Se connecter / S'enregistrer
Votre question

--VIRUS-- Malware-Gen & DR/Delphi.Gen 2 --BUG--

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
17 Juin 2010 01:37:57

Bonjour,

Depuis quelques temps, mon pc a quelques problèmes.
La barre des tâches (celle du bas) devient blanche et se déforme comme si elle passait en mode "sans échec", puis revient à la normale...
Il arrive que le contrôleur de volume ne fonctionne plus, il ne reconnait plus le périphérique 'son'...
Il ouvre plein de fenêtres 'TERMINER MAINTENANT' avant d'éteindre l'ordinateur...
Le pc est parfois lent... Il lance des erreurs et ferme divers programmes... (Quickplay, entre-autre)...

AVAST avait trouvé plusieurs Malware-Gen... Je ne savais pas vraiment quoi faire, de peur de supprimer des fichiers importants...
J'ai désinstallé AVAST et installé ANTIVIR... Qui ne trouve plus les Malware-Gen mais qui m'ouvre une fenêtre à chaque ouverture de Windows : WINDOWS/system32/'...' est infecté par DR/Delphi.Gen 2
Et il bloque l'accès au fichier, apparemment...

Pouvez-vous me dire quoi faire pour mettre un terme à ces bugs incessants ?
Merci beaucoup !

Je viens d'installer HijackThis, j'ai lancé le scan et voici le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0:42:20, on 17/06/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe
C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe
C:\Program Files\QuickTime\QTTask.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Logitech Vid\vid.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Documents and Settings\Kris.PC-KRIS\Application Data\vmndtxtb\vmn3_1dn.exe
C:\Program Files\Sitecom WL-168 Wireless LAN Driver and Utility\RtWLan.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\WINDOWS\system32\msdtc.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\mqsvc.exe
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HP\QuickPlay\QP.exe
C:\Documents and Settings\Kris.PC-KRIS\Mes documents\Téléchargements\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&lo...
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {3204E9B8-3B0E-44AC-AE10-8A521557EFE4} - c:\windows\system32\libvlfw.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Updater For VMN Toolbar - {d5b8015d-68af-4b2c-9412-e349d82ab4a2} - C:\Program Files\vmndtxtb\auxi\vmndtxAu.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: VMN Toolbar - {f379a94e-3c5d-4bad-b32c-0e3af1cc3617} - C:\Program Files\vmndtxtb\vmndtxDx.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: VMN Toolbar - {f379a94e-3c5d-4bad-b32c-0e3af1cc3617} - C:\Program Files\vmndtxtb\vmndtxDx.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [D-Link D-Link Wireless N DWA-140] C:\Program Files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe" /hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Network Error Advisor] "C:\Program Files\vmndtxtb\EXERunner.exe" \vmndtxtb\vmn3_1dn
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Logitech Vid] "C:\Program Files\Logitech\Logitech Vid\vid.exe" -bootmode
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [dueduf] C:\Documents and Settings\Kris.PC-KRIS\dueduf.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Sitecom WL-168 Wireless LAN Utility.lnk = ?
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986....
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/Gam...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 13930 bytes

Autres pages sur : virus malware gen amp delphi gen bug

a c 295 8 Sécurité
17 Juin 2010 01:43:19

Bonjour,

  • Désinstalle VMN Toolbar.

  • Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
  • Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
  • Sélectionne Exécuter un examen rapide.
  • Clique sur Rechercher. L'analyse démarre.
  • A la fin de l'analyse, un message s'affiche :
    Citation :
    L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  • Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
  • Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
    17 Juin 2010 12:58:10

    voilà le rapport de MBAM :

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4208

    Windows 5.1.2600 Service Pack 2
    Internet Explorer 8.0.6001.18702

    17/06/2010 12:53:39
    mbam-log-2010-06-17 (12-53-39).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 166004
    Temps écoulé: 29 minute(s), 28 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 1
    Dossier(s) infecté(s): 1
    Fichier(s) infecté(s): 3

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    C:\Program Files\RXToolBar (Adware.RXToolbar) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    C:\WINDOWS\Fonts\acrsecB.fon (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\Fonts\acrsecI.fon (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\smdat32m.sys (Rootkit.Agent) -> Quarantined and deleted successfully.



    Je redémarre le pc... ! J'espère qu'il va se rallumer lol
    17 Juin 2010 13:10:38

    Je viens de rebooter.

    A l'ouverture de Windows, Antivir a de nouveau ouvert une fenêtre pour signaler une infection de "C:/Windows/System32/libvlfw.dll" par DR/Delphi.Gen2.

    J'ai coché 'refuser l'accès'.
    a c 295 8 Sécurité
    17 Juin 2010 18:12:14

  • Relance MBAM, va dans Quarantaine et supprime tout.

  • Télécharge OTL (de OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
  • Coche également les cases à côté de Recherche Lop et Recherche Purity.
  • Enfin, clique sur le bouton Analyse. Le scan ne prendra pas beaucoup de temps.
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

    Pour me transmettre les rapports :
  • Clique sur ce lien : http://www.cijoint.fr/
  • Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
  • Clique sur Ouvrir.
  • Clique sur Cliquez ici pour déposer le fichier.
  • Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
  • Copie-colle ce lien dans ta réponse.
    a c 295 8 Sécurité
    17 Juin 2010 22:35:29

  • Fais analyser ce fichier : C:\WINDOWS\system32\drivers\euijkfla.sys

  • Sur VirusTotal et poste le lien de l'analyse.
    19 Juin 2010 11:39:06

    Oops ! Je n'avais pas reçu de notification pour m'informer de ta réponse ! Désolé
    Je viens de faire analyser le fichier sur VirusTotal et voici le lien :

    http://www.virustotal.com/fr/analisis/848e14750d3b68330...

    - En plus du dropper DR/Delphi.Gen2 qui infecte C:/Windows/system32/libvlfw.dll, Antivir m'ouvre parfois une nouvelle fenêtre d'infection de C:/Windows/temp/hlye.tmp/svchost.exe par le trojan TR/Dldr.Agent.dtdv.3

    Quelle action dois-je cocher pour ces deux fenêtres ? Mettre en quarantaine ? Supprimer ? Refuser l'accès ?

    - Les trois fenêtres 'Terminer maintenant' qui s'ouvrent quand j'éteint le pc sont les suivantes :
    HpQiMzone.exe
    Vid.exe
    explorer.exe

    Merci beaucoup.
    a c 295 8 Sécurité
    19 Juin 2010 17:55:21

    [#ff0000]/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\[/#f]

  • Télécharge ComboFix ([#ff0000]sUBs[/#f]) sur ton Bureau.
  • Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
  • Il va te demander d'installer la console de récupération : accepte.
  • Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

    Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
    19 Juin 2010 19:37:04

    Voilà qui est fait !


    ComboFix 10-06-18.03 - Kris 19/06/2010 18:46:51.1.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.32.1036.18.959.472 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Kris.PC-KRIS\Bureau\ComboFix.exe
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\All Users.\documents\settings
    c:\documents and settings\Kris.PC-KRIS\autorun.inf
    c:\documents and settings\Kris.PC-KRIS\zskfi.bak
    c:\program files\Need2Find
    c:\program files\Need2Find\bar\1.bin\N2FFXTBR.JAR
    c:\program files\Need2Find\bar\1.bin\N2NTSTBR.JAR
    c:\program files\Need2Find\bar\1.bin\PARTNER.DAT
    c:\program files\Need2Find\bar\Cache\00DCD236
    c:\program files\Need2Find\bar\Cache\files.ini
    c:\program files\Need2Find\bar\History\search
    c:\program files\Need2Find\bar\Settings\prevcfg.htm
    c:\windows\Fonts\acrsec.fon
    c:\windows\system32\drivers\euijkfla.sys
    c:\windows\system32\drivers\uitnwmfu.sys
    c:\windows\system32\kuehmvf.dll
    c:\windows\system32\libvlfw.dll
    c:\windows\xpsp1hfm.log
    D:\Autorun.inf

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_CSNPNGIC
    -------\Legacy_EUIJKFLA
    -------\Service_csnpngic
    -------\Service_euijkfla


    ((((((((((((((((((((((((((((( Fichiers créés du 2010-05-19 au 2010-06-19 ))))))))))))))))))))))))))))))))))))
    .

    2010-06-17 22:55 . 2010-06-17 22:55 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\Xilisoft Corporation
    2010-06-16 18:47 . 2010-06-16 18:47 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\Malwarebytes
    2010-06-16 18:45 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-06-16 18:45 . 2010-06-16 18:45 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2010-06-16 18:45 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-06-16 18:45 . 2010-06-16 18:45 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-06-14 20:33 . 2010-06-14 20:33 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
    2010-06-12 14:42 . 2010-06-12 14:42 -------- d-sh--w- c:\documents and settings\NetworkService\Temporary Internet Files
    2010-06-12 14:42 . 2010-06-12 14:42 -------- d-sh--w- c:\documents and settings\NetworkService\Historique
    2010-06-12 13:41 . 2010-06-12 13:41 262496 ----a-w- c:\windows\system32\SATC2_Screensaver.scr
    2010-06-12 13:41 . 2010-06-12 13:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Screentime
    2010-06-12 13:40 . 2010-06-12 13:41 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Local Settings\Application Data\Screentime
    2010-06-12 13:31 . 2009-03-30 07:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
    2010-06-12 13:31 . 2009-11-25 09:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
    2010-06-12 13:31 . 2009-02-13 09:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
    2010-06-12 13:31 . 2009-02-13 09:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
    2010-06-12 13:31 . 2010-06-12 13:31 -------- d-----w- c:\program files\Avira
    2010-06-12 13:31 . 2010-06-12 13:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
    2010-06-10 14:01 . 2008-06-24 16:15 311296 ----a-w- c:\windows\SetupX32.EXE
    2010-06-10 14:01 . 2007-04-24 17:31 10240 ----a-w- c:\windows\system32\ucinst32.dll
    2010-06-10 09:31 . 2010-06-10 09:31 -------- d-----r- c:\documents and settings\NetworkService\Favoris
    2010-06-05 10:40 . 2009-05-18 11:17 26600 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys
    2010-06-05 10:40 . 2008-04-17 10:12 107368 ----a-w- c:\windows\system32\GEARAspi.dll
    2010-06-05 10:38 . 2010-06-05 10:40 -------- d-----w- c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
    2010-05-22 23:43 . 2010-05-22 23:43 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\AdobeUM

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-06-19 17:05 . 2007-06-07 18:23 12 ----a-w- c:\windows\bthservsdp.dat
    2010-06-19 14:06 . 2010-04-18 00:51 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\vlc
    2010-06-12 14:37 . 2010-04-18 00:51 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\dvdcss
    2010-06-12 13:15 . 2010-03-16 17:35 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software
    2010-06-12 12:53 . 2008-07-11 10:48 -------- d-----w- c:\program files\QuickTime
    2010-06-12 12:53 . 2008-01-06 12:28 -------- d-----w- c:\program files\Spybot - Search & Destroy
    2010-06-08 22:55 . 2010-05-04 22:47 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\Apple Computer
    2010-06-05 17:52 . 2007-02-12 19:38 -------- d-----w- c:\program files\Messenger Plus! Live
    2010-06-05 10:40 . 2008-07-11 10:49 -------- d-----w- c:\program files\iTunes
    2010-06-05 10:37 . 2008-07-11 10:47 -------- d-----w- c:\program files\Apple Software Update
    2010-06-05 10:36 . 2008-07-11 10:48 -------- d-----w- c:\program files\Bonjour
    2010-06-04 10:51 . 2010-04-17 14:32 0 ----a-w- c:\windows\system32\drivers\lvuvc.hs
    2010-06-04 10:51 . 2010-04-17 14:32 0 ----a-w- c:\windows\system32\drivers\logiflt.iad
    2010-06-04 00:05 . 2010-04-22 19:34 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\Skype
    2010-06-03 22:04 . 2010-04-25 18:26 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\skypePM
    2010-06-01 15:10 . 2006-06-29 09:24 88400 ----a-w- c:\windows\system32\perfc00C.dat
    2010-06-01 15:10 . 2006-06-29 09:24 522612 ----a-w- c:\windows\system32\perfh00C.dat
    2010-05-20 08:57 . 2010-03-06 13:38 -------- d-----w- c:\program files\Microsoft Silverlight
    2010-05-14 22:58 . 2010-05-14 22:58 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\Facebook
    2010-05-08 11:09 . 2010-05-08 11:09 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\CocoonSoftware
    2010-04-30 09:35 . 2010-04-30 09:35 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\Sonic
    2010-04-28 08:36 . 2010-04-28 08:36 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\Elaborate Bytes
    2010-04-28 08:28 . 2007-02-12 21:33 -------- d-----w- c:\program files\Elaborate Bytes
    2010-04-28 08:26 . 2010-03-19 14:56 -------- d-----w- c:\program files\DVD Region+CSS Free
    2010-04-25 18:26 . 2010-04-25 18:26 56 ---ha-w- c:\windows\system32\ezsidmv.dat
    2010-04-20 20:00 . 2007-02-20 15:09 -------- d-----w- c:\program files\Visicom Media
    2010-04-17 07:11 . 2010-04-17 07:12 411368 ----a-w- c:\windows\system32\deployJava1.dll
    2010-04-16 16:42 . 2010-04-16 16:40 135 ----a-w- c:\documents and settings\Kris.PC-KRIS\Local Settings\Application Data\fusioncache.dat
    2010-04-16 13:46 . 2010-03-18 10:16 112 ----a-w- c:\documents and settings\All Users\Application Data\EkkBRQ0x.dat
    2010-04-08 11:20 . 2010-04-08 11:20 91424 ----a-w- c:\windows\system32\dnssd.dll
    2010-04-08 11:20 . 2010-04-08 11:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
    2010-03-22 10:11 . 2010-02-22 18:10 128571 ----a-w- c:\windows\hpoins11.dat
    2006-12-09 21:01 . 2007-02-13 00:51 22 --sha-w- c:\windows\SMINST\HPCD.SYS
    .
    1. <pre>
    2. c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2 .exe
    3. c:\program files\AVG\AVG9\avgtray .exe
    4. c:\program files\CardDetector\ICON225\CardDetector .exe
    5. c:\program files\CyberLink\PowerDVD\Language\Language .exe
    6. c:\program files\D-Link\D-Link Wireless N DWA-140\AirNCFG .exe
    7. c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier .exe
    8. c:\program files\Fichiers communs\Java\Java Update\jusched .exe
    9. c:\program files\Fichiers communs\Real\Update_OB\realsched .exe
    10. c:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas .exe
    11. c:\program files\Hewlett-Packard\Default Settings\cpqset .exe
    12. c:\program files\HP\HP Software Update\HPWuSchd2 .exe
    13. c:\program files\HP\QuickPlay\QPService .exe
    14. c:\program files\HPQ\HP Wireless Assistant\HP Wireless Assistant .exe
    15. c:\program files\iTunes\iTunesHelper .exe
    16. c:\program files\Java\jre1.5.0_06\bin\jusched .exe
    17. c:\program files\Java\jre6\bin\jusched .exe
    18. c:\program files\Logitech\Logitech Vid\vid .exe
    19. c:\program files\Logitech\Logitech WebCam Software\LWS .exe
    20. c:\program files\Pinnacle\Shared Files\Programs\WebUpdater\WebUpdater .exe
    21. c:\program files\QuickTime\QTTask .exe
    22. c:\program files\Skype\Phone\Skype .exe
    23. c:\program files\Spybot - Search & Destroy\TeaTimer .exe
    24. c:\program files\Synaptics\SynTP\SynTPEnh .exe
    25. c:\program files\Windows Live\Messenger\msnmsgr .exe
    26. c:\windows\ehome\ehtray .exe
    27. c:\windows\SMINST\RecGuard .exe
    28. </pre>


    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Logitech Vid"="c:\program files\Logitech\Logitech Vid\vid.exe" [2009-04-30 5472016]
    "MsnMsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
    "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
    "dueduf"="c:\documents and settings\Kris.PC-KRIS\dueduf.exe" [N/A]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
    "hpWirelessAssistant"="c:\program files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-05-03 458752]
    "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-18 7585792]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-18 86016]
    "nwiz"="nwiz.exe" [2006-08-18 1617920]
    "MsmqIntCert"="mqrt.dll" [2009-06-25 177152]
    "High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-06-02 61952]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-04-01 761946]
    "QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2006-07-11 102400]
    "HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
    "QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-06-19 163840]
    "Cpqset"="c:\program files\Hewlett-Packard\Default Settings\cpqset.exe" [2006-05-30 40960]
    "RecGuard"="c:\windows\SMINST\RecGuard.exe" [2005-10-11 1187840]
    "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2010-04-27 202256]
    "ANIWZCS2Service"="c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
    "D-Link D-Link Wireless N DWA-140"="c:\program files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe" [2008-03-27 1675264]
    "LogitechQuickCamRibbon"="c:\program files\Logitech\Logitech WebCam Software\LWS.exe" [2009-05-08 2780432]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
    "BluetoothAuthenticationAgent"="bthprops.cpl" [2006-03-25 110592]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-28 142120]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-25 15360]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2009-2-24 110592]
    D‚marrage rapide de HP Photosmart Premier.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2005-9-24 73728]
    HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]
    Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
    Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
    Sitecom WL-168 Wireless LAN Utility.lnk - c:\program files\Sitecom WL-168 Wireless LAN Driver and Utility\RtWLan.exe [2007-9-9 749568]

    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
    "{93994DE8-8239-4655-B1D1-5F4E91300429}"= "c:\progra~1\DVDREG~1\DVDShell.dll" [2004-10-09 49152]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\WINDOWS\\system32\\mqsvc.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=
    "c:\\Program Files\\Logitech\\Logitech Vid\\Vid.exe"=

    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [12/06/2010 15:31 108289]
    S3 5U870CAP_VID_1262&PID_25FD;HP Pavilion Webcam ;c:\windows\system32\drivers\5U870CAP.sys [6/06/2006 22:39 61952]
    S3 Chresrv;Chresrv; [x]

    --- Autres Services/Pilotes en mémoire ---

    *NewlyCreated* - EUIJKFLA
    *Deregistered* - euijkfla
    .
    Contenu du dossier 'Tâches planifiées'

    2010-06-19 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-2337053553-1222169575-3096180240-1005.job
    - c:\program files\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]

    2010-06-19 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-2337053553-1222169575-3096180240-1005.job
    - c:\program files\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_BE&c=64&bd=pavilion&pf=laptop
    uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_BE&c=64&bd=pavilion&pf=laptop
    uInternet Settings,ProxyOverride = *.local
    IE: &Traduire à partir de l'anglais - c:\program files\Google\GoogleToolbar1.dll/cmwordtrans.html
    IE: Pages liées - c:\program files\Google\GoogleToolbar1.dll/cmbacklinks.html
    IE: Pages similaires - c:\program files\Google\GoogleToolbar1.dll/cmsimilar.html
    IE: Recherche &Google - c:\program files\Google\GoogleToolbar1.dll/cmsearch.html
    IE: Version de la page actuelle disponible dans le cache Google - c:\program files\Google\GoogleToolbar1.dll/cmcache.html
    IE: {{898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - c:\program files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-06-19 19:08
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    Cpqset = c:\program files\Hewlett-Packard\Default Settings\cpqset.exe????????????<?@? ????w??????Y?@?????<?@

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x85701EC5]<<
    kernel: MBR read successfully
    detected MBR rootkit hooks:
    \Driver\Disk -> CLASSPNP.SYS @ 0xf74fbfc3
    \Driver\ACPI -> ACPI.sys @ 0xf735dcb8
    \Driver\atapi -> atapi.sys @ 0xf72d17b4
    IoDeviceObjectType -> SecurityProcedure -> ntkrnlpa.exe @ 0x80582be6
    \Device\Harddisk0\DR0 -> SecurityProcedure -> ntkrnlpa.exe @ 0x80582be6
    NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> NDIS.sys @ 0xf71c4b30
    PacketIndicateHandler -> NDIS.sys @ 0xf71b3a0d
    SendHandler -> NDIS.sys @ 0xf71c7ac0
    user & kernel MBR OK

    **************************************************************************
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'explorer.exe'(3344)
    c:\windows\TEMP\logishrd\LVPrcInj01.dll
    c:\progra~1\WINDOW~2\wmpband.dll
    c:\windows\system32\webcheck.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\system32\msdtc.exe
    c:\program files\Avira\AntiVir Desktop\avguard.exe
    c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    c:\program files\Bonjour\mDNSResponder.exe
    c:\windows\eHome\ehRecvr.exe
    c:\windows\eHome\ehSched.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
    c:\program files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
    c:\windows\system32\nvsvc32.exe
    c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    c:\windows\ehome\mcrdsvc.exe
    c:\windows\system32\mqsvc.exe
    c:\program files\Windows Media Player\WMPNetwk.exe
    c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
    c:\windows\system32\mqtgsvc.exe
    c:\windows\system32\dllhost.exe
    c:\windows\system32\wscntfy.exe
    c:\windows\system32\wbem\wmiapsrv.exe
    c:\windows\system32\RUNDLL32.EXE
    c:\windows\eHome\ehmsas.exe
    c:\windows\system32\rundll32.exe
    c:\program files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
    c:\program files\HP\Digital Imaging\bin\hpqimzone.exe
    c:\program files\iPod\bin\iPodService.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-06-19 19:20:32 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-06-19 17:20

    Avant-CF: 44.092.354.560 octets libres
    Après-CF: 44.724.023.296 octets libres

    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

    - - End Of File - - CB49C5CEE008682BE1DF4572F907BBAC
    a c 295 8 Sécurité
    19 Juin 2010 20:46:58

    /!\ Seul krisdenerfs peut suivre cette procédure /!\

    Désactive toute protection résidente (Antivirus...) !

    ---> Copie (CTRL+C) le texte se situant dans le cadre ci-dessous :

    KillAll::

    Driver::
    Chresrv

    File::
    c:\documents and settings\Kris.PC-KRIS\dueduf.exe
    c:\documents and settings\All Users\Application Data\EkkBRQ0x.dat

    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "dueduf"=-

    RenV::
    c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2 .exe
    c:\program files\AVG\AVG9\avgtray .exe
    c:\program files\CardDetector\ICON225\CardDetector .exe
    c:\program files\CyberLink\PowerDVD\Language\Language .exe
    c:\program files\D-Link\D-Link Wireless N DWA-140\AirNCFG .exe
    c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier .exe
    c:\program files\Fichiers communs\Java\Java Update\jusched .exe
    c:\program files\Fichiers communs\Real\Update_OB\realsched .exe
    c:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas .exe
    c:\program files\Hewlett-Packard\Default Settings\cpqset .exe
    c:\program files\HP\HP Software Update\HPWuSchd2 .exe
    c:\program files\HP\QuickPlay\QPService .exe
    c:\program files\HPQ\HP Wireless Assistant\HP Wireless Assistant .exe
    c:\program files\iTunes\iTunesHelper .exe
    c:\program files\Java\jre1.5.0_06\bin\jusched .exe
    c:\program files\Java\jre6\bin\jusched .exe
    c:\program files\Logitech\Logitech Vid\vid .exe
    c:\program files\Logitech\Logitech WebCam Software\LWS .exe
    c:\program files\Pinnacle\Shared Files\Programs\WebUpdater\WebUpdater .exe
    c:\program files\QuickTime\QTTask .exe
    c:\program files\Skype\Phone\Skype .exe
    c:\program files\Spybot - Search & Destroy\TeaTimer .exe
    c:\program files\Synaptics\SynTP\SynTPEnh .exe
    c:\program files\Windows Live\Messenger\msnmsgr .exe
    c:\windows\ehome\ehtray .exe
    c:\windows\SMINST\RecGuard .exe

    ---> Ouvre le Bloc-notes : Démarrer > Tous les programmes > Accessoires > Bloc-notes.

    - Colle (CTRL+V) le texte dans le Bloc-notes.
    - Enregistre ce fichier dans : Bureau
    - Nom du fichier : CFScript
    - Type du fichier : tous les fichiers !!
    - Clique sur Enregistrer.
    - Quitte le Bloc-notes.

    ---> Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :



  • Cela va relancer Combofix : au message qui apparaît, accepte.
  • Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
  • Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher, copie/colle son contenu sur le forum.
  • Si le fichier ne s'ouvre pas, il se trouve ici : C:\ComboFix.txt

    ;) 
    19 Juin 2010 20:58:41

    Houlaaaa :heink: 
    Ca a l'air de plus en plus sérieux ... J'ai méga peur de ce que je vais devoir faire...
    Si mon PC ne s'allume plus... :cry: 
    20 Juin 2010 15:32:11

    A chaque fois que je lance ComboFix, il doit redémarrer le pc à cause de "rootkit", j'espère que c'est normal...

    Voici le rapport :

    ComboFix 10-06-18.03 - Kris 20/06/2010 14:43:01.2.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.32.1036.18.959.599 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Kris.PC-KRIS\Bureau\ComboFix.exe
    Commutateurs utilisés :: c:\documents and settings\Kris.PC-KRIS\Bureau\CFScript.txt
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

    FILE ::
    "c:\documents and settings\All Users\Application Data\EkkBRQ0x.dat"
    "c:\documents and settings\Kris.PC-KRIS\dueduf.exe"
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\All Users\Application Data\EkkBRQ0x.dat

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Service_Chresrv


    ((((((((((((((((((((((((((((( Fichiers créés du 2010-05-20 au 2010-06-20 ))))))))))))))))))))))))))))))))))))
    .

    2010-06-17 22:55 . 2010-06-17 22:55 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\Xilisoft Corporation
    2010-06-16 18:47 . 2010-06-16 18:47 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\Malwarebytes
    2010-06-16 18:45 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-06-16 18:45 . 2010-06-16 18:45 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2010-06-16 18:45 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-06-16 18:45 . 2010-06-16 18:45 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-06-14 20:33 . 2010-06-14 20:33 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
    2010-06-12 14:42 . 2010-06-12 14:42 -------- d-sh--w- c:\documents and settings\NetworkService\Temporary Internet Files
    2010-06-12 14:42 . 2010-06-12 14:42 -------- d-sh--w- c:\documents and settings\NetworkService\Historique
    2010-06-12 13:41 . 2010-06-12 13:41 262496 ----a-w- c:\windows\system32\SATC2_Screensaver.scr
    2010-06-12 13:41 . 2010-06-12 13:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Screentime
    2010-06-12 13:40 . 2010-06-12 13:41 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Local Settings\Application Data\Screentime
    2010-06-12 13:31 . 2009-03-30 07:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
    2010-06-12 13:31 . 2009-11-25 09:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
    2010-06-12 13:31 . 2009-02-13 09:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
    2010-06-12 13:31 . 2009-02-13 09:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
    2010-06-12 13:31 . 2010-06-12 13:31 -------- d-----w- c:\program files\Avira
    2010-06-12 13:31 . 2010-06-12 13:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
    2010-06-10 14:01 . 2008-06-24 16:15 311296 ----a-w- c:\windows\SetupX32.EXE
    2010-06-10 14:01 . 2007-04-24 17:31 10240 ----a-w- c:\windows\system32\ucinst32.dll
    2010-06-10 09:31 . 2010-06-10 09:31 -------- d-----r- c:\documents and settings\NetworkService\Favoris
    2010-06-05 10:40 . 2009-05-18 11:17 26600 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys
    2010-06-05 10:40 . 2008-04-17 10:12 107368 ----a-w- c:\windows\system32\GEARAspi.dll
    2010-06-05 10:38 . 2010-06-05 10:40 -------- d-----w- c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
    2010-05-22 23:43 . 2010-05-22 23:43 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\AdobeUM

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-06-20 12:58 . 2008-01-06 12:28 -------- d-----w- c:\program files\Spybot - Search & Destroy
    2010-06-20 12:57 . 2007-06-07 18:23 12 ----a-w- c:\windows\bthservsdp.dat
    2010-06-20 12:43 . 2006-06-29 09:24 88400 ----a-w- c:\windows\system32\perfc00C.dat
    2010-06-20 12:43 . 2006-06-29 09:24 522612 ----a-w- c:\windows\system32\perfh00C.dat
    2010-06-20 12:42 . 2008-07-11 10:49 -------- d-----w- c:\program files\iTunes
    2010-06-19 18:17 . 2010-04-18 00:51 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\vlc
    2010-06-19 18:08 . 2010-04-18 00:51 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\dvdcss
    2010-06-19 17:41 . 2007-02-12 19:38 -------- d-----w- c:\program files\Messenger Plus! Live
    2010-06-12 13:15 . 2010-03-16 17:35 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software
    2010-06-12 12:53 . 2008-07-11 10:48 -------- d-----w- c:\program files\QuickTime
    2010-06-08 22:55 . 2010-05-04 22:47 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\Apple Computer
    2010-06-05 10:37 . 2008-07-11 10:47 -------- d-----w- c:\program files\Apple Software Update
    2010-06-05 10:36 . 2008-07-11 10:48 -------- d-----w- c:\program files\Bonjour
    2010-06-04 10:51 . 2010-04-17 14:32 0 ----a-w- c:\windows\system32\drivers\lvuvc.hs
    2010-06-04 10:51 . 2010-04-17 14:32 0 ----a-w- c:\windows\system32\drivers\logiflt.iad
    2010-06-04 00:05 . 2010-04-22 19:34 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\Skype
    2010-06-03 22:04 . 2010-04-25 18:26 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\skypePM
    2010-05-20 08:57 . 2010-03-06 13:38 -------- d-----w- c:\program files\Microsoft Silverlight
    2010-05-14 22:58 . 2010-05-14 22:58 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\Facebook
    2010-05-08 11:09 . 2010-05-08 11:09 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\CocoonSoftware
    2010-04-30 09:35 . 2010-04-30 09:35 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\Sonic
    2010-04-28 08:36 . 2010-04-28 08:36 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\Elaborate Bytes
    2010-04-28 08:28 . 2007-02-12 21:33 -------- d-----w- c:\program files\Elaborate Bytes
    2010-04-28 08:26 . 2010-03-19 14:56 -------- d-----w- c:\program files\DVD Region+CSS Free
    2010-04-25 18:26 . 2010-04-25 18:26 56 ---ha-w- c:\windows\system32\ezsidmv.dat
    2010-04-17 07:11 . 2010-04-17 07:12 411368 ----a-w- c:\windows\system32\deployJava1.dll
    2010-04-16 16:42 . 2010-04-16 16:40 135 ----a-w- c:\documents and settings\Kris.PC-KRIS\Local Settings\Application Data\fusioncache.dat
    2010-04-08 11:20 . 2010-04-08 11:20 91424 ----a-w- c:\windows\system32\dnssd.dll
    2010-04-08 11:20 . 2010-04-08 11:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
    2006-12-09 21:01 . 2007-02-13 00:51 22 --sha-w- c:\windows\SMINST\HPCD.SYS
    .
    1. <pre>
    2. c:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas .exe
    3. c:\program files\QuickTime\QTTask .exe
    4. c:\program files\Skype\Phone\Skype .exe
    5. c:\program files\Windows Live\Messenger\msnmsgr .exe
    6. </pre>


    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Logitech Vid"="c:\program files\Logitech\Logitech Vid\vid.exe" [2009-04-30 5472016]
    "MsnMsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
    "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
    "hpWirelessAssistant"="c:\program files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-05-03 458752]
    "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-18 7585792]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-18 86016]
    "nwiz"="nwiz.exe" [2006-08-18 1617920]
    "MsmqIntCert"="mqrt.dll" [2009-06-25 177152]
    "High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-06-02 61952]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-04-01 761946]
    "QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2006-07-11 102400]
    "HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
    "QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-06-19 163840]
    "Cpqset"="c:\program files\Hewlett-Packard\Default Settings\cpqset.exe" [2006-05-30 40960]
    "RecGuard"="c:\windows\SMINST\RecGuard.exe" [2005-10-11 1187840]
    "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-05-12 185896]
    "ANIWZCS2Service"="c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
    "D-Link D-Link Wireless N DWA-140"="c:\program files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe" [2007-03-14 1388544]
    "LogitechQuickCamRibbon"="c:\program files\Logitech\Logitech WebCam Software\LWS.exe" [2009-05-08 2780432]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
    "BluetoothAuthenticationAgent"="bthprops.cpl" [2006-03-25 110592]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-07-10 289064]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-25 15360]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2009-2-24 110592]
    D‚marrage rapide de HP Photosmart Premier.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2005-9-24 73728]
    HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]
    Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
    Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
    Sitecom WL-168 Wireless LAN Utility.lnk - c:\program files\Sitecom WL-168 Wireless LAN Driver and Utility\RtWLan.exe [2007-9-9 749568]

    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
    "{93994DE8-8239-4655-B1D1-5F4E91300429}"= "c:\progra~1\DVDREG~1\DVDShell.dll" [2004-10-09 49152]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\WINDOWS\\system32\\mqsvc.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=
    "c:\\Program Files\\Logitech\\Logitech Vid\\Vid.exe"=

    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [12/06/2010 15:31 108289]
    S3 5U870CAP_VID_1262&PID_25FD;HP Pavilion Webcam ;c:\windows\system32\drivers\5U870CAP.sys [6/06/2006 22:39 61952]
    .
    Contenu du dossier 'Tâches planifiées'

    2010-06-20 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-2337053553-1222169575-3096180240-1005.job
    - c:\program files\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]

    2010-06-20 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-2337053553-1222169575-3096180240-1005.job
    - c:\program files\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_BE&c=64&bd=pavilion&pf=laptop
    uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_BE&c=64&bd=pavilion&pf=laptop
    uInternet Settings,ProxyOverride = *.local
    IE: &Traduire à partir de l'anglais - c:\program files\Google\GoogleToolbar1.dll/cmwordtrans.html
    IE: Pages liées - c:\program files\Google\GoogleToolbar1.dll/cmbacklinks.html
    IE: Pages similaires - c:\program files\Google\GoogleToolbar1.dll/cmsimilar.html
    IE: Recherche &Google - c:\program files\Google\GoogleToolbar1.dll/cmsearch.html
    IE: Version de la page actuelle disponible dans le cache Google - c:\program files\Google\GoogleToolbar1.dll/cmcache.html
    IE: {{898EA8C8-E7FF-479B-8935-AEC46303B9E5} - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - c:\program files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-06-20 15:00
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    Cpqset = c:\program files\Hewlett-Packard\Default Settings\cpqset.exe????????????<?@? ????w??????Y?@?????<?@

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: error reading MBR
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8573BEC5]<<
    kernel: MBR read successfully
    detected MBR rootkit hooks:
    \Driver\Disk -> CLASSPNP.SYS @ 0xf74ebfc3
    \Driver\ACPI -> ACPI.sys @ 0xf735dcb8
    \Driver\atapi -> atapi.sys @ 0xf72d17b4
    IoDeviceObjectType ->\Device\Harddisk0\DR0 ->NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> NDIS.sys @ 0xf71c4b30
    PacketIndicateHandler -> NDIS.sys @ 0xf71b3a0d
    SendHandler -> NDIS.sys @ 0xf71c7ac0

    **************************************************************************
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'explorer.exe'(224)
    c:\windows\TEMP\logishrd\LVPrcInj01.dll
    c:\progra~1\WINDOW~2\wmpband.dll
    c:\windows\system32\webcheck.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\system32\msdtc.exe
    c:\program files\Avira\AntiVir Desktop\avguard.exe
    c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    c:\program files\Bonjour\mDNSResponder.exe
    c:\windows\system32\RUNDLL32.EXE
    c:\windows\eHome\ehRecvr.exe
    c:\windows\eHome\ehSched.exe
    c:\windows\system32\rundll32.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\program files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
    c:\program files\HP\Digital Imaging\bin\hpqimzone.exe
    c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
    c:\program files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
    c:\windows\system32\nvsvc32.exe
    c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    c:\windows\ehome\mcrdsvc.exe
    c:\windows\system32\mqsvc.exe
    c:\program files\Windows Media Player\WMPNetwk.exe
    c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
    c:\windows\system32\mqtgsvc.exe
    c:\windows\system32\wscntfy.exe
    c:\windows\system32\dllhost.exe
    c:\windows\system32\wbem\wmiapsrv.exe
    c:\windows\eHome\ehmsas.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-06-20 15:10:40 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-06-20 13:10
    ComboFix2.txt 2010-06-19 17:20

    Avant-CF: 44.704.096.256 octets libres
    Après-CF: 44.671.381.504 octets libres

    - - End Of File - - E884DDD42CE1ED492AA2714FF7798B53
    20 Juin 2010 22:55:57

    J'avais normalement déjà désinstallé AVG Antivirus avant d'installer Antivir...
    AVG n'apparait plus dans "ajout suppression de programmes"...

    Je vais déjà désinstaller Skype, Quicktime et WLM et les réinstaller depuis tes liens...

    Pour AVG, dis m'en plus.. S'il figure toujours sur mon pc...

    Merci :) 
    21 Juin 2010 00:03:26

    Voilà, les trois programmes sont désinstallés et réinstallés !

    Que dois-je installer comme ANTIVIRUS gratuit sur mon PC pour le protéger correctement ?
    Puis-je laisser ANTIVIR ?

    J'attends que tu m'en dises plus au sujet d'AVG qui serait encore sur mon PC,
    Ensuite je lancerai le scan avec ComboFix !

    a c 295 8 Sécurité
    21 Juin 2010 01:43:48

    Citation :
    Que dois-je installer comme ANTIVIRUS gratuit sur mon PC pour le protéger correctement ?
    Puis-je laisser ANTIVIR ?

    --> Oui.

    Citation :
    J'attends que tu m'en dises plus au sujet d'AVG qui serait encore sur mon PC,

    --> Ce ne sont que des traces en fait.

    Citation :
    Ensuite je lancerai le scan avec ComboFix !

    --> Je vais te faire un script pour virer les traces d'AVG Anti-Spyware et ça lancera ComboFix directement.


    /!\ Seul krisdenerfs peut suivre cette procédure /!\

    Désactive toute protection résidente (Antivirus...) !

    ---> Copie (CTRL+C) le texte se situant dans le cadre ci-dessous :

    KillAll::

    Folder::
    c:\program files\Grisoft

    ---> Ouvre le Bloc-notes : Démarrer > Tous les programmes > Accessoires > Bloc-notes.

    - Colle (CTRL+V) le texte dans le Bloc-notes.
    - Enregistre ce fichier dans : Bureau
    - Nom du fichier : CFScript
    - Type du fichier : tous les fichiers !!
    - Clique sur Enregistrer.
    - Quitte le Bloc-notes.

    ---> Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :



  • Cela va relancer Combofix : au message qui apparaît, accepte.
  • Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
  • Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher, copie/colle son contenu sur le forum.
  • Si le fichier ne s'ouvre pas, il se trouve ici : C:\ComboFix.txt

    ;) 
    21 Juin 2010 15:34:39

    Est-ce normal qu'Antivir m'ouvre encore des fenêtres d'infections de DR/Delphi.Gen2 ?
    Et dois-je toujours cocher "refuser l'accès" ?

    Voici le rapport :

    ComboFix 10-06-18.03 - Kris 21/06/2010 14:40:39.3.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.32.1036.18.959.605 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Kris.PC-KRIS\Bureau\ComboFix.exe
    Commutateurs utilisés :: c:\documents and settings\Kris.PC-KRIS\Bureau\CFScript.txt
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    .

    ((((((((((((((((((((((((((((( Fichiers créés du 2010-05-21 au 2010-06-21 ))))))))))))))))))))))))))))))))))))
    .

    2010-06-21 10:41 . 2010-06-21 10:41 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\OpenOffice.org
    2010-06-20 22:06 . 2010-06-20 22:06 -------- d-----w- c:\documents and settings\All Users\Application Data\Messenger Plus!
    2010-06-20 22:05 . 2010-06-20 22:05 -------- d-----w- c:\program files\Messenger Plus! Live
    2010-06-17 22:55 . 2010-06-17 22:55 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\Xilisoft Corporation
    2010-06-16 18:47 . 2010-06-16 18:47 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\Malwarebytes
    2010-06-16 18:45 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-06-16 18:45 . 2010-06-16 18:45 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2010-06-16 18:45 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-06-16 18:45 . 2010-06-16 18:45 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-06-14 20:33 . 2010-06-14 20:33 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
    2010-06-12 14:42 . 2010-06-12 14:42 -------- d-sh--w- c:\documents and settings\NetworkService\Temporary Internet Files
    2010-06-12 14:42 . 2010-06-12 14:42 -------- d-sh--w- c:\documents and settings\NetworkService\Historique
    2010-06-12 13:41 . 2010-06-12 13:41 262496 ----a-w- c:\windows\system32\SATC2_Screensaver.scr
    2010-06-12 13:41 . 2010-06-12 13:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Screentime
    2010-06-12 13:40 . 2010-06-12 13:41 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Local Settings\Application Data\Screentime
    2010-06-12 13:31 . 2009-03-30 07:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
    2010-06-12 13:31 . 2009-11-25 09:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
    2010-06-12 13:31 . 2009-02-13 09:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
    2010-06-12 13:31 . 2009-02-13 09:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
    2010-06-12 13:31 . 2010-06-12 13:31 -------- d-----w- c:\program files\Avira
    2010-06-12 13:31 . 2010-06-12 13:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
    2010-06-10 14:01 . 2008-06-24 16:15 311296 ----a-w- c:\windows\SetupX32.EXE
    2010-06-10 14:01 . 2007-04-24 17:31 10240 ----a-w- c:\windows\system32\ucinst32.dll
    2010-06-10 09:31 . 2010-06-10 09:31 -------- d-----r- c:\documents and settings\NetworkService\Favoris
    2010-06-05 10:40 . 2009-05-18 11:17 26600 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys
    2010-06-05 10:40 . 2008-04-17 10:12 107368 ----a-w- c:\windows\system32\GEARAspi.dll
    2010-06-05 10:38 . 2010-06-05 10:40 -------- d-----w- c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
    2010-05-22 23:43 . 2010-05-22 23:43 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\AdobeUM

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-06-21 12:55 . 2007-06-07 18:23 12 ----a-w- c:\windows\bthservsdp.dat
    2010-06-21 12:41 . 2006-06-29 09:24 88400 ----a-w- c:\windows\system32\perfc00C.dat
    2010-06-21 12:41 . 2006-06-29 09:24 522612 ----a-w- c:\windows\system32\perfh00C.dat
    2010-06-21 00:23 . 2010-04-22 19:34 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\Skype
    2010-06-20 21:46 . 2007-04-17 08:00 -------- d-----r- c:\program files\Skype
    2010-06-20 21:43 . 2008-07-11 10:48 -------- d-----w- c:\program files\QuickTime
    2010-06-20 21:09 . 2007-12-13 19:25 -------- d-----w- c:\program files\Windows Live
    2010-06-20 18:09 . 2010-04-18 00:51 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\vlc
    2010-06-20 16:28 . 2010-04-18 00:51 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\dvdcss
    2010-06-20 12:58 . 2008-01-06 12:28 -------- d-----w- c:\program files\Spybot - Search & Destroy
    2010-06-20 12:42 . 2008-07-11 10:49 -------- d-----w- c:\program files\iTunes
    2010-06-12 13:15 . 2010-03-16 17:35 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software
    2010-06-08 22:55 . 2010-05-04 22:47 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\Apple Computer
    2010-06-05 10:37 . 2008-07-11 10:47 -------- d-----w- c:\program files\Apple Software Update
    2010-06-05 10:36 . 2008-07-11 10:48 -------- d-----w- c:\program files\Bonjour
    2010-06-04 10:51 . 2010-04-17 14:32 0 ----a-w- c:\windows\system32\drivers\lvuvc.hs
    2010-06-04 10:51 . 2010-04-17 14:32 0 ----a-w- c:\windows\system32\drivers\logiflt.iad
    2010-06-03 22:04 . 2010-04-25 18:26 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\skypePM
    2010-05-20 08:57 . 2010-03-06 13:38 -------- d-----w- c:\program files\Microsoft Silverlight
    2010-05-14 22:58 . 2010-05-14 22:58 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\Facebook
    2010-05-08 11:09 . 2010-05-08 11:09 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\CocoonSoftware
    2010-04-30 09:35 . 2010-04-30 09:35 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\Sonic
    2010-04-28 08:36 . 2010-04-28 08:36 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\Elaborate Bytes
    2010-04-28 08:28 . 2007-02-12 21:33 -------- d-----w- c:\program files\Elaborate Bytes
    2010-04-28 08:26 . 2010-03-19 14:56 -------- d-----w- c:\program files\DVD Region+CSS Free
    2010-04-25 18:26 . 2010-04-25 18:26 56 ---ha-w- c:\windows\system32\ezsidmv.dat
    2010-04-17 07:11 . 2010-04-17 07:12 411368 ----a-w- c:\windows\system32\deployJava1.dll
    2010-04-16 20:12 . 2010-04-16 20:12 48464 ----a-w- c:\windows\system32\sirenacm.dll
    2010-04-16 16:42 . 2010-04-16 16:40 135 ----a-w- c:\documents and settings\Kris.PC-KRIS\Local Settings\Application Data\fusioncache.dat
    2010-04-08 11:20 . 2010-04-08 11:20 91424 ----a-w- c:\windows\system32\dnssd.dll
    2010-04-08 11:20 . 2010-04-08 11:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
    2006-12-09 21:01 . 2007-02-13 00:51 22 --sha-w- c:\windows\SMINST\HPCD.SYS
    .
    1. <pre>
    2. c:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas .exe
    3. c:\program files\QuickTime\QTTask .exe
    4. c:\program files\Skype\Phone\Skype .exe
    5. c:\program files\Windows Live\Messenger\msnmsgr .exe
    6. </pre>


    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Logitech Vid"="c:\program files\Logitech\Logitech Vid\vid.exe" [2009-04-30 5472016]
    "MsnMsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
    "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
    "hpWirelessAssistant"="c:\program files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-05-03 458752]
    "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-18 7585792]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-18 86016]
    "nwiz"="nwiz.exe" [2006-08-18 1617920]
    "MsmqIntCert"="mqrt.dll" [2009-06-25 177152]
    "High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-06-02 61952]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-04-01 761946]
    "QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2006-07-11 102400]
    "HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
    "QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-06-19 163840]
    "Cpqset"="c:\program files\Hewlett-Packard\Default Settings\cpqset.exe" [2006-05-30 40960]
    "RecGuard"="c:\windows\SMINST\RecGuard.exe" [2005-10-11 1187840]
    "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-05-12 185896]
    "ANIWZCS2Service"="c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
    "D-Link D-Link Wireless N DWA-140"="c:\program files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe" [2007-03-14 1388544]
    "LogitechQuickCamRibbon"="c:\program files\Logitech\Logitech WebCam Software\LWS.exe" [2009-05-08 2780432]
    "BluetoothAuthenticationAgent"="bthprops.cpl" [2006-03-25 110592]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-07-10 289064]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-25 15360]

    c:\documents and settings\Kris.PC-KRIS\Menu D‚marrer\Programmes\D‚marrage\
    OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

    c:\documents and settings\Kris.PC-KRIS\Menu D‚marrer\Programmes\D‚marrage\
    OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

    c:\documents and settings\Kris.PC-KRIS\Menu D‚marrer\Programmes\D‚marrage\
    OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2009-2-24 110592]
    D‚marrage rapide de HP Photosmart Premier.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2005-9-24 73728]
    HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]
    Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
    Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
    Sitecom WL-168 Wireless LAN Utility.lnk - c:\program files\Sitecom WL-168 Wireless LAN Driver and Utility\RtWLan.exe [2007-9-9 749568]

    c:\documents and settings\Kris.PC-KRIS\Menu D‚marrer\Programmes\D‚marrage\
    OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
    "{93994DE8-8239-4655-B1D1-5F4E91300429}"= "c:\progra~1\DVDREG~1\DVDShell.dll" [2004-10-09 49152]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\WINDOWS\\system32\\mqsvc.exe"=
    "c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Logitech\\Logitech Vid\\vid.exe"=

    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [12/06/2010 15:31 108289]
    S3 5U870CAP_VID_1262&PID_25FD;HP Pavilion Webcam ;c:\windows\system32\drivers\5U870CAP.sys [6/06/2006 22:39 61952]
    .
    Contenu du dossier 'Tâches planifiées'

    2010-06-21 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-2337053553-1222169575-3096180240-1005.job
    - c:\program files\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]

    2010-06-21 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-2337053553-1222169575-3096180240-1005.job
    - c:\program files\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_BE&c=64&bd=pavilion&pf=laptop
    uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_BE&c=64&bd=pavilion&pf=laptop
    uInternet Settings,ProxyOverride = *.local
    IE: &Traduire à partir de l'anglais - c:\program files\Google\GoogleToolbar1.dll/cmwordtrans.html
    IE: Pages liées - c:\program files\Google\GoogleToolbar1.dll/cmbacklinks.html
    IE: Pages similaires - c:\program files\Google\GoogleToolbar1.dll/cmsimilar.html
    IE: Recherche &Google - c:\program files\Google\GoogleToolbar1.dll/cmsearch.html
    IE: Version de la page actuelle disponible dans le cache Google - c:\program files\Google\GoogleToolbar1.dll/cmcache.html
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-06-21 14:58
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    Cpqset = c:\program files\Hewlett-Packard\Default Settings\cpqset.exe????????????<?@? ????w??????Y?@?????<?@

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: error reading MBR
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8573DEC5]<<
    kernel: MBR read successfully
    detected MBR rootkit hooks:
    \Driver\Disk -> CLASSPNP.SYS @ 0xf74ebfc3
    \Driver\ACPI -> ACPI.sys @ 0xf735dcb8
    \Driver\atapi -> atapi.sys @ 0xf72d17b4
    IoDeviceObjectType ->\Device\Harddisk0\DR0 ->NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> NDIS.sys @ 0xf71c4b30
    PacketIndicateHandler -> NDIS.sys @ 0xf71b3a0d
    SendHandler -> NDIS.sys @ 0xf71c7ac0

    **************************************************************************
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'explorer.exe'(4992)
    c:\windows\TEMP\logishrd\LVPrcInj01.dll
    c:\progra~1\WINDOW~2\wmpband.dll
    c:\windows\system32\webcheck.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\system32\RUNDLL32.EXE
    c:\windows\system32\rundll32.exe
    c:\windows\system32\msdtc.exe
    c:\program files\HP\Digital Imaging\bin\hpqimzone.exe
    c:\program files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
    c:\program files\Avira\AntiVir Desktop\avguard.exe
    c:\program files\OpenOffice.org 3\program\soffice.exe
    c:\program files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
    c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    c:\program files\OpenOffice.org 3\program\soffice.bin
    c:\program files\Bonjour\mDNSResponder.exe
    c:\windows\eHome\ehRecvr.exe
    c:\windows\eHome\ehSched.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
    c:\program files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
    c:\windows\system32\nvsvc32.exe
    c:\windows\ehome\mcrdsvc.exe
    c:\windows\system32\mqsvc.exe
    c:\program files\Windows Media Player\WMPNetwk.exe
    c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
    c:\windows\system32\mqtgsvc.exe
    c:\windows\eHome\ehmsas.exe
    c:\windows\system32\dllhost.exe
    c:\windows\system32\wbem\wmiapsrv.exe
    c:\windows\system32\wscntfy.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-06-21 15:09:32 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-06-21 13:09
    ComboFix2.txt 2010-06-20 13:10
    ComboFix3.txt 2010-06-19 17:20

    Avant-CF: 44.215.873.536 octets libres
    Après-CF: 44.287.188.992 octets libres

    - - End Of File - - 1B8D6BB0A7F3021F86185383CA0BC8CA
    a c 295 8 Sécurité
    21 Juin 2010 20:30:00

  • Double-clique sur l'icône d'AntiVir (Parapluie) dans la barre des tâches.
  • Dans AntiVir, choisis Outils puis Configuration.
  • Coche Mode Expert et coche Rech. Rootkit au dém. de la recherche à droite dans Autres réglages puis valide.
  • Fais un scan complet, clique sur Tout réparer si AntiVir trouve quelque chose et poste le rapport.

    Tutoriel sur AntiVir.
    21 Juin 2010 22:55:18

    Voici le rapport d'Antivir... :



    Avira AntiVir Personal
    Date de création du fichier de rapport : lundi 21 juin 2010 20:35

    La recherche porte sur 2227803 souches de virus.

    Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
    Numéro de série : 0000149996-ADJIE-0000001
    Plateforme : Windows XP
    Version de Windows : (Service Pack 2) [5.1.2600]
    Mode Boot : Démarré normalement
    Identifiant : Kris
    Nom de l'ordinateur : VANCOUVER

    Informations de version :
    BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
    AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 09:25:46
    AVSCAN.DLL : 9.0.3.0 49409 Bytes 3/03/2009 08:21:02
    LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 09:35:11
    LUKERES.DLL : 9.0.2.0 13569 Bytes 3/03/2009 08:21:31
    VBASE000.VDF : 7.10.0.0 19875328 Bytes 6/11/2009 05:35:52
    VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 13:33:42
    VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 13:34:10
    VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 13:34:20
    VBASE004.VDF : 7.10.4.203 1579008 Bytes 5/03/2010 13:34:34
    VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 13:34:57
    VBASE006.VDF : 7.10.7.218 2294784 Bytes 2/06/2010 13:35:16
    VBASE007.VDF : 7.10.7.219 2048 Bytes 2/06/2010 13:35:16
    VBASE008.VDF : 7.10.7.220 2048 Bytes 2/06/2010 13:35:16
    VBASE009.VDF : 7.10.7.221 2048 Bytes 2/06/2010 13:35:16
    VBASE010.VDF : 7.10.7.222 2048 Bytes 2/06/2010 13:35:16
    VBASE011.VDF : 7.10.7.223 2048 Bytes 2/06/2010 13:35:16
    VBASE012.VDF : 7.10.7.224 2048 Bytes 2/06/2010 13:35:16
    VBASE013.VDF : 7.10.8.37 270336 Bytes 10/06/2010 13:35:19
    VBASE014.VDF : 7.10.8.69 138752 Bytes 14/06/2010 16:54:07
    VBASE015.VDF : 7.10.8.102 130560 Bytes 16/06/2010 20:18:15
    VBASE016.VDF : 7.10.8.103 2048 Bytes 16/06/2010 20:18:15
    VBASE017.VDF : 7.10.8.104 2048 Bytes 16/06/2010 20:18:15
    VBASE018.VDF : 7.10.8.105 2048 Bytes 16/06/2010 20:18:16
    VBASE019.VDF : 7.10.8.106 2048 Bytes 16/06/2010 20:18:16
    VBASE020.VDF : 7.10.8.107 2048 Bytes 16/06/2010 20:18:16
    VBASE021.VDF : 7.10.8.108 2048 Bytes 16/06/2010 20:18:16
    VBASE022.VDF : 7.10.8.109 2048 Bytes 16/06/2010 20:18:16
    VBASE023.VDF : 7.10.8.110 2048 Bytes 16/06/2010 20:18:16
    VBASE024.VDF : 7.10.8.111 2048 Bytes 16/06/2010 20:18:16
    VBASE025.VDF : 7.10.8.112 2048 Bytes 16/06/2010 20:18:17
    VBASE026.VDF : 7.10.8.113 2048 Bytes 16/06/2010 20:18:17
    VBASE027.VDF : 7.10.8.114 2048 Bytes 16/06/2010 20:18:17
    VBASE028.VDF : 7.10.8.115 2048 Bytes 16/06/2010 20:18:17
    VBASE029.VDF : 7.10.8.116 2048 Bytes 16/06/2010 20:18:17
    VBASE030.VDF : 7.10.8.117 2048 Bytes 16/06/2010 20:18:17
    VBASE031.VDF : 7.10.8.128 105984 Bytes 20/06/2010 20:18:25
    Version du moteur : 8.2.2.6
    AEVDF.DLL : 8.1.2.0 106868 Bytes 12/06/2010 13:36:20
    AESCRIPT.DLL : 8.1.3.31 1352058 Bytes 12/06/2010 13:36:20
    AESCN.DLL : 8.1.6.1 127347 Bytes 12/06/2010 13:35:43
    AESBX.DLL : 8.1.3.1 254324 Bytes 12/06/2010 13:36:21
    AERDL.DLL : 8.1.4.6 541043 Bytes 12/06/2010 13:35:42
    AEPACK.DLL : 8.2.1.1 426358 Bytes 12/06/2010 13:35:40
    AEOFFICE.DLL : 8.1.1.0 201081 Bytes 12/06/2010 13:35:38
    AEHEUR.DLL : 8.1.1.33 2724214 Bytes 12/06/2010 13:35:37
    AEHELP.DLL : 8.1.11.5 242038 Bytes 12/06/2010 13:35:27
    AEGEN.DLL : 8.1.3.10 377205 Bytes 12/06/2010 13:35:26
    AEEMU.DLL : 8.1.2.0 393588 Bytes 12/06/2010 13:35:24
    AECORE.DLL : 8.1.15.3 192886 Bytes 12/06/2010 13:35:23
    AEBB.DLL : 8.1.1.0 53618 Bytes 12/06/2010 13:35:22
    AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 06:47:30
    AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 13:13:31
    AVREP.DLL : 8.0.0.7 159784 Bytes 12/06/2010 13:36:22
    AVREG.DLL : 9.0.0.0 36609 Bytes 7/11/2008 13:24:42
    AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 13:05:22
    AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 08:36:37
    SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 13:03:49
    SMTPLIB.DLL : 9.2.0.25 28417 Bytes 2/02/2009 06:20:57
    NETNT.DLL : 9.0.0.0 11521 Bytes 7/11/2008 13:40:59
    RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 11:44:26
    RCTEXT.DLL : 9.0.73.0 88321 Bytes 2/11/2009 14:58:32

    Configuration pour la recherche actuelle :
    Nom de la tâche...............................: Lecteurs locaux
    Fichier de configuration......................: c:\program files\avira\antivir desktop\alldrives.avp
    Documentation.................................: bas
    Action principale.............................: interactif
    Action secondaire.............................: ignorer
    Recherche sur les secteurs d'amorçage maître..: marche
    Recherche sur les secteurs d'amorçage.........: marche
    Secteurs d'amorçage...........................: C:, D:, E:,
    Recherche dans les programmes actifs..........: marche
    Recherche en cours sur l'enregistrement.......: marche
    Recherche de Rootkits.........................: marche
    Contrôle d'intégrité de fichiers système......: arrêt
    Fichier mode de recherche.....................: Sélection de fichiers intelligente
    Recherche sur les archives....................: marche
    Limiter la profondeur de récursivité..........: 20
    Archive Smart Extensions......................: marche
    Heuristique de macrovirus.....................: marche
    Heuristique fichier...........................: moyen

    Début de la recherche : lundi 21 juin 2010 20:35

    La recherche d'objets cachés commence.
    '92766' objets ont été contrôlés, '0' objets cachés ont été trouvés.

    La recherche sur les processus démarrés commence :
    Processus de recherche 'SkypeNames2.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wlcomm.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ehmsas.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'dllhost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wscntfy.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'mqtgsvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'hpqwmiex.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'mqsvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'mcrdsvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'LVPrcSrv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ehSched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ehrecvr.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'msdtc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'soffice.bin' - '1' module(s) sont contrôlés
    Processus de recherche 'hpqimzone.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'COCIManager.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'soffice.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'RtWLan.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wmpnscfg.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'vid.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'LWS.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'AirNCFG.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'WZCSLDR2.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'QLBCTRL.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'HPWuSchd2.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'QPService.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'HP Wireless Assistant.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ehtray.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
    '70' processus ont été contrôlés avec '70' modules

    La recherche sur les secteurs d'amorçage maître commence :
    Secteur d'amorçage maître HD0
    [INFO] Aucun virus trouvé !

    La recherche sur les secteurs d'amorçage commence :
    Secteur d'amorçage 'C:\'
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage 'D:\'
    [INFO] Aucun virus trouvé !

    La recherche sur les renvois aux fichiers exécutables (registre) commence :
    Le registre a été contrôlé ( '79' fichiers).


    La recherche sur les fichiers sélectionnés commence :

    Recherche débutant dans 'C:\'
    C:\hiberfil.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE] Ce fichier est un fichier système Windows.
    [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
    C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE] Ce fichier est un fichier système Windows.
    [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
    C:\Documents and Settings\Kris.PC-KRIS\Application Data\Sun\Java\Deployment\cache\6.0\60\9ed467c-4ed45d0f
    [0] Type d'archive: ZIP
    --> AppleT.class
    [RESULTAT] Contient le modèle de détection du virus Java JAVA/Agent.N
    C:\Program Files\Mozilla Firefox\swsqe.bak
    [RESULTAT] Contient le modèle de détection du dropper DR/Delphi.Gen2
    C:\Qoobox\Quarantine\C\WINDOWS\system32\kuehmvf.dll.vir
    [RESULTAT] Contient le cheval de Troie TR/Trash.Gen
    C:\Qoobox\Quarantine\C\WINDOWS\system32\libvlfw.dll.vir
    [RESULTAT] Contient le cheval de Troie TR/Trash.Gen
    C:\Qoobox\Quarantine\C\WINDOWS\system32\_libvlfw_.dll.zip
    [0] Type d'archive: ZIP
    --> libvlfw.dll
    [RESULTAT] Contient le modèle de détection du dropper DR/Delphi.Gen2
    C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\_euijkfla_.sys.zip
    [0] Type d'archive: ZIP
    --> euijkfla.sys
    [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
    C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP1\A0000012.dll
    [RESULTAT] Contient le modèle de détection du dropper DR/Delphi.Gen2
    C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP1\A0000043.dll
    [RESULTAT] Contient le cheval de Troie TR/Trash.Gen
    C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP1\A0000044.dll
    [RESULTAT] Contient le cheval de Troie TR/Trash.Gen
    C:\WINDOWS\system32\ckzmiw.bak
    [RESULTAT] Contient le modèle de détection du dropper DR/Delphi.Gen2
    C:\WINDOWS\system32\libvlfw.dll.bak
    [RESULTAT] Contient le modèle de détection du dropper DR/Delphi.Gen2
    Recherche débutant dans 'D:\' <HP_RECOVERY>
    Recherche débutant dans 'E:\'
    Impossible d'ouvrir le chemin à contrôler E:\ !
    Erreur système [21]: Le périphérique n'est pas prêt.

    Début de la désinfection :
    C:\Documents and Settings\Kris.PC-KRIS\Application Data\Sun\Java\Deployment\cache\6.0\60\9ed467c-4ed45d0f
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c83d172.qua' !
    C:\Program Files\Mozilla Firefox\swsqe.bak
    [RESULTAT] Contient le modèle de détection du dropper DR/Delphi.Gen2
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c92d185.qua' !
    C:\Qoobox\Quarantine\C\WINDOWS\system32\kuehmvf.dll.vir
    [RESULTAT] Contient le cheval de Troie TR/Trash.Gen
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c84d183.qua' !
    C:\Qoobox\Quarantine\C\WINDOWS\system32\libvlfw.dll.vir
    [RESULTAT] Contient le cheval de Troie TR/Trash.Gen
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c81d177.qua' !
    C:\Qoobox\Quarantine\C\WINDOWS\system32\_libvlfw_.dll.zip
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c88d17a.qua' !
    C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\_euijkfla_.sys.zip
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c94d173.qua' !
    C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP1\A0000012.dll
    [RESULTAT] Contient le modèle de détection du dropper DR/Delphi.Gen2
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c4fd13e.qua' !
    C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP1\A0000043.dll
    [RESULTAT] Contient le cheval de Troie TR/Trash.Gen
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4832bb5f.qua' !
    C:\System Volume Information\_restore{206D5C9A-566B-437B-A762-213EF381532E}\RP1\A0000044.dll
    [RESULTAT] Contient le cheval de Troie TR/Trash.Gen
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d98e157.qua' !
    C:\WINDOWS\system32\ckzmiw.bak
    [RESULTAT] Contient le modèle de détection du dropper DR/Delphi.Gen2
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c99d17a.qua' !
    C:\WINDOWS\system32\libvlfw.dll.bak
    [RESULTAT] Contient le modèle de détection du dropper DR/Delphi.Gen2
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c81d178.qua' !


    Fin de la recherche : lundi 21 juin 2010 22:52
    Temps nécessaire: 2:17:10 Heure(s)

    La recherche a été effectuée intégralement

    16210 Les répertoires ont été contrôlés
    747632 Des fichiers ont été contrôlés
    11 Des virus ou programmes indésirables ont été trouvés
    0 Des fichiers ont été classés comme suspects
    0 Des fichiers ont été supprimés
    0 Des virus ou programmes indésirables ont été réparés
    11 Les fichiers ont été déplacés dans la quarantaine
    0 Les fichiers ont été renommés
    2 Impossible de contrôler des fichiers
    747619 Fichiers non infectés
    19175 Les archives ont été contrôlées
    2 Avertissements
    13 Consignes
    92766 Des objets ont été contrôlés lors du Rootkitscan
    0 Des objets cachés ont été trouvés
    a c 295 8 Sécurité
    22 Juin 2010 06:11:02

  • Menu Démarrer > Exécuter > Tape ComboFix /uninstall et valide.

    Plus de souci ?
    22 Juin 2010 09:37:06

    Il y a apparemment moins de 'bug' sur le pc !

    Cependant Antivir vient encore de m'ouvrir une fenêtre :
    Dans le fichier 'C:\WINDOWS\temp\pobw.tmp\svchost.exe'
    un virus ou un programme indésirable 'TR/Dldr.Agent.dtdv.3' [trojan] a été détecté.
    Action exécutée : Refuser l'accès

    Dois-je toujours cocher "refuser l'accès" quand ce genre de fenêtre s'ouvre ?
    a c 295 8 Sécurité
    22 Juin 2010 10:06:33

    Je connais cette infection, retélécharge ComboFix puis refais un scan.

    Pourquoi ne pas choisir Quarantaine ?
    22 Juin 2010 12:00:38

    J'avais peur de mettre en quarantaine un fichier important... Je ne savais pas trop quoi cocher ...
    Je vais l'y mettre ! On verra si ça marche !

    Merci beaucoup pour ton aide, en tout cas !!!
    22 Juin 2010 20:36:22

    Je mets le fichier en quarantaine et apparemment ça ne marche pas...
    La fenêtre d'Antivir s'ouvre toujours...
    Maintenant, si ce fichier n'est pas dangereux, je peux juste bloquer l'accès à chaque fois...
    a c 295 8 Sécurité
    22 Juin 2010 22:00:59

    Le fichier svchost.exe de Windows se trouve à l'emplacement suivant : C:\WINDOWS\System32\

    Là, ce n'est pas le svchost.exe de Windows, c'est une infection.

    Retélécharge ComboFix pour avoir la nouvelle version et refais un scan.
    6 Juillet 2010 22:26:08

    Je deviens fouuuuuuuuuuuuuuuuuuuuuuuuuuuuuuu :-(

    Le pc allait un peu mieux et là, c'est reparti les bugs...
    J'ai encore la barre des tâches qui s'est mise blanche...
    Les fenêtres se bloquent, ça rame...
    Antivir trouve encore et toujours des nouvelles saloperies...
    Je bloque l'accès, parfois je mets en quarantaine... Parfois il veut même pas les mettre en quarantaine...

    Quand je n'avais pas d'antivirus, j'étais pas prévenu des crasses mais j'ai l'impression que mon pc buggait beaucoup moins...
    C'est vraiment une bonne idée de laisser antivir ?
    Sais-tu à cause de quoi je me choppe ces merdes ?


    Voici le rapport d'aujourd'hui...


    Avira AntiVir Personal
    Date de création du fichier de rapport : mardi 6 juillet 2010 19:22

    La recherche porte sur 2298487 souches de virus.

    Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
    Numéro de série : 0000149996-ADJIE-0000001
    Plateforme : Windows XP
    Version de Windows : (Service Pack 2) [5.1.2600]
    Mode Boot : Démarré normalement
    Identifiant : Kris
    Nom de l'ordinateur : VANCOUVER

    Informations de version :
    BUILD.DAT : 9.0.0.77 21698 Bytes 9/06/2010 12:01:00
    AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/10/2009 09:25:46
    AVSCAN.DLL : 9.0.3.0 49409 Bytes 3/03/2009 08:21:02
    LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 09:35:11
    LUKERES.DLL : 9.0.2.0 13569 Bytes 3/03/2009 08:21:31
    VBASE000.VDF : 7.10.0.0 19875328 Bytes 6/11/2009 05:35:52
    VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 13:33:42
    VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 13:34:10
    VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 13:34:20
    VBASE004.VDF : 7.10.4.203 1579008 Bytes 5/03/2010 13:34:34
    VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 13:34:57
    VBASE006.VDF : 7.10.7.218 2294784 Bytes 2/06/2010 13:35:16
    VBASE007.VDF : 7.10.7.219 2048 Bytes 2/06/2010 13:35:16
    VBASE008.VDF : 7.10.7.220 2048 Bytes 2/06/2010 13:35:16
    VBASE009.VDF : 7.10.7.221 2048 Bytes 2/06/2010 13:35:16
    VBASE010.VDF : 7.10.7.222 2048 Bytes 2/06/2010 13:35:16
    VBASE011.VDF : 7.10.7.223 2048 Bytes 2/06/2010 13:35:16
    VBASE012.VDF : 7.10.7.224 2048 Bytes 2/06/2010 13:35:16
    VBASE013.VDF : 7.10.8.37 270336 Bytes 10/06/2010 13:35:19
    VBASE014.VDF : 7.10.8.69 138752 Bytes 14/06/2010 16:54:07
    VBASE015.VDF : 7.10.8.102 130560 Bytes 16/06/2010 20:18:15
    VBASE016.VDF : 7.10.8.135 152064 Bytes 21/06/2010 20:18:41
    VBASE017.VDF : 7.10.8.163 432128 Bytes 23/06/2010 20:18:55
    VBASE018.VDF : 7.10.8.194 133632 Bytes 27/06/2010 09:24:56
    VBASE019.VDF : 7.10.8.220 134656 Bytes 29/06/2010 09:24:57
    VBASE020.VDF : 7.10.8.252 171520 Bytes 4/07/2010 15:20:44
    VBASE021.VDF : 7.10.8.253 2048 Bytes 4/07/2010 15:20:45
    VBASE022.VDF : 7.10.8.254 2048 Bytes 4/07/2010 15:20:45
    VBASE023.VDF : 7.10.8.255 2048 Bytes 4/07/2010 15:20:45
    VBASE024.VDF : 7.10.9.0 2048 Bytes 4/07/2010 15:20:45
    VBASE025.VDF : 7.10.9.1 2048 Bytes 4/07/2010 15:20:45
    VBASE026.VDF : 7.10.9.2 2048 Bytes 4/07/2010 15:20:45
    VBASE027.VDF : 7.10.9.3 2048 Bytes 4/07/2010 15:20:45
    VBASE028.VDF : 7.10.9.4 2048 Bytes 4/07/2010 15:20:45
    VBASE029.VDF : 7.10.9.5 2048 Bytes 4/07/2010 15:20:45
    VBASE030.VDF : 7.10.9.6 2048 Bytes 4/07/2010 15:20:45
    VBASE031.VDF : 7.10.9.15 95744 Bytes 6/07/2010 15:20:47
    Version du moteur : 8.2.4.2
    AEVDF.DLL : 8.1.2.0 106868 Bytes 12/06/2010 13:36:20
    AESCRIPT.DLL : 8.1.3.33 1356155 Bytes 23/06/2010 20:19:13
    AESCN.DLL : 8.1.6.1 127347 Bytes 12/06/2010 13:35:43
    AESBX.DLL : 8.1.3.1 254324 Bytes 12/06/2010 13:36:21
    AERDL.DLL : 8.1.4.6 541043 Bytes 12/06/2010 13:35:42
    AEPACK.DLL : 8.2.2.5 430453 Bytes 23/06/2010 20:19:09
    AEOFFICE.DLL : 8.1.1.0 201081 Bytes 12/06/2010 13:35:38
    AEHEUR.DLL : 8.1.1.38 2724214 Bytes 23/06/2010 20:19:07
    AEHELP.DLL : 8.1.11.6 242038 Bytes 23/06/2010 20:19:02
    AEGEN.DLL : 8.1.3.12 377204 Bytes 23/06/2010 20:19:01
    AEEMU.DLL : 8.1.2.0 393588 Bytes 12/06/2010 13:35:24
    AECORE.DLL : 8.1.15.3 192886 Bytes 12/06/2010 13:35:23
    AEBB.DLL : 8.1.1.0 53618 Bytes 12/06/2010 13:35:22
    AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 06:47:30
    AVPREF.DLL : 9.0.3.0 44289 Bytes 26/08/2009 13:13:31
    AVREP.DLL : 8.0.0.7 159784 Bytes 12/06/2010 13:36:22
    AVREG.DLL : 9.0.0.0 36609 Bytes 7/11/2008 13:24:42
    AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 13:05:22
    AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 08:36:37
    SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 13:03:49
    SMTPLIB.DLL : 9.2.0.25 28417 Bytes 2/02/2009 06:20:57
    NETNT.DLL : 9.0.0.0 11521 Bytes 7/11/2008 13:40:59
    RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 17/06/2009 11:44:26
    RCTEXT.DLL : 9.0.73.0 88321 Bytes 2/11/2009 14:58:32

    Configuration pour la recherche actuelle :
    Nom de la tâche...............................: Disques durs locaux
    Fichier de configuration......................: c:\program files\avira\antivir desktop\alldiscs.avp
    Documentation.................................: bas
    Action principale.............................: interactif
    Action secondaire.............................: ignorer
    Recherche sur les secteurs d'amorçage maître..: marche
    Recherche sur les secteurs d'amorçage.........: marche
    Secteurs d'amorçage...........................: C:, D:,
    Recherche dans les programmes actifs..........: marche
    Recherche en cours sur l'enregistrement.......: marche
    Recherche de Rootkits.........................: marche
    Contrôle d'intégrité de fichiers système......: arrêt
    Fichier mode de recherche.....................: Sélection de fichiers intelligente
    Recherche sur les archives....................: marche
    Limiter la profondeur de récursivité..........: 20
    Archive Smart Extensions......................: marche
    Heuristique de macrovirus.....................: marche
    Heuristique fichier...........................: moyen

    Début de la recherche : mardi 6 juillet 2010 19:22

    La recherche d'objets cachés commence.
    '47532' objets ont été contrôlés, '0' objets cachés ont été trouvés.

    La recherche sur les processus démarrés commence :
    Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wlcomm.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ehmsas.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'dllhost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wscntfy.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'mqtgsvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'hpqwmiex.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'mqsvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'mcrdsvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'LVPrcSrv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ehSched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ehrecvr.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'msdtc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'COCIManager.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'soffice.bin' - '1' module(s) sont contrôlés
    Processus de recherche 'soffice.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'hpqimzone.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'RtWLan.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wmpnscfg.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'vid.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'LWS.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'AirNCFG.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'WZCSLDR2.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'QLBCTRL.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'HPWuSchd2.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'QPService.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'HP Wireless Assistant.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ehtray.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
    '68' processus ont été contrôlés avec '68' modules

    La recherche sur les secteurs d'amorçage maître commence :
    Secteur d'amorçage maître HD0
    [INFO] Aucun virus trouvé !

    La recherche sur les secteurs d'amorçage commence :
    Secteur d'amorçage 'C:\'
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage 'D:\'
    [INFO] Aucun virus trouvé !

    La recherche sur les renvois aux fichiers exécutables (registre) commence :
    C:\WINDOWS\system32\tropex.dll
    [RESULTAT] Contient le cheval de Troie TR/Spy.Goldun.dpn

    Le registre a été contrôlé ( '80' fichiers).


    La recherche sur les fichiers sélectionnés commence :

    Recherche débutant dans 'C:\'
    C:\hiberfil.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE] Ce fichier est un fichier système Windows.
    [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
    C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE] Ce fichier est un fichier système Windows.
    [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
    C:\Documents and Settings\Kris.PC-KRIS\dmssajr.bak
    [RESULTAT] Contient le modèle de détection du dropper DR/Delphi.Gen2
    C:\WINDOWS\system32\pslrudr.dll.bak
    [RESULTAT] Contient le modèle de détection du dropper DR/Delphi.Gen
    C:\WINDOWS\system32\tropex.dll
    [RESULTAT] Contient le cheval de Troie TR/Spy.Goldun.dpn
    C:\WINDOWS\temp\eacl.tmp\svchost.exe
    [RESULTAT] Contient le cheval de Troie TR/Downloader.Gen
    C:\WINDOWS\temp\schy.tmp\svchost.exe
    [RESULTAT] Contient le cheval de Troie TR/Gendal.8704.2
    Recherche débutant dans 'D:\' <HP_RECOVERY>

    Début de la désinfection :
    C:\WINDOWS\system32\tropex.dll
    [RESULTAT] Contient le cheval de Troie TR/Spy.Goldun.dpn
    [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
    [AVERTISSEMENT] Impossible de supprimer le fichier !
    [REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b45d63.qua' !
    C:\Documents and Settings\Kris.PC-KRIS\dmssajr.bak
    [RESULTAT] Contient le modèle de détection du dropper DR/Delphi.Gen2
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ca689e7.qua' !
    C:\WINDOWS\system32\pslrudr.dll.bak
    [RESULTAT] Contient le modèle de détection du dropper DR/Delphi.Gen
    [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
    [AVERTISSEMENT] Impossible de trouver le fichier source.
    [REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c9f89ee.qua' !
    C:\WINDOWS\system32\tropex.dll
    [RESULTAT] Contient le cheval de Troie TR/Spy.Goldun.dpn
    [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
    [AVERTISSEMENT] Impossible de trouver le fichier source.
    [REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
    [AVERTISSEMENT] Erreur dans la bibliothèque ARK
    C:\WINDOWS\temp\eacl.tmp\svchost.exe
    [RESULTAT] Contient le cheval de Troie TR/Downloader.Gen
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c968ae8.qua' !
    C:\WINDOWS\temp\schy.tmp\svchost.exe
    [RESULTAT] Contient le cheval de Troie TR/Gendal.8704.2
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4e95fff9.qua' !


    Fin de la recherche : mardi 6 juillet 2010 21:56
    Temps nécessaire: 2:29:35 Heure(s)

    La recherche a été effectuée intégralement

    17012 Les répertoires ont été contrôlés
    749081 Des fichiers ont été contrôlés
    6 Des virus ou programmes indésirables ont été trouvés
    0 Des fichiers ont été classés comme suspects
    0 Des fichiers ont été supprimés
    0 Des virus ou programmes indésirables ont été réparés
    5 Les fichiers ont été déplacés dans la quarantaine
    0 Les fichiers ont été renommés
    2 Impossible de contrôler des fichiers
    749073 Fichiers non infectés
    19108 Les archives ont été contrôlées
    5 Avertissements
    8 Consignes
    47532 Des objets ont été contrôlés lors du Rootkitscan
    0 Des objets cachés ont été trouvés

    a c 295 8 Sécurité
    8 Juillet 2010 12:16:56

    C'est un fichier de Windows qui est infecté.

    Peux-tu retélécharger ComboFix et refaire le scan ?
    8 Juillet 2010 18:50:38

    Voilà :

    ComboFix 10-07-07.02 - Kris 08/07/2010 18:22:21.4.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.32.1036.18.959.463 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Kris.PC-KRIS\Mes documents\Téléchargements\ComboFix.exe
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\pxysdb.dat
    c:\windows\system32\a99k.bin
    c:\windows\system32\atgpvkq.dll
    c:\windows\system32\drivers\euijkfla.sys
    c:\windows\system32\drivers\uitnwmfu.sys
    c:\windows\system32\pslrudr.dll

    Une copie infectée de c:\windows\system32\DRIVERS\disk.sys a été trouvée et désinfectée
    Copie restaurée à partir de - Kitty had a snack :p 
    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_CSNPNGIC
    -------\Legacy_EUIJKFLA
    -------\Service_csnpngic
    -------\Service_euijkfla


    ((((((((((((((((((((((((((((( Fichiers créés du 2010-06-08 au 2010-07-08 ))))))))))))))))))))))))))))))))))))
    .

    2010-07-08 16:16 . 2004-08-03 20:59 36352 ----a-w- c:\windows\system32\drivers\disk.sys
    2010-07-08 16:16 . 2004-08-03 20:59 36352 ----a-w- c:\windows\system32\dllcache\disk.sys
    2010-07-02 15:15 . 2010-07-02 15:15 14336 ----a-w- c:\windows\system32\00setup.exe
    2010-07-02 15:13 . 2010-07-02 15:13 8608 ----a-w- c:\windows\system32\mtflop.sys
    2010-06-30 19:56 . 2010-06-30 19:56 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\TotalRecorder
    2010-06-30 19:40 . 2009-10-20 09:51 127568 ----a-w- c:\windows\system32\drivers\TotRec7.sys
    2010-06-30 19:40 . 2010-06-30 19:40 -------- d-----w- c:\program files\HighCriteria
    2010-06-30 19:40 . 2009-10-20 09:51 61520 ----a-w- c:\windows\system32\DrvTrNTm.dll
    2010-06-30 19:40 . 2009-10-20 08:18 106496 ----a-w- c:\windows\system32\DrvTrNTl.dll
    2010-06-21 10:41 . 2010-06-21 10:41 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\OpenOffice.org
    2010-06-20 22:06 . 2010-06-21 14:25 -------- d-----w- c:\documents and settings\All Users\Application Data\Messenger Plus!
    2010-06-20 22:05 . 2010-06-20 22:05 -------- d-----w- c:\program files\Messenger Plus! Live
    2010-06-17 22:55 . 2010-06-17 22:55 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\Xilisoft Corporation
    2010-06-16 18:47 . 2010-06-16 18:47 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\Malwarebytes
    2010-06-16 18:45 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-06-16 18:45 . 2010-06-16 18:45 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2010-06-16 18:45 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-06-16 18:45 . 2010-06-16 18:45 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-06-14 20:33 . 2010-06-14 20:33 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
    2010-06-12 14:42 . 2010-06-12 14:42 -------- d-sh--w- c:\documents and settings\NetworkService\Temporary Internet Files
    2010-06-12 14:42 . 2010-06-12 14:42 -------- d-sh--w- c:\documents and settings\NetworkService\Historique
    2010-06-12 13:41 . 2010-06-12 13:41 262496 ----a-w- c:\windows\system32\SATC2_Screensaver.scr
    2010-06-12 13:41 . 2010-06-12 13:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Screentime
    2010-06-12 13:40 . 2010-06-12 13:41 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Local Settings\Application Data\Screentime
    2010-06-12 13:31 . 2009-03-30 07:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
    2010-06-12 13:31 . 2009-11-25 09:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
    2010-06-12 13:31 . 2009-02-13 09:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
    2010-06-12 13:31 . 2009-02-13 09:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
    2010-06-12 13:31 . 2010-06-12 13:31 -------- d-----w- c:\program files\Avira
    2010-06-12 13:31 . 2010-06-12 13:31 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
    2010-06-10 14:01 . 2008-06-24 16:15 311296 ----a-w- c:\windows\SetupX32.EXE
    2010-06-10 14:01 . 2007-04-24 17:31 10240 ----a-w- c:\windows\system32\ucinst32.dll
    2010-06-10 09:31 . 2010-06-10 09:31 -------- d-----r- c:\documents and settings\NetworkService\Favoris

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-07-08 16:35 . 2007-06-07 18:23 12 ----a-w- c:\windows\bthservsdp.dat
    2010-07-07 17:02 . 2010-04-18 00:51 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\vlc
    2010-07-06 18:47 . 2010-04-17 14:32 0 ----a-w- c:\windows\system32\drivers\lvuvc.hs
    2010-07-06 18:47 . 2010-04-17 14:32 0 ----a-w- c:\windows\system32\drivers\logiflt.iad
    2010-07-04 22:05 . 2010-04-22 19:34 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\Skype
    2010-07-04 22:04 . 2010-04-25 18:26 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\skypePM
    2010-06-30 21:13 . 2010-04-18 00:51 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\dvdcss
    2010-06-21 12:41 . 2006-06-29 09:24 88400 ----a-w- c:\windows\system32\perfc00C.dat
    2010-06-21 12:41 . 2006-06-29 09:24 522612 ----a-w- c:\windows\system32\perfh00C.dat
    2010-06-20 21:46 . 2007-04-17 08:00 -------- d-----r- c:\program files\Skype
    2010-06-20 21:43 . 2008-07-11 10:48 -------- d-----w- c:\program files\QuickTime
    2010-06-20 21:09 . 2007-12-13 19:25 -------- d-----w- c:\program files\Windows Live
    2010-06-20 12:58 . 2008-01-06 12:28 -------- d-----w- c:\program files\Spybot - Search & Destroy
    2010-06-20 12:42 . 2008-07-11 10:49 -------- d-----w- c:\program files\iTunes
    2010-06-12 13:15 . 2010-03-16 17:35 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software
    2010-06-08 22:55 . 2010-05-04 22:47 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\Apple Computer
    2010-06-05 10:40 . 2010-06-05 10:38 -------- d-----w- c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
    2010-06-05 10:37 . 2008-07-11 10:47 -------- d-----w- c:\program files\Apple Software Update
    2010-06-05 10:36 . 2008-07-11 10:48 -------- d-----w- c:\program files\Bonjour
    2010-05-22 23:43 . 2010-05-22 23:43 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\AdobeUM
    2010-05-20 08:57 . 2010-03-06 13:38 -------- d-----w- c:\program files\Microsoft Silverlight
    2010-05-14 22:58 . 2010-05-14 22:58 -------- d-----w- c:\documents and settings\Kris.PC-KRIS\Application Data\Facebook
    2010-04-25 18:26 . 2010-04-25 18:26 56 ---ha-w- c:\windows\system32\ezsidmv.dat
    2010-04-17 07:11 . 2010-04-17 07:12 411368 ----a-w- c:\windows\system32\deployJava1.dll
    2010-04-16 20:12 . 2010-04-16 20:12 48464 ----a-w- c:\windows\system32\sirenacm.dll
    2010-04-16 16:42 . 2010-04-16 16:40 135 ----a-w- c:\documents and settings\Kris.PC-KRIS\Local Settings\Application Data\fusioncache.dat
    2006-12-09 21:01 . 2007-02-13 00:51 22 --sha-w- c:\windows\SMINST\HPCD.SYS
    .
    1. <pre>
    2. c:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas .exe
    3. c:\program files\QuickTime\QTTask .exe
    4. c:\program files\Skype\Phone\Skype .exe
    5. c:\program files\Windows Live\Messenger\msnmsgr .exe
    6. </pre>


    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Logitech Vid"="c:\program files\Logitech\Logitech Vid\vid.exe" [2009-04-30 5472016]
    "MsnMsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
    "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
    "hpWirelessAssistant"="c:\program files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-05-03 458752]
    "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-18 7585792]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-18 86016]
    "nwiz"="nwiz.exe" [2006-08-18 1617920]
    "MsmqIntCert"="mqrt.dll" [2009-06-25 177152]
    "High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-06-02 61952]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-04-01 761946]
    "QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2006-07-11 102400]
    "HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
    "QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-06-19 163840]
    "Cpqset"="c:\program files\Hewlett-Packard\Default Settings\cpqset.exe" [2006-05-30 40960]
    "RecGuard"="c:\windows\SMINST\RecGuard.exe" [2005-10-11 1187840]
    "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-05-12 185896]
    "ANIWZCS2Service"="c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
    "D-Link D-Link Wireless N DWA-140"="c:\program files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe" [2007-03-14 1388544]
    "LogitechQuickCamRibbon"="c:\program files\Logitech\Logitech WebCam Software\LWS.exe" [2009-05-08 2780432]
    "BluetoothAuthenticationAgent"="bthprops.cpl" [2006-03-25 110592]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-07-10 289064]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-25 15360]

    c:\documents and settings\Kris.PC-KRIS\Menu D‚marrer\Programmes\D‚marrage\
    OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

    c:\documents and settings\Kris.PC-KRIS\Menu D‚marrer\Programmes\D‚marrage\
    OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

    c:\documents and settings\Kris.PC-KRIS\Menu D‚marrer\Programmes\D‚marrage\
    OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2009-2-24 110592]
    D‚marrage rapide de HP Photosmart Premier.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2005-9-24 73728]
    HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]
    Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
    Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
    Sitecom WL-168 Wireless LAN Utility.lnk - c:\program files\Sitecom WL-168 Wireless LAN Driver and Utility\RtWLan.exe [2007-9-9 749568]

    c:\documents and settings\Kris.PC-KRIS\Menu D‚marrer\Programmes\D‚marrage\
    OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
    "{93994DE8-8239-4655-B1D1-5F4E91300429}"= "c:\progra~1\DVDREG~1\DVDShell.dll" [2004-10-09 49152]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "mixer"=DrvTrNTm.dll
    "wave"=DrvTrNTm.dll

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\WINDOWS\\system32\\mqsvc.exe"=
    "c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Logitech\\Logitech Vid\\vid.exe"=
    "c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=

    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [12/06/2010 15:31 108289]
    R3 TotRec7;Total Recorder WDM audio driver;c:\windows\system32\drivers\TotRec7.sys [30/06/2010 21:40 127568]
    S3 5U870CAP_VID_1262&PID_25FD;HP Pavilion Webcam ;c:\windows\system32\drivers\5U870CAP.sys [6/06/2006 22:39 61952]

    --- Autres Services/Pilotes en mémoire ---

    *NewlyCreated* - EUIJKFLA
    *Deregistered* - euijkfla
    .
    Contenu du dossier 'Tâches planifiées'

    2010-07-08 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-2337053553-1222169575-3096180240-1005.job
    - c:\program files\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]

    2010-07-08 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-2337053553-1222169575-3096180240-1005.job
    - c:\program files\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_BE&c=64&bd=pavilion&pf=laptop
    uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_BE&c=64&bd=pavilion&pf=laptop
    uInternet Settings,ProxyOverride = *.local
    IE: &Traduire à partir de l'anglais - c:\program files\Google\GoogleToolbar1.dll/cmwordtrans.html
    IE: Pages liées - c:\program files\Google\GoogleToolbar1.dll/cmbacklinks.html
    IE: Pages similaires - c:\program files\Google\GoogleToolbar1.dll/cmsimilar.html
    IE: Recherche &Google - c:\program files\Google\GoogleToolbar1.dll/cmsearch.html
    IE: Version de la page actuelle disponible dans le cache Google - c:\program files\Google\GoogleToolbar1.dll/cmcache.html
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    Notify-svtplus - svtplus.dll
    Notify-tropex - tropex.dll



    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-07-08 18:38
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    Cpqset = c:\program files\Hewlett-Packard\Default Settings\cpqset.exe????????????<?@? ????P??????Y?@?????<?@

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'explorer.exe'(4692)
    c:\windows\TEMP\logishrd\LVPrcInj01.dll
    c:\progra~1\WINDOW~2\wmpband.dll
    c:\windows\system32\webcheck.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\system32\msdtc.exe
    c:\windows\system32\RUNDLL32.EXE
    c:\windows\system32\rundll32.exe
    c:\program files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
    c:\program files\Avira\AntiVir Desktop\avguard.exe
    c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    c:\program files\Bonjour\mDNSResponder.exe
    c:\program files\OpenOffice.org 3\program\soffice.exe
    c:\program files\HP\Digital Imaging\bin\hpqimzone.exe
    c:\program files\OpenOffice.org 3\program\soffice.bin
    c:\windows\eHome\ehRecvr.exe
    c:\windows\eHome\ehSched.exe
    c:\program files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
    c:\program files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
    c:\windows\system32\nvsvc32.exe
    c:\windows\ehome\mcrdsvc.exe
    c:\windows\system32\mqsvc.exe
    c:\program files\Windows Media Player\WMPNetwk.exe
    c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
    c:\windows\system32\mqtgsvc.exe
    c:\windows\system32\wscntfy.exe
    c:\windows\eHome\ehmsas.exe
    c:\windows\system32\dllhost.exe
    c:\windows\system32\wbem\wmiapsrv.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-07-08 18:48:19 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-07-08 16:48
    ComboFix2.txt 2010-06-21 13:09
    ComboFix3.txt 2010-06-20 13:10
    ComboFix4.txt 2010-06-19 17:20

    Avant-CF: 39.140.569.088 octets libres
    Après-CF: 39.186.399.232 octets libres

    - - End Of File - - 6E48AFF98FB1D6F42D5C6E64DD1F0A9C
    8 Juillet 2010 18:52:06

    J'espère que toutes ces crasses vont partir...
    Parce que rebelotte les 4 ou 5 fenêtres qui s'ouvrent quand je veux eteindre le pc...
    La barre des tâches se déforme encore par moments...
    Toutes le fenêtres se bloquent... :pt1cable: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS