:24 <REP> Outlook Express
01/11/2006 16:41 <REP> PCFriendly
22/07/2005 11:51 <REP> PhotoFiltre
07/08/2006 16:30 <REP> platform does
11/12/2008 21:30 <REP> QUAD Utilities
24/11/2008 20:43 <REP> QuickTime
03/02/2005 18:23 <REP> Real
01/08/2006 15:08 <REP> ReflexiveArcade
03/12/2008 10:18 <REP> Ripp-it_AM
23/11/2008 18:32 <REP> Safari
28/08/2004 14:31 <REP> Services en ligne
08/12/2007 18:52 <REP> Skyline
10/12/2007 08:48 <REP> Skype
26/05/2008 19:51 <REP> Sony
09/11/2008 16:19 <REP> Spybot - Search & Destroy
25/08/2006 10:17 <REP> StofWare
27/10/2008 09:33 <REP> Studio-Scrap
24/11/2006 20:18 <REP> SYSTRAN
03/05/2008 08:24 0 temp01
25/09/2005 17:41 <REP> ToniArts
19/09/2007 17:44 <REP> Tracker Software
17/12/2008 14:42 <REP> Trend Micro
09/01/2007 19:08 <REP> Unlocker
04/03/2008 11:56 <REP> Valve
31/03/2006 15:39 <REP> VideoLAN
05/10/2004 23:56 <REP> Viewpoint
09/06/2008 10:02 <REP> VirginMega
29/10/2006 18:55 <REP> Winamp
28/08/2004 19:20 <REP> Windows Journal Viewer
17/12/2008 18:30 <REP> Windows Live
30/11/2007 20:01 <REP> Windows Live Favorites
12/12/2008 10:14 <REP> Windows Live Safety Center
30/11/2007 20:01 <REP> Windows Live Toolbar
08/06/2008 19:50 <REP> Windows Media Connect 2
12/06/2008 17:10 <REP> Windows Media Player
07/06/2008 11:24 <REP> Windows NT
28/08/2004 14:29 <REP> Windows Plus
07/07/2007 16:11 <REP> WinRAR
28/08/2004 14:33 <REP> xerox
19/03/2006 21:55 <REP> Yahoo!
29/06/2008 20:03 <REP> Zylom Games
1 fichier(s) 0 octets
120 Rép(s) 16 222 330 880 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le numéro de série du volume est FCA2-6A3A

Répertoire de C:\Program Files\fichiers communs

17/12/2008 18:06 <REP> .
17/12/2008 18:06 <REP> ..
13/11/2008 20:19 <REP> Adobe
31/08/2004 12:08 <REP> Ahead
09/02/2005 14:08 <REP> AOL
07/02/2005 21:59 <REP> aolshare
23/11/2008 18:43 <REP> Apple
29/07/2006 19:09 <REP> BOONTY Shared
31/01/2005 10:18 <REP> DESIGNER
16/01/2005 14:15 <REP> InstallShield
07/07/2008 20:44 <REP> Java
13/11/2008 14:23 <REP> logishrd
17/12/2008 18:30 <REP> Microsoft Shared
28/08/2004 14:31 <REP> MSSoap
03/02/2005 14:59 <REP> ncuneedf
14/08/2006 21:31 <REP> NSV
05/10/2004 23:56 <REP> Nullsoft
08/02/2005 23:02 <REP> ODBC
14/09/2007 13:58 <REP> Real
02/12/2006 22:30 <REP> Services
27/05/2008 20:58 <REP> Skype
26/05/2008 19:51 <REP> Sony Shared
28/08/2004 16:24 <REP> SpeechEngines
07/06/2008 11:24 <REP> System
08/02/2005 21:32 <REP> Vbox
17/12/2008 18:06 <REP> Windows Live
14/09/2007 13:59 <REP> xing shared
0 fichier(s) 0 octets
27 Rép(s) 16 222 330 880 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le numéro de série du volume est FCA2-6A3A

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

17/11/2007 19:30 <REP> .
17/11/2007 19:30 <REP> ..
31/01/2005 10:18 <REP> 1033
17/11/2007 19:30 <REP> 1036
20/09/2005 12:33 1 293 008 MSONSEXT.DLL
22/03/2007 19:29 39 256 MSOSV.DLL
03/06/1999 11:09 122 937 MSOWS409.DLL
07/03/2001 06:00 127 033 MSOWS40c.DLL
11/07/2003 02:25 80 448 PKMWS.DLL
5 fichier(s) 1 662 682 octets
4 Rép(s) 16 222 326 784 octets libres
Le volume dans le lecteur C s'appelle BOOT
Le numéro de série du volume est FCA2-6A3A

Répertoire de C:\Program Files\common files

26/05/2008 19:48 <REP> .
26/05/2008 19:48 <REP> ..
10/02/2005 19:50 <REP> EasyInfo
22/06/2006 19:50 <REP> Scanner
26/05/2008 19:48 <REP> Sony Shared
0 fichier(s) 0 octets
5 Rép(s) 16 222 326 784 octets libres




c:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 8.0.2.20\SetupAdmin.exe
c:\Documents and Settings\All Users\Application Data\Google Updater\cache\installers_ci_chrome_en_1.0.154.36_setup.exe
c:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}\x86\DifXInstall32.exe
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\IRAS3NU2\iv_nt86[1].exe
c:\Documents and Settings\nathalie TIJERAS\Application Data\Adobe\Acrobat\7.0\Updater\AdbeRdr709_fr_FR.exe
c:\Documents and Settings\nathalie TIJERAS\Application Data\Microsoft\Services Windows Live\Raccourci Galerie de Photos Windows Live.exe
c:\Documents and Settings\nathalie TIJERAS\Application Data\Microsoft\Services Windows Live\Raccourci Windows Live Messenger.exe
c:\Documents and Settings\philippe TIJERAS\Application Data\Adobe\Acrobat\7.0\Updater\AdbeRdr709_fr_FR.exe
c:\Documents and Settings\philippe TIJERAS\Bureau\antivir_workstation_winu_fr_h.exe
c:\Documents and Settings\philippe TIJERAS\Bureau\ComboFix.exe
c:\Documents and Settings\philippe TIJERAS\Bureau\OTMoveIt3.exe
c:\Documents and Settings\philippe TIJERAS\Bureau\DiagHelp\catchme.exe
c:\Documents and Settings\philippe TIJERAS\Bureau\DiagHelp\diff.exe
c:\Documents and Settings\philippe TIJERAS\Bureau\DiagHelp\dumphive.exe
c:\Documents and Settings\philippe TIJERAS\Bureau\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\philippe TIJERAS\Bureau\DiagHelp\find2.exe
c:\Documents and Settings\philippe TIJERAS\Bureau\DiagHelp\Fport.exe
c:\Documents and Settings\philippe TIJERAS\Bureau\DiagHelp\grep.exe
c:\Documents and Settings\philippe TIJERAS\Bureau\DiagHelp\gzip.exe
c:\Documents and Settings\philippe TIJERAS\Bureau\DiagHelp\KProcCheck.exe
c:\Documents and Settings\philippe TIJERAS\Bureau\DiagHelp\LFiles.exe
c:\Documents and Settings\philippe TIJERAS\Bureau\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\philippe TIJERAS\Bureau\DiagHelp\md5sums.exe
c:\Documents and Settings\philippe TIJERAS\Bureau\DiagHelp\pslist.exe
c:\Documents and Settings\philippe TIJERAS\Bureau\DiagHelp\sigcheck.exe
c:\Documents and Settings\philippe TIJERAS\Bureau\DiagHelp\streams.exe
c:\Documents and Settings\philippe TIJERAS\Bureau\DiagHelp\swreg.exe
c:\Documents and Settings\philippe TIJERAS\Bureau\DiagHelp\tar.exe
c:\Documents and Settings\philippe TIJERAS\Bureau\Dossier désinfection\ccsetup214.exe
c:\Documents and Settings\philippe TIJERAS\Bureau\Dossier désinfection\HJTInstall.exe
c:\Documents and Settings\philippe TIJERAS\Bureau\Dossier désinfection\kav8_fr_Google.exe
c:\Documents and Settings\philippe TIJERAS\Bureau\Dossier désinfection\mbam-setup.exe
c:\Documents and Settings\philippe TIJERAS\Bureau\Dossier désinfection\SDFix.exe
c:\Documents and Settings\philippe TIJERAS\Bureau\Dossier désinfection\ToolBarSD.exe
c:\Documents and Settings\philippe TIJERAS\Mes documents\SkypeSetup.exe
c:\Documents and Settings\philippe TIJERAS\Mes documents\spybotsd160.exe
c:\Documents and Settings\philippe TIJERAS\Mes documents\terraexplorer_terraexplorer_5.0.2.10_basic_francais_40985.exe
c:\Documents and Settings\philippe TIJERAS\Mes documents\vlc-0.8.4a.exe
c:\Documents and Settings\philippe TIJERAS\Mes documents\winrar340fr.exe
c:\Documents and Settings\philippe TIJERAS\Mes documents\wrar342fr.exe
c:\Documents and Settings\philippe TIJERAS\Mes documents\AD-AWAREPRO et SPYBOT\Ad-AwarePro.exe
c:\Documents and Settings\philippe TIJERAS\Mes documents\AD-AWAREPRO et SPYBOT\Patch_fr_Ad-AwarePro.exe
c:\Documents and Settings\philippe TIJERAS\Mes documents\AD-AWAREPRO et SPYBOT\Dossier SPYBOT\spybotsd152.exe
c:\Documents and Settings\philippe TIJERAS\Mes documents\AD-AWAREPRO et SPYBOT\Nouveau dossier\spybotsd14.exe
c:\Documents and Settings\philippe TIJERAS\Mes documents\cartes GPS\update.exe
c:\Documents and Settings\philippe TIJERAS\Mes documents\Encarta 2006\ADMSETUP.EXE
c:\Documents and Settings\philippe TIJERAS\Mes documents\Encarta 2006\AUTORUN.EXE
c:\Documents and Settings\philippe TIJERAS\Mes documents\Encarta 2006\INSTALL.EXE
c:\Documents and Settings\philippe TIJERAS\Mes documents\Encarta 2006\AREF\CODEC\ENCCA.EXE
c:\Documents and Settings\philippe TIJERAS\Mes documents\Encarta 2006\AREF\COMPNTS\ENCWCSVR.EXE
c:\Documents and Settings\philippe TIJERAS\Mes documents\Encarta 2006\AREF\SPEECH\MSTTSF22.EXE
c:\Documents and Settings\philippe TIJERAS\Mes documents\Encarta 2006\AREF\SPEECH\SPCHAPI.EXE
c:\Documents and Settings\philippe TIJERAS\Mes documents\Encarta 2006\EE\ENCARTA\DW15.EXE
c:\Documents and Settings\philippe TIJERAS\Mes documents\Encarta 2006\EE\ENCARTA\EDICT.EXE
c:\Documents and Settings\philippe TIJERAS\Mes documents\Encarta 2006\EE\ENCARTA\ENCARTA.EXE
c:\Documents and Settings\philippe TIJERAS\Mes documents\Encarta 2006\EE\ENCARTA\ESBSI.EXE
c:\Documents and Settings\philippe TIJERAS\Mes documents\Encarta 2006\REDIST\RUNIT.EXE
c:\Documents and Settings\philippe TIJERAS\Mes documents\Encarta 2006\REDIST\IE6\IE6OEM.EXE
c:\Documents and Settings\philippe TIJERAS\Mes documents\Encarta 2006\REDIST\IE6\IE6SETUP.EXE
c:\Documents and Settings\philippe TIJERAS\Mes documents\Encarta 2006\REDIST\IE6\IEAK6.EXE
c:\Documents and Settings\philippe TIJERAS\Mes documents\Encarta 2006\REDIST\IE6\IEAK6CD.EXE
c:\Documents and Settings\philippe TIJERAS\Mes documents\Encarta 2006\REDIST\MS\DOTNET\DOTNETFX.EXE
c:\Documents and Settings\philippe TIJERAS\Mes documents\Encarta 2006\REDIST\MS\DOTNET\LANGPACK.EXE
c:\Documents and Settings\philippe TIJERAS\Mes documents\Encarta 2006\SUPPORT\MACROMED\FLASH7.EXE
c:\Documents and Settings\philippe TIJERAS\Mes documents\Encarta 2006\SUPPORT\MACROMED\SHKWAVE.EXE
c:\Documents and Settings\philippe TIJERAS\Mes documents\Encodeur vidéo ipod\MAJ_Ri4m_v503b.exe
c:\Documents and Settings\philippe TIJERAS\Mes documents\Encodeur vidéo ipod\Pack_PSP_Ri4m_setup_1a.exe
c:\Documents and Settings\philippe TIJERAS\Mes documents\Encodeur vidéo ipod\RI4M_v501d_setup.exe
c:\Documents and Settings\philippe TIJERAS\Mes documents\Mes images\WindowsXP-KB951376-v2-x86-ENU.exe
c:\Documents and Settings\philippe TIJERAS\Mes documents\Mes télécopies\cube_2005_08_29_win32.exe
c:\Documents and Settings\philippe TIJERAS\Mes documents\Programme d'installation d'Adobe Reader 9\Setup.exe
c:\Documents and Settings\philippe TIJERAS\Mes documents\WM_philippe_T10 My Documents\EVADEO_USHUAIA_EUROPE_UPDATE_2602087_TO_2800004\update.exe
c:\Documents and Settings\philippe TIJERAS\Mes documents\WM_philippe_T10 My Documents\EVADEO_USHUAIA_EUROPE_UPDATE_2602087_TO_2800004\EVADEO\EVASIO\CRISTINELauncher.exe
c:\Documents and Settings\philippe TIJERAS\Mes documents\WM_philippe_TI6 My Documents\EVADEO_USHUAIA_FRANCE_UPDATE_2602087_TO_2800004.exe
c:\Documents and Settings\philippe TIJERAS\Mes documents\WM_philippe_TI8 My Documents\Nouveau dossier\update.exe
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL(2)\ppcrlconfig.dll
c:\Documents and Settings\All Users\Application Data\Skyline\TEDetect.dll
c:\Documents and Settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
c:\Documents and Settings\All Users\Application Data\Zylom\ZylomGamesPlayer\zylomgamesplayer.dll
c:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}\x86\DIFxAPI.dll
c:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}\x86\x86\GEARAspi.dll
c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
c:\Documents and Settings\nathalie TIJERAS\Application Data\Identities\{000HQ7FF-AD7A-3FG3-8AT4-258NF6K78VSP}\xmlparse.dll
c:\Documents and Settings\nathalie TIJERAS\Application Data\Identities\{000HQ7FF-AD7A-3FG6-LH31-23G9CBQV6VSL}\xmlparse.dll
c:\Documents and Settings\nathalie TIJERAS\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll
c:\Documents and Settings\nathalie TIJERAS\Application Data\Microsoft\IdentityCRL\Production\ppcrlconfig.dll
c:\Documents and Settings\nathalie TIJERAS\Application Data\Microsoft\Services Windows Live\Services Windows Live.dll
c:\Documents and Settings\philippe TIJERAS\Application Data\Microsoft\IdentityCRL\PROD\ppcrlconfig.dll
c:\Documents and Settings\philippe TIJERAS\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
c:\Documents and Settings\TEMP\Application Data\Microsoft\IdentityCRL\Production\ppcrlconfig.dll

****** Fin du rapport DiagHelp
Veuillez svp envoyer le fichier C:\upload_moi_PHILIPPE.tar.gz a l'adresse http://upload.malekal.com


A+

   
Répondre à philippe357

28

DllD, le 20 déc 2008 à 17:08:13

Hello Philippe.



Alors,
Tu as réinstallé Boonty Games ? Parce que je le vois de nouveau.
C'est une crasse :
Voici la politique menée par Boonty Games :
"Il se peut que nous partageons aussi des informations payantes avec des tiers
qui fournissent ds services payants et partage des données regroupées montrant le type
et le nombre de jeux videos que vous téléchargez, votre age, votre sexe, vos occupations,
niveau d'éducation, localité géographique, données sur l'équipement de votre ordinateur,
internet et intérêts pour les jeux videos, activités et entrainement des jeux édités.
De plus, nous partageons les adresses email avec des tiers fournisseurs de compte mails
qui nous assistent en envoyant nos mails a de nombreux clients en même temps..."



Bon,
maintenant :
> Télécharge ATF Cleaner par Atribune sur ton bureau.
- Démarre ATF-Cleaner et coche les valeurs suivantes :

Windows Temp
Current User Temp
All Users Temp
Cookies
Temporary Internet Files
Prefetch
Java Cache
Recycle Bin

- Clique sur <Empty Selected> et au message "Done Cleaning" sur <Ok>

NB : Si tu utilises Firefox ou Opera :
- Clique sur Firefox ou Opera en haut puis choisis <Select All>.
- Clique sur le bouton <Empty Selected> (NB : Si tu veux conserver tes mots de passe sauvegardés alors clique sur <No> à l'invite).
- Clique sur <Main> pour revenir à menu principal
- Clique sur <Exit>, du menu prinicipal, pour quitter ATFcleaner.
NB : Si le prefetch est nettoyé le redémarrage du PC sera plus lent.






Ensuite,
> Télécharge OTMoveIT_3 (de Old_Timer) : http://oldtimer.geekstogo.com/OTMoveIt3.exe sur ton bureau...
- Double-clique sur OTMoveIt3.exe pour le lancer.
- Copie le texte qui se trouve ci-dessous et colle-le dans le cadre de gauche de OTMoveIt nommé < Paste standard List of Files/Folders to be moved > ( Image ). 

:processes
explorer.exe

:files
C:\WINDOWS\System32\ikhcore.cfg
C:\WINDOWS\System32\f781aeeb-.txt
C:\WINDOWS\System32\spupdwxp.log 
C:\WINDOWS\System32\lvcoinst.log
C:\WINDOWS\System32\TZLog.log
C:\WINDOWS\setupapi.log
C:\WINDOWS\0.log
C:\WINDOWS\WindowsUpdate.log 
C:\WINDOWS\wiadebug.log
C:\WINDOWS\wiaservc.log
C:\WINDOWS\Sti_Trace.log
C:\Program Files\Boonty 
C:\Program Files\BoontyGames 
C:\Program Files\fichiers communs\BOONTY Shared 

:commands
[emptytemp]
[start explorer]
[reboot]

- Clique sur < MoveIt! > pour lancer la suppression.
N.B :Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.
Un rapport est créé dans %SYSTEMDRIVE%\_OTMoveIt\MovedFiles\date du jour (souvent C:\_OTMoveIt\MovedFiles\), copie-colle-le dans ta réponse suivante.







Puis,
> Télécharge DirLook (de jpshortstuff) : http://jpshortstuff.247fixes.com/DirLook.exe
- Double-clique sur DirLook.exe pour le lancer.
- Assure-toi que "Show Hidden Files" et "BBCode Ouput" soient bien cochés.
- Copie/colle le contenu suivant dans le champ texte principal : 

C:\Program Files\fichiers communs\ncuneedf

- Clique sur le bouton <DirLook> pour lancer l'examen. Quand il est terminé, une fenêtre du Bloc-notes va s'ouvrir avec le résultat du scan.
- Poste le contenu ce rapport dans ta prochaine réponse. (Le rapport se trouve aussi ici C:\dl_log.txt).
Note : Il se peut que l'examen prenne plus de temps pour de gros répertoires.





Après on termine.
Puis, promis, je te libère.



Bon courage.
Formatage en cours...3% Veuillez patienter. Merci.

   
Répondre à DllD

29

philippe357, le 20 déc 2008 à 20:46:54

Salut DllD,

ça va beaucoup mieux, cependant je ne me rappelle pas avoir installé BOONTY GAMES.

Je te transmets les fichier pour OTMolveIt3:


========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
C:\WINDOWS\System32\ikhcore.cfg moved successfully.
C:\WINDOWS\System32\f781aeeb-.txt moved successfully.
C:\WINDOWS\System32\spupdwxp.log moved successfully.
C:\WINDOWS\System32\lvcoinst.log moved successfully.
C:\WINDOWS\System32\TZLog.log moved successfully.
C:\WINDOWS\setupapi.log moved successfully.
C:\WINDOWS\0.log moved successfully.
File move failed. C:\WINDOWS\WindowsUpdate.log scheduled to be moved on reboot.
File move failed. C:\WINDOWS\wiadebug.log scheduled to be moved on reboot.
File move failed. C:\WINDOWS\wiaservc.log scheduled to be moved on reboot.
File move failed. C:\WINDOWS\Sti_Trace.log scheduled to be moved on reboot.
C:\Program Files\Boonty\Components moved successfully.
C:\Program Files\Boonty moved successfully.
C:\Program Files\BoontyGames\Components moved successfully.
C:\Program Files\BoontyGames moved successfully.
C:\Program Files\fichiers communs\BOONTY Shared\Service moved successfully.
C:\Program Files\fichiers communs\BOONTY Shared moved successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\~DF5FA8.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\~DF5FD6.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\~DF66B8.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\~DF6D8B.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\~DF856.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\~DF86F.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\~DF91E6.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\~DFA049.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12202008_203128

Files moved on Reboot...
File move failed. C:\WINDOWS\WindowsUpdate.log scheduled to be moved on reboot.
File move failed. C:\WINDOWS\wiadebug.log scheduled to be moved on reboot.
File move failed. C:\WINDOWS\wiaservc.log scheduled to be moved on reboot.
File move failed. C:\WINDOWS\Sti_Trace.log scheduled to be moved on reboot.
File C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\~DF5FA8.tmp not found!
File C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\~DF5FD6.tmp not found!
File C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\~DF66B8.tmp not found!
C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\~DF6D8B.tmp moved successfully.
File C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\~DF856.tmp not found!
File C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\~DF86F.tmp not found!
File C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\~DF91E6.tmp not found!
File C:\DOCUME~1\PHILIP~1\LOCALS~1\Temp\~DFA049.tmp not found!
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.


et pour DirLook:

DirLook.exe v2.0 by jpshortstuff
Log created at 20:37 on 20/12/2008
==================================[b]
Contents of "C:\Program Files\fichiers communs\ncuneedf"
/b
[b][color=blue]---FOLDERS---/b/color

[b]laatqppd/b (Created on 03/02/2005 at 13:57) d-----
[b]nbftbcqqfe/b (Created on 03/02/2005 at 13:59) d-----

[b][color=blue]---FILES---/b/color

(none found)

==================================
[b][color=blue]=EOF=/b/color


Merci pour ton aide

A+

Philippe

   
Répondre à philippe357

30

DllD, le 20 déc 2008 à 23:27:52

Re,
ok Philippe,
très bien.

Alors voici la fini :

> Télécharge et installe Update Checker : http://www.filehippo.com/updatechecker/FHSetup.exe
- Lance le programme. Une page web de ce type va s'ouvrir.
- Fais les mises à jour de tous les logiciels proposés pour Update. Je ne te conseille pas de faire celles pour les versions béta (elles peuvent être instables).
- Fais un copier/coller de la liste de éléments "Updates" ou de l'adresse http (préférable). Puis poste la sur le forum.
- Une fois les mises à jour effectuées, relance ton PC.
Tuto si problèmes : http://www.commentcamarche.net/faq/sujet 9908 update checker vos logiciels sont ils a jour

> Télécharge ToolsCleaner : http://www.commentcamarche.net/telecharger/telecharger-34055291-toolscleaner sur ton bureau pour supprimer les boîtes de Pandore.
- Clique sur Recherche et laisse le scan agir ...
- Clique sur Suppression pour finaliser (tu peux, si tu le souhaites, te servir des Options facultatives)
- Clique sur Quitter pour obtenir le rapport et poste le dans ta réponse (TCleaner.txt se trouve à la racine de ton disque dur (C:\)).
- Supprime ToolsCleaner ensuite (il n'est pas installé dans Ajout/suppression de programmes. C'est un fichier directement exécutable : pas d'installation).

> Télécharge et installe Easy Cleaner : http://www.01net.com/telecharger/windows/Utilitaire/registre/fiches/8351.html
(lien miroir : http://www.clubic.com/telecharger-fiche11170-easycleaner.html )
- Lance le programme puis clique sur <Registre> puis sur <Trouver>.
- A la fin du scan clique sur <Supprime tout> puis confirme par <Oui> puis quitte le programme.
Si besoin tuto ici : http://www.pcparadise.fr/articles/index.php/tutorial-easycleaner
et http://www.6ma.fr/tuto/easycleaner+nettoyer+windows+des+elements+obsoletes-239

> Tu peux aussi vider ta corbeille.

> Si nous avons utilisé MalwaresByte's Anti-Malware : vide sa quarantaine.
- Lance le programme puis clique sur <Quarantaine>.
- Sélectionne tous les éléments puis clique sur <supprime>.
- Quitte le programme.

> Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait...

> Désactive et réactive la restauration système, pour cela : suis les instructions de ce lien : http://service1.symantec.com/...
PS : Si tu es sous Vista c'est ce lien : http://service1.symantec.com/...

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Quelques conseils et recommandations pour l'avenir :

> Passe un coup d'AGV et/ou de MalwareByte's Anti-Malware et de Ccleaner de temps en temps (1 fois par semaine à 1 fois par mois, suivant l'utilisation que tu fais de ton PC. Tu peux aussi décocher la casse dans l’onglet "Options" de Ccleaner : clique sur "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures").
- Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser.
- Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise))

> Pour bien protéger ton PC :
[1 seul Antivirus] + [1 seul Pare feu (/!\ les routeurs et box en possèdent un)] + [Quelques Antispywares] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows)] + [Utilisation du PC en mode Invité (= limité). Lors d'une infection en mode administrateur le PC est beaucoup plus vulnérable. Voir ICI]
PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect....
Les virus utilisent les failles de ton PC pour infecter un système. Info : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html

> Quelques liens utiles :
- http://www.commentcamarche.net/faq/sujet 2432 securite proteger un ordinateur contre les malwares d internet
- http://sebsauvage.net/safehex.html
- http://telechargement.zebulon.fr/spywareblaster.html (= petit logiciel qui bloque l'installation d'activ-X nuisibles au PC. Fonctionne en arrière plan)



Voila,
Bonne lecture....


A+

PS : N'oublies pas les deux rapports stp : Update Checker (le lien de préférence) et Toolscleaners (le rapport).
Formatage en cours...3% Veuillez patienter. Merci.

   
Répondre à DllD

33

philippe357, le 24 déc 2008 à 15:40:44

Bonjour DllD,

je ne comprends pas, j'ai bien envoyé comme tu me l'avais me demandé les rapports, mais apparement cela n'a pas marché. Comme suivis le procédure je vais devoir télécharcher de nouveau toolcleaner et te renvoyer le rapport.
Je et remercie encore une fois de tout ce que tu as fait pour moi, je te souhaite un joyeux noël et de fêtes de fin d'année.

A+

Philippe

   
Répondre à philippe357

34

philippe357, le 24 déc 2008 à 15:50:02

Voici le rapport de Toolcleaner:
[ Rapport ToolsCleaner version 2.2.9 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\Documents and Settings\philippe TIJERAS\Recent\HijackThis.lnk: trouvé !

A+

Philippe

   
Répondre à philippe357

35

philippe357, le 24 déc 2008 à 15:53:24

Voici la liste des mises à jour qu'il reste à faire

5 Updates Detected
RealPlayer 11.0.0.477
Installed Version: 6.0.12.1662 12.68MB
Safari 3.2.1
Installed Version: 3.2.0.0 19.70MB
Shockwave Player 11.0.3.471
Installed Version: 10.1.0.11 9.08MB
Skype 3.8.0.188
Installed Version: 3.8.0.115 21.25MB
Winamp 5.541 Full
Installed Version: 5.2.4.703 8.57MB
Total size: 71.28MB

4 Beta Updates Detected
Internet Explorer 8.0 Beta 2
Installed Version: 7.0.6000.16762 15.94MB
Skype 4.0.0.176 Beta
Installed Version: 3.8.0.115 23.54MB
Spybot Search & Destroy 1.6.1.41 Beta
Installed Version: 1.6.0.31 15.30MB
Windows Live Messenger 2009 Beta 2
Installed Version: 8.5.1302.1018 1.09MB
Total size: 55.86MB

A+

   
Répondre à philippe357

36

DllD, le 24 déc 2008 à 18:49:03

Hé Philippe !

Bonsoir.

C'est parfait tout ça.

Tu peux conserver les programmes restants.
Fais aussi les mises à jour "5 Updates Detected" afin de limiter les failles de sécurité sur ton PC.

Bonne fêtes de fin d'années à toi et à tes proches. Prends soin de ton PC.

Bye bye. Formatage en cours...3% Veuillez patienter. Merci.

   
Répondre à DllD

37

philippe357, le 26 déc 2008 à 22:08:37

Bonjour DllD,

j'ai encore besoin de tes services si tu es dispo. Je suis en vacances chez mes beau parent et ils ont apparement un gros problème. Je te transmets le rapport d'ANTIVIR.

A+

D'avance merci.

Philipe


Avira AntiVir Personal
Date de création du fichier de rapport : vendredi 26 décembre 2008 18:18

La recherche porte sur 1119750 souches de virus.

Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme : Windows XP
Version de Windows :(Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur :DELON

Informations de version :
BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.1.33 1705984 Bytes 24/12/2008 17:17:03
ANTIVIR2.VDF : 7.1.1.34 2048 Bytes 24/12/2008 17:17:03
ANTIVIR3.VDF : 7.1.1.37 39424 Bytes 25/12/2008 17:17:04
Version du moteur: 8.2.0.45
AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/2008 10:05:56
AESCRIPT.DLL : 8.1.1.19 336252 Bytes 26/12/2008 17:17:08
AESCN.DLL : 8.1.1.5 123251 Bytes 07/11/2008 15:06:41
AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38
AEPACK.DLL : 8.1.3.4 393591 Bytes 11/11/2008 09:41:39
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 26/12/2008 17:17:07
AEHEUR.DLL : 8.1.0.75 1524087 Bytes 26/12/2008 17:17:07
AEHELP.DLL : 8.1.2.0 119159 Bytes 26/12/2008 17:17:05
AEGEN.DLL : 8.1.1.8 323956 Bytes 26/12/2008 17:17:05
AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56
AECORE.DLL : 8.1.5.2 172405 Bytes 26/12/2008 17:17:04
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43

Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, D:, E:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen

Début de la recherche : vendredi 26 décembre 2008 18:18

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'fsavgui.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'fsaua.exe' - '1' module(s) sont contrôlés
Processus de recherche 'fsdfwd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'fssm32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'fsguidll.exe' - '1' module(s) sont contrôlés
Processus de recherche 'fsqh.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FAMEH32.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'FCH32.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'FSMB32.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'FTRTSVC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'fsgk32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FSMA32.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'fsgk32st.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rapimgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TaskBarIcon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wcescomm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'EoEngine.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FSM32.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'qttask.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PDVDServ.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPLpr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ltmoh.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AGRSMMSG.exe' - '1' module(s) sont contrôlés
Processus de recherche 'VTTimer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'VTTrayp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SOUNDMAN.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'47' processus ont été contrôlés avec '47' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'E:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence.
C:\WINDOWS\system32\__c0088A1A.dat
[RESULTAT] Contient le cheval de Troie TR/PSW.Agent.PR
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
[AVERTISSEMENT] Impossible de supprimer le fichier!
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b8132a.qua' !

Le registre a été contrôlé ( '64' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <BOOT>
C:\ARK15D3.tmp
[RESULTAT] Contient le cheval de Troie TR/PSW.Agent.PR
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
[AVERTISSEMENT] Impossible de supprimer le fichier!
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b213277.qua' !
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\Documents and Settings\famille\Local Settings\Application Data\Opera\Opera\profile\cache4\temporary_download\Web-MediaPlayer_setup.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b71394.qua' !
C:\Documents and Settings\famille\Mes documents\jcd88\setup.0xe
[RESULTAT] Contient le cheval de Troie TR/Zlob.2.Gen.337
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c9154d.qua' !
C:\Documents and Settings\famille\Mes documents\jcd88\setup.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Zlob.aadg.1
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c91554.qua' !
C:\Documents and Settings\famille\Mes documents\jcd88\Web-MediaPlayer_setup.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b71560.qua' !
C:\Program Files\Applications\iebt.dll
[RESULTAT] Contient le cheval de Troie TR/Dldr.Zlob.Abdy.1
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b71ae6.qua' !
C:\Program Files\Applications\iebtm.exe
[0] Type d'archive: RSRC
--> Object
[RESULTAT] Contient le cheval de Troie TR/Dldr.Zlob.Abdy.1
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b71aeb.qua' !
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\IBM00002.0LL
[RESULTAT] Contient le cheval de Troie TR/PWS.Sinowal.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49a21af0.qua' !
C:\System Volume Information\_restore{BC706447-ACE3-48A7-814A-7A7D494C4556}\RP162\A0044665.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49851ed0.qua' !
C:\System Volume Information\_restore{BC706447-ACE3-48A7-814A-7A7D494C4556}\RP167\A0047611.0ll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49851ee2.qua' !
C:\System Volume Information\_restore{BC706447-ACE3-48A7-814A-7A7D494C4556}\RP172\A0053195.0ll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49851eed.qua' !
C:\System Volume Information\_restore{BC706447-ACE3-48A7-814A-7A7D494C4556}\RP172\A0053196.dll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49851eee.qua' !
C:\System Volume Information\_restore{BC706447-ACE3-48A7-814A-7A7D494C4556}\RP172\A0053197.dll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4805c667.qua' !
C:\System Volume Information\_restore{BC706447-ACE3-48A7-814A-7A7D494C4556}\RP194\A0068624.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49851f3a.qua' !
C:\System Volume Information\_restore{BC706447-ACE3-48A7-814A-7A7D494C4556}\RP194\A0068625.dll
[RESULTAT] Contient le cheval de Troie TR/Dldr.Zlob.Abdy.1
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49851f3b.qua' !
C:\System Volume Information\_restore{BC706447-ACE3-48A7-814A-7A7D494C4556}\RP194\A0068626.exe
[0] Type d'archive: RSRC
--> Object
[RESULTAT] Contient le cheval de Troie TR/Dldr.Zlob.Abdy.1
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4805c7b4.qua' !
C:\WINDOWS\system32\elubxplx.dll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49ca2357.qua' !
C:\WINDOWS\system32\gmvyvu.0ll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49cb235c.qua' !
C:\WINDOWS\system32\iifebyWM.0ll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49bb235b.qua' !
C:\WINDOWS\system32\jjetdhxh.dll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49ba2360.qua' !
C:\WINDOWS\system32\jspnlqlu.0ll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c5236a.qua' !
C:\WINDOWS\system32\jyhcgarp.0ll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49bd2370.qua' !
C:\WINDOWS\system32\kfwlsjhx.dll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49cc235f.qua' !
C:\WINDOWS\system32\mpwoqk.dll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49cc236f.qua' !
C:\WINDOWS\system32\olhalany.dll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49bd2379.qua' !
C:\WINDOWS\system32\peoysgfh.dll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c42373.qua' !
C:\WINDOWS\system32\pzktds.dll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c0238c.qua' !
C:\WINDOWS\system32\rsfqiuce.0ll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49bb2389.qua' !
C:\WINDOWS\system32\sjrggq.0ll
[RESULTAT] Contient le cheval de Troie TR/Fakealert.13312
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c72384.qua' !
C:\WINDOWS\system32\ssqQJBTK.0ll
[RESULTAT] Contient le cheval de Troie TR/Monder.mmw
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c62391.qua' !
C:\WINDOWS\system32\__c0016729.dat
[RESULTAT] Contient le cheval de Troie TR/Monder.mrn
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b8238d.qua' !
C:\WINDOWS\system32\__c0088A1A.0at
[RESULTAT] Contient le cheval de Troie TR/PSW.Agent.PR
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
[AVERTISSEMENT] Impossible de supprimer le fichier!
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b8238e.qua' !
C:\WINDOWS\system32\__c0088A1A.dat
[RESULTAT] Contient le cheval de Troie TR/PSW.Agent.PR
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '48c7f367.qua' !
C:\WINDOWS\system32\__c00C4747.dat
[RESULTAT] Contient le cheval de Troie TR/Monder.mrn
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b8238f.qua' !
C:\WINDOWS\system32\393340\393340.dll
[RESULTAT] Contient le cheval de Troie TR/BHO.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49882369.qua' !
Recherche débutant dans 'D:\' <BACKUP>
D:\TOOLS\E-TRUST\eTrustAntivirus7.1_90trial_FR_medion.exe
[0] Type d'archive: CAB SFX (self extracting)
--> \eTrustAntivirusOEM\Bin\eAV_S.Win\webpkg.exe
[1] Type d'archive: RSRC
--> Object
[2] Type d'archive: CAB (Microsoft)
--> inoweb.exe
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
Recherche débutant dans 'E:\' <RECOVER>


Fin de la recherche : vendredi 26 décembre 2008 19:35
Temps nécessaire: 1:17:18 Heure(s)

La recherche a été effectuée intégralement

4655 Les répertoires ont été contrôlés
204810 Des fichiers ont été contrôlés
36 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
36 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
204772 Fichiers non infectés
7806 Les archives ont été contrôlées
6 Avertissements
36 Consignes

   
Répondre à philippe357

38

philippe357, le 26 déc 2008 à 22:08:45

Bonjour DllD,

j'ai encore besoin de tes services si tu es dispo. Je suis en vacances chez mes beau parent et ils ont apparement un gros problème. Je te transmets le rapport d'ANTIVIR.

A+

D'avance merci.

Philipe


Avira AntiVir Personal
Date de création du fichier de rapport : vendredi 26 décembre 2008 18:18

La recherche porte sur 1119750 souches de virus.

Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme : Windows XP
Version de Windows :(Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur :DELON

Informations de version :
BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.1.33 1705984 Bytes 24/12/2008 17:17:03
ANTIVIR2.VDF : 7.1.1.34 2048 Bytes 24/12/2008 17:17:03
ANTIVIR3.VDF : 7.1.1.37 39424 Bytes 25/12/2008 17:17:04
Version du moteur: 8.2.0.45
AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/2008 10:05:56
AESCRIPT.DLL : 8.1.1.19 336252 Bytes 26/12/2008 17:17:08
AESCN.DLL : 8.1.1.5 123251 Bytes 07/11/2008 15:06:41
AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38
AEPACK.DLL : 8.1.3.4 393591 Bytes 11/11/2008 09:41:39
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 26/12/2008 17:17:07
AEHEUR.DLL : 8.1.0.75 1524087 Bytes 26/12/2008 17:17:07
AEHELP.DLL : 8.1.2.0 119159 Bytes 26/12/2008 17:17:05
AEGEN.DLL : 8.1.1.8 323956 Bytes 26/12/2008 17:17:05
AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56
AECORE.DLL : 8.1.5.2 172405 Bytes 26/12/2008 17:17:04
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43

Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, D:, E:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen

Début de la recherche : vendredi 26 décembre 2008 18:18

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'fsavgui.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'fsaua.exe' - '1' module(s) sont contrôlés
Processus de recherche 'fsdfwd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'fssm32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'fsguidll.exe' - '1' module(s) sont contrôlés
Processus de recherche 'fsqh.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FAMEH32.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'FCH32.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'FSMB32.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'FTRTSVC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'fsgk32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FSMA32.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'fsgk32st.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rapimgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TaskBarIcon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wcescomm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'EoEngine.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FSM32.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'qttask.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PDVDServ.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPLpr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ltmoh.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AGRSMMSG.exe' - '1' module(s) sont contrôlés
Processus de recherche 'VTTimer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'VTTrayp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SOUNDMAN.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'47' processus ont été contrôlés avec '47' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'E:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence.
C:\WINDOWS\system32\__c0088A1A.dat
[RESULTAT] Contient le cheval de Troie TR/PSW.Agent.PR
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
[AVERTISSEMENT] Impossible de supprimer le fichier!
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b8132a.qua' !

Le registre a été contrôlé ( '64' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <BOOT>
C:\ARK15D3.tmp
[RESULTAT] Contient le cheval de Troie TR/PSW.Agent.PR
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
[AVERTISSEMENT] Impossible de supprimer le fichier!
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b213277.qua' !
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\Documents and Settings\famille\Local Settings\Application Data\Opera\Opera\profile\cache4\temporary_download\Web-MediaPlayer_setup.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b71394.qua' !
C:\Documents and Settings\famille\Mes documents\jcd88\setup.0xe
[RESULTAT] Contient le cheval de Troie TR/Zlob.2.Gen.337
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c9154d.qua' !
C:\Documents and Settings\famille\Mes documents\jcd88\setup.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Zlob.aadg.1
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c91554.qua' !
C:\Documents and Settings\famille\Mes documents\jcd88\Web-MediaPlayer_setup.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b71560.qua' !
C:\Program Files\Applications\iebt.dll
[RESULTAT] Contient le cheval de Troie TR/Dldr.Zlob.Abdy.1
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b71ae6.qua' !
C:\Program Files\Applications\iebtm.exe
[0] Type d'archive: RSRC
--> Object
[RESULTAT] Contient le cheval de Troie TR/Dldr.Zlob.Abdy.1
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b71aeb.qua' !
C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\IBM00002.0LL
[RESULTAT] Contient le cheval de Troie TR/PWS.Sinowal.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49a21af0.qua' !
C:\System Volume Information\_restore{BC706447-ACE3-48A7-814A-7A7D494C4556}\RP162\A0044665.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49851ed0.qua' !
C:\System Volume Information\_restore{BC706447-ACE3-48A7-814A-7A7D494C4556}\RP167\A0047611.0ll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49851ee2.qua' !
C:\System Volume Information\_restore{BC706447-ACE3-48A7-814A-7A7D494C4556}\RP172\A0053195.0ll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49851eed.qua' !
C:\System Volume Information\_restore{BC706447-ACE3-48A7-814A-7A7D494C4556}\RP172\A0053196.dll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49851eee.qua' !
C:\System Volume Information\_restore{BC706447-ACE3-48A7-814A-7A7D494C4556}\RP172\A0053197.dll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4805c667.qua' !
C:\System Volume Information\_restore{BC706447-ACE3-48A7-814A-7A7D494C4556}\RP194\A0068624.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49851f3a.qua' !
C:\System Volume Information\_restore{BC706447-ACE3-48A7-814A-7A7D494C4556}\RP194\A0068625.dll
[RESULTAT] Contient le cheval de Troie TR/Dldr.Zlob.Abdy.1
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49851f3b.qua' !
C:\System Volume Information\_restore{BC706447-ACE3-48A7-814A-7A7D494C4556}\RP194\A0068626.exe
[0] Type d'archive: RSRC
--> Object
[RESULTAT] Contient le cheval de Troie TR/Dldr.Zlob.Abdy.1
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4805c7b4.qua' !
C:\WINDOWS\system32\elubxplx.dll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49ca2357.qua' !
C:\WINDOWS\system32\gmvyvu.0ll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49cb235c.qua' !
C:\WINDOWS\system32\iifebyWM.0ll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49bb235b.qua' !
C:\WINDOWS\system32\jjetdhxh.dll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49ba2360.qua' !
C:\WINDOWS\system32\jspnlqlu.0ll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c5236a.qua' !
C:\WINDOWS\system32\jyhcgarp.0ll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49bd2370.qua' !
C:\WINDOWS\system32\kfwlsjhx.dll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49cc235f.qua' !
C:\WINDOWS\system32\mpwoqk.dll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49cc236f.qua' !
C:\WINDOWS\system32\olhalany.dll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49bd2379.qua' !
C:\WINDOWS\system32\peoysgfh.dll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c42373.qua' !
C:\WINDOWS\system32\pzktds.dll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c0238c.qua' !
C:\WINDOWS\system32\rsfqiuce.0ll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49bb2389.qua' !
C:\WINDOWS\system32\sjrggq.0ll
[RESULTAT] Contient le cheval de Troie TR/Fakealert.13312
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c72384.qua' !
C:\WINDOWS\system32\ssqQJBTK.0ll
[RESULTAT] Contient le cheval de Troie TR/Monder.mmw
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c62391.qua' !
C:\WINDOWS\system32\__c0016729.dat
[RESULTAT] Contient le cheval de Troie TR/Monder.mrn
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b8238d.qua' !
C:\WINDOWS\system32\__c0088A1A.0at
[RESULTAT] Contient le cheval de Troie TR/PSW.Agent.PR
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
[AVERTISSEMENT] Impossible de supprimer le fichier!
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b8238e.qua' !
C:\WINDOWS\system32\__c0088A1A.dat
[RESULTAT] Contient le cheval de Troie TR/PSW.Agent.PR
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '48c7f367.qua' !
C:\WINDOWS\system32\__c00C4747.dat
[RESULTAT] Contient le cheval de Troie TR/Monder.mrn
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b8238f.qua' !
C:\WINDOWS\system32\393340\393340.dll
[RESULTAT] Contient le cheval de Troie TR/BHO.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49882369.qua' !
Recherche débutant dans 'D:\' <BACKUP>
D:\TOOLS\E-TRUST\eTrustAntivirus7.1_90trial_FR_medion.exe
[0] Type d'archive: CAB SFX (self extracting)
--> \eTrustAntivirusOEM\Bin\eAV_S.Win\webpkg.exe
[1] Type d'archive: RSRC
--> Object
[2] Type d'archive: CAB (Microsoft)
--> inoweb.exe
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
Recherche débutant dans 'E:\' <RECOVER>


Fin de la recherche : vendredi 26 décembre 2008 19:35
Temps nécessaire: 1:17:18 Heure(s)

La recherche a été effectuée intégralement

4655 Les répertoires ont été contrôlés
204810 Des fichiers ont été contrôlés
36 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
36 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
204772 Fichiers non infectés
7806 Les archives ont été contrôlées
6 Avertissements
36 Consignes

   
Répondre à philippe357

39

philippe357, le 26 déc 2008 à 22:25:25

Re bonjour DllD,

je te transmets le rapport HijackThis que j'ai fais sur le PC de mes beaux parents, peux tu y jeter un coup d'oeil s'il te plait.

Je t'ai mis le rapport d'antivir en desous.

A+

Philippe

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:20:34, on 26/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\AntivirusFirewall\Common\FSM32.EXE
C:\Program Files\ToniArts\EasyCleaner\EasyClea.exe
C:\Program Files\EoRezo\EoEngine.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
C:\Program Files\AntivirusFirewall\Anti-Virus\FSGK32.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\AntivirusFirewall\Common\FSMB32.EXE
C:\Program Files\AntivirusFirewall\Common\FCH32.EXE
C:\WINDOWS\system32\fxssvc.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsqh.exe
C:\Program Files\AntivirusFirewall\Common\FAMEH32.EXE
C:\Program Files\AntivirusFirewall\FSGUI\fsguidll.exe
C:\Program Files\AntivirusFirewall\FSAUA\program\fsaua.exe
C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fssm32.exe
C:\Program Files\AntivirusFirewall\Anti-Virus\fsav32.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Windows Live Toolbar\msn_sl.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lo.st#home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {0F920657-F252-4F1C-9C44-456D557FE261} - (no file)
O2 - BHO: (no name) - {4F0306EA-D6D9-46B3-9272-97B933F72150} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: EoBho Class - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\EoRezo\EoAdv\EOREZO~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\AntivirusFirewall\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\AntivirusFirewall\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [News Service] "C:\Program Files\AntivirusFirewall\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [ToniArts EasyCleaner] "C:\Program Files\ToniArts\EasyCleaner\EasyClea.exe" -s -startup
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\EoRezo\EoEngine.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [smile] C:\Program Files\Applications\wcs.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.iexplorerfiles.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.iexplorerfiles.com/redirect.php (file missing)
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/...
O20 - Winlogon Notify: 4c0516d3382 - C:\WINDOWS\system32\__c0088A1A.dat
O20 - Winlogon Notify: iifebyWM - iifebyWM.dll (file missing)
O20 - Winlogon Notify: __c008E576 - C:\WINDOWS\
O22 - SharedTaskScheduler: babblement - {d3b82107-f8fa-4ef3-8066-136e22872d4e} - (no file)
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\AntivirusFirewall\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Program Files\AntivirusFirewall\Common\FSMA32.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
End of file - 10926 bytes

   
Répondre à philippe357

40

philippe357, le 27 déc 2008 à 17:49:02

Bonjour DllD,

je te transmets le rapport de Navipromo:




Search Navipromo version 3.7.0 commencé le 27/12/2008 à 17:36:40,73

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 10.12.2008 à 21h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) M processor 1300MHz )
BIOS : Insyde Software MobilePRO BIOS Version 4.20.10
USER : famille ( Administrator )
BOOT : Normal boot

Antivirus : AntiVirus Firewall 7.03 7.03 (Activated)
Firewall : AntiVirus Firewall 7.03 7.03 (Not Activated)

C:\ (Local Disk) - NTFS - Total:19 Go (Free:9 Go)
D:\ (Local Disk) - NTFS - Total:9 Go (Free:8 Go)
E:\ (Local Disk) - FAT32 - Total:7 Go (Free:6 Go)


Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\famille\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\PROPRI~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\famille\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\famille\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\famille\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *



*** Recherche fichiers ***



*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\famille\locals~1\applic~1" :


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :



*** Analyse terminée le 27/12/2008 à 17:42:35,56 ***
A+

Philippe

   
Répondre à philippe357
44 réponses 12 Suivant
Posez votre question Répondre
Ils ont besoin de votre aide