Votre question

Malware persistant

Tags :
  • Malware
  • Sécurité
Dernière réponse : dans Sécurité et virus
9 Juin 2009 10:27:48

Bonjour à tous,

Depuis quelques temps mon PC ralentit sérieusement et mon AntiVir me signale régulièrement ce malware : 'TR/Hacktool.Tcpz.A [trojan]' dont je n'arrive pas à me débarasser...

Ci-dessous le rapport Hijackthis, merci d'avance pour votre précieuse aide !

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:04:40, on 08/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20733)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\mmm.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\SPAMfighter\SFAgent.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Uniblue\SpyEraser\SpyEraser.exe
C:\Program Files\Styler\Styler.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\SPAMfighter\sfus.exe
C:\WINDOWS\system\msdct.exe
C:\WINDOWS\system\msdct.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Notepad2.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Program Files\Styler\TB\StylerTB.dll
O4 - HKLM\..\Run: [PowerTweak Menu] C:\WINDOWS\system32\mmm.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" -H
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Uniblue SpyEraser] "C:\Program Files\Uniblue\SpyEraser\SpyEraser.exe" -m
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: PowerReg Scheduler.exe
O4 - Startup: Styler.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0...
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Desktop Manager 5.8.809.23506 (GoogleDesktopManager-092308-165331) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Program Files\SPAMfighter\sfus.exe
O23 - Service: WM System Decode Application - Unknown owner - C:\WINDOWS\system\msdct.exe

--
End of file - 7496 bytes

Autres pages sur : malware persistant

a b 8 Sécurité
9 Juin 2009 11:58:46

Bonjour,

Quel est l'emplacement de l'infection ?
9 Juin 2009 13:07:38

Merci pour votre réponse. Voici ce que me dit ANtivir :

Virus or unwanted program 'TR/Hacktool.Tcpz.A [trojan]'
detected in file 'C:\WINDOWS\system32\drivers\sysdrv32.sys.


Contenus similaires
a b 8 Sécurité
9 Juin 2009 18:29:02

Re,

Télécharge MalwareByte's Anti-Malware sur ton Bureau.

  • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche, clic sur"Rechercher".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :

    ~ Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
    ~~ Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.
    ~~~~ Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.

    REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.[/#f]

    Note : Si tu ne parviens à télécharger MBAM à part de MajorGeeks, tu peux le télécharger ici!

    [#FF0000]Aide
    :
  • Comment utiliser MBAM.
  • Comment faire démarrer son ordinateur en mode sans échec.
    10 Juin 2009 13:11:00

    J'ai installé et lancé Malwarebytes' Anti-Malware. Il a trouvé ceci :

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NOTEPAD.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    c:\WINDOWS\system32\y.exe (Backdoor.Bot) -> Quarantined and deleted successfully.


    Après redémarrage, Antivir me signale toujours le malware : 'TR/Hacktool.Tcpz.A [trojan]'...

    J'ai fait un scan complet de mon PC et Antivir a trouvé ce même malware, à la même place : C:\WINDOWS\system32\drivers\sysdrv32.sys
    a b 8 Sécurité
    10 Juin 2009 19:31:34

    Re,

    Télécharge ComboFix (de sUBs) sur ton Bureau.

  • Désactive temporairement toute protection résidente ! (Antivirus, antispywares..)
  • Double clique sur ComboFix.exe.
  • Accepte la licence en cliquant sur Oui.
  • Le programme va te demander si tu souhaites installer la Console de Récupération. C'est une précaution, au cas où l'ordinateur tomberait en panne. Je te conseille donc de l'installer, ça ne coûte rien, et ça pourrait potentiellement servir !
  • Lorsque l'opération sera terminée, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.

    Le rapport se trouve ici : %SystemDrive%\ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C:\ en général)

    Aide : Comment utiliser ComboFix.
    10 Juin 2009 20:02:28

    Merci encore pour ta réponse. Voilà le rapport :

    ComboFix 09-06-09.06 - Antoine 10/06/2009 19:45.1 - NTFSx86
    Microsoft Windows XP Professional 5.1.2600.3.1252.33.1033.18.1024.434 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Antoine\Desktop\ComboFix.exe
    AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    D:\desktop.ini

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_SYSDRV32
    -------\Service_sysdrv32


    ((((((((((((((((((((((((((((( Fichiers créés du 2009-05-10 au 2009-06-10 ))))))))))))))))))))))))))))))))))))
    .

    2009-06-10 17:51 . 2009-06-10 17:51 11656 --sh--w- c:\windows\system32\drivers\sysdrv32.sys
    2009-06-10 17:51 . 2009-06-10 17:51 -------- d-----w- c:\windows\system32\wbem\snmp
    2009-06-10 17:51 . 2009-06-10 17:51 -------- d-----w- c:\windows\system32\xircom
    2009-06-10 16:57 . 2009-06-10 16:57 1052672 ----a-w- c:\windows\system32\03.scr
    2009-06-10 14:52 . 2009-06-10 14:52 1052672 ----a-w- c:\windows\system32\42.scr
    2009-06-10 08:43 . 2009-06-10 08:45 1052672 ----a-w- c:\windows\system32\86.scr
    2009-06-10 07:29 . 2009-06-10 07:29 1052672 ----a-w- c:\windows\system32\20.scr
    2009-06-10 06:39 . 2009-06-10 06:39 1052672 ----a-w- c:\windows\system32\45.scr
    2009-06-10 06:13 . 2009-06-10 17:51 6068256 --sha-w- c:\windows\system32\drivers\fidbox.dat
    2009-06-10 06:13 . 2008-07-08 12:54 148496 ----a-w- c:\windows\system32\drivers\42943683.sys
    2009-06-09 17:25 . 2009-06-09 17:25 -------- d-----w- c:\documents and settings\Antoine\Application Data\Malwarebytes
    2009-06-09 17:25 . 2009-05-26 11:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2009-06-09 17:25 . 2009-06-09 17:25 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2009-06-09 17:25 . 2009-06-09 17:25 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2009-06-09 17:25 . 2009-05-26 11:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
    2009-06-08 10:04 . 2009-06-08 10:04 -------- d-----w- c:\program files\Trend Micro
    2009-06-06 06:10 . 2008-06-19 15:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys
    2009-06-06 06:09 . 2009-06-06 06:09 -------- d-----w- c:\program files\Panda Security
    2009-06-04 06:42 . 2009-06-04 06:42 1052672 --sh--r- c:\windows\system\msdct.exe
    2009-05-28 20:42 . 2009-05-28 20:42 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Macromedia
    2009-05-28 20:41 . 2009-05-28 20:42 -------- d-----w- c:\documents and settings\Antoine\Local Settings\Application Data\ApplicationHistory
    2009-05-28 20:41 . 2001-10-28 15:42 116224 ----a-w- c:\windows\system32\pdfcmnnt.dll
    2009-05-28 20:41 . 1998-07-13 00:08 59904 ----a-w- c:\windows\system32\MSCC2FR.DLL
    2009-05-28 20:41 . 1998-07-13 00:08 141312 ----a-w- c:\windows\system32\MSCMCFR.DLL
    2009-05-28 20:41 . 2009-05-28 20:43 -------- d-----w- c:\program files\PDFCreator
    2009-05-28 20:41 . 1998-07-05 23:00 23552 ----a-w- c:\windows\system32\MSMPIDE.DLL
    2009-05-27 18:55 . 2009-06-10 17:51 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
    2009-05-19 13:05 . 2009-05-19 13:19 -------- d-----w- c:\documents and settings\Antoine\T2Viewer170CD
    2009-05-19 13:05 . 2007-03-14 01:43 2301952 ----a-w- c:\documents and settings\Antoine\Application Data\T2ViewerJVM\bin\client\jvm.dll
    2009-05-19 13:05 . 2007-03-14 01:43 47104 ----a-w- c:\documents and settings\Antoine\Application Data\T2ViewerJVM\bin\zip.dll
    2009-05-19 13:05 . 2007-03-14 01:43 31744 ----a-w- c:\documents and settings\Antoine\Application Data\T2ViewerJVM\bin\verify.dll
    2009-05-19 13:05 . 2007-03-14 01:43 24701 ----a-w- c:\documents and settings\Antoine\Application Data\T2ViewerJVM\bin\w2k_lsa_auth.dll
    2009-05-19 13:05 . 2007-03-14 01:43 110592 ----a-w- c:\documents and settings\Antoine\Application Data\T2ViewerJVM\bin\wsdetect.dll
    2009-05-19 13:05 . 2007-03-13 23:35 122880 ----a-w- c:\documents and settings\Antoine\Application Data\T2ViewerJVM\bin\unpack200.exe

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-06-10 17:51 . 2008-05-15 17:32 -------- d-----w- c:\program files\SPAMfighter
    2009-06-10 17:51 . 2009-06-10 17:51 -------- d-----w- c:\program files\microsoft frontpage
    2009-06-10 17:50 . 2009-06-10 06:13 72548 --sha-w- c:\windows\system32\drivers\fidbox.idx
    2009-06-03 17:58 . 2008-04-19 11:27 -------- d-----w- c:\documents and settings\Antoine\Application Data\Azureus
    2009-05-27 16:29 . 2008-04-22 06:26 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys
    2009-05-25 17:27 . 2008-12-12 15:29 1 ----a-w- c:\documents and settings\Antoine\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
    2009-05-19 13:05 . 2009-05-19 13:04 -------- d-----w- c:\documents and settings\Antoine\Application Data\T2ViewerJVM
    2009-05-19 13:04 . 2009-05-19 13:04 687568 ----a-w- c:\documents and settings\Antoine\Application Data\T2ViewerJVM\unins000.exe
    2009-05-04 17:15 . 2008-04-19 11:22 -------- d-----w- c:\program files\Azureus
    2009-04-23 19:09 . 2009-01-08 20:31 -------- d-----w- c:\program files\eMule
    2009-04-22 17:13 . 2009-04-29 05:34 98304 ----a-w- c:\documents and settings\Antoine\Application Data\Mozilla\Firefox\Profiles\f3okmrz1.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayAccessService.dll
    2009-04-22 17:13 . 2009-04-29 05:34 77824 ----a-w- c:\documents and settings\Antoine\Application Data\Mozilla\Firefox\Profiles\f3okmrz1.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayFormSubmitObserver.dll
    2009-04-13 12:29 . 2008-04-08 08:37 54424 ----a-w- c:\documents and settings\Antoine\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2009-04-12 15:32 . 2009-04-12 15:14 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
    2009-04-12 11:34 . 2008-07-01 03:31 -------- d-----w- c:\documents and settings\Antoine\Application Data\FileZilla
    2009-04-05 10:58 . 2009-04-05 10:58 152576 ----a-w- c:\documents and settings\Antoine\Application Data\Sun\Java\jre1.6.0_13\lzma.dll
    2008-12-19 09:11 . 2008-12-19 09:11 122880 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
    .

    ------- Sigcheck -------

    [-] 2008-03-19 20:55 361344 CEF393E4697B14D310320A62C3643F77 c:\windows\system32\drivers\tcpip.sys
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-03-07 15360]
    "Uniblue SpyEraser"="c:\program files\Uniblue\SpyEraser\SpyEraser.exe" [2008-01-08 1260296]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "PowerTweak Menu"="c:\windows\system32\mmm.exe" [2005-07-05 828416]
    "UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2008-02-27 15872]
    "WinampAgent"="c:\program files\Winamp\winampa.exe" [2006-06-21 35328]
    "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497]
    "Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-12-19 30192]
    "SPAMfighter Agent"="c:\program files\SPAMfighter\SFAgent.exe" [2009-01-16 325768]
    "itype"="c:\program files\Microsoft IntelliType Pro\itype.exe" [2008-06-10 1442888]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-03-07 15360]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "ShowDeskFix"="shell32" [X]
    "nltide_3"="advpack.dll" - c:\windows\system32\advpack.dll [2008-03-19 124928]

    c:\documents and settings\Antoine\Start Menu\Programs\Startup\
    is-JNRI9.lnk - c:\documents and settings\Antoine\Desktop\Virus Removal Tool\is-JNRI9\startup.exe [2009-6-10 65536]
    PowerReg Scheduler.exe [2008-5-28 225280]
    Styler.lnk - c:\documents and settings\Antoine\Application Data\Microsoft\Installer\{E9ECF354-2422-4FDB-9ABF-D8ADAC0EF941}\_585b207a.exe [2008-4-8 15086]

    c:\documents and settings\All Users\Start Menu\Programs\Startup\
    Adobe Gamma Loader.exe.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2008-4-19 110592]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WM System Decode Application]
    @="Service"

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\WINDOWS\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Azureus\\Azureus.exe"=
    "c:\\Program Files\\Avira\\AntiVir PersonalEdition Classic\\avcenter.exe"=
    "c:\\Program Files\\FileZilla FTP Client\\filezilla.exe"=
    "c:\\Program Files\\eMule\\emule.exe"=
    "c:\\Program Files\\SoulseekNS\\slsk.exe"=
    "c:\\Program Files\\HomePlayer\\HomePlayer.exe"=
    "c:\\Program Files\\HomePlayer\\VLC\\vlc.exe"=

    R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [6/6/2009 8:10 AM 28544]
    R1 is-JNRI9drv;is-JNRI9drv;c:\windows\system32\drivers\42943683.sys [6/10/2009 8:13 AM 148496]
    R2 SPAMfighter Update Service;SPAMfighter Update Service;c:\program files\SPAMfighter\sfus.exe [1/16/2009 11:11 AM 184968]
    R2 WM System Decode Application;WM System Decode Application;c:\windows\system\msdct.exe [6/4/2009 8:42 AM 1052672]
    S3 GoogleDesktopManager-092308-165331;Google Desktop Manager 5.8.809.23506;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [12/19/2008 11:11 AM 30192]

    --- Autres Services/Pilotes en mémoire ---

    *NewlyCreated* - SYSDRV32
    .
    Contenu du dossier 'Tâches planifiées'

    2009-02-27 c:\windows\Tasks\Microsoft_Hardware_Launch_IType_exe.job
    - c:\program files\Microsoft IntelliType Pro\itype.exe [2008-06-10 11:56]

    2009-04-11 c:\windows\Tasks\Uniblue SpyEraser.job
    - c:\program files\Uniblue\SpyEraser\SpyEraser.exe [2009-04-11 07:14]
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKU-Default-Run-TaskSwitchXP - c:\program files\TaskSwitchXP\TaskSwitchXP.exe
    SafeBoot-lsass
    SafeBoot-netmon


    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    uSearchURL,(Default) = hxxp://www.google.com/search/?q=%s
    IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
    Trusted Zone: secuser.com\www
    FF - ProfilePath - c:\documents and settings\Antoine\Application Data\Mozilla\Firefox\Profiles\f3okmrz1.default\
    FF - prefs.js: browser.search.selectedEngine - eBay France
    FF - component: c:\documents and settings\Antoine\Application Data\Mozilla\Firefox\Profiles\f3okmrz1.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayAccessService.dll
    FF - component: c:\documents and settings\Antoine\Application Data\Mozilla\Firefox\Profiles\f3okmrz1.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayFormSubmitObserver.dll
    FF - component: c:\documents and settings\Antoine\Application Data\Mozilla\Firefox\Profiles\f3okmrz1.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
    FF - component: c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\npagent.dll
    .
    .
    ------- Associations de fichier -------
    .
    inffile=c:\windows\system32\Notepad2.exe %1
    inifile=c:\windows\system32\Notepad2.exe %1
    txtfile=c:\windows\system32\Notepad2.exe %1
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-06-10 19:51
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-1123561945-1390067357-842925246-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]
    @Denied: (Full) (LocalSystem)
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'explorer.exe'(3748)
    c:\windows\system32\msi.dll
    c:\program files\Common Files\Microsoft Shared\INK\SKCHUI.DLL
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
    c:\program files\Analog Devices\SoundMAX\SMAgent.exe
    c:\program files\Styler\Styler.exe
    c:\windows\system32\msiexec.exe
    c:\windows\system32\wscntfy.exe
    .
    **************************************************************************
    .
    Heure de fin: 2009-06-10 19:53 - La machine a redémarré
    ComboFix-quarantined-files.txt 2009-06-10 17:53

    Avant-CF: 9 352 720 384 bytes free
    Après-CF: 9 306 636 288 bytes free

    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

    200
    a b 8 Sécurité
    11 Juin 2009 17:46:41

    Re,

    Analyse le fichier suivant sur le site VirusTotal puis poste le rapport :
    c:\windows\system32\drivers\42943683.sys

    Sélectionne l'intégralité du cadre ci-dessous :

    File::
    c:\windows\system32\drivers\sysdrv32.sys
    c:\windows\system\msdct.exe

    Registry::
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "ShowDeskFix"=-


  • Copie/colle le dans le Bloc Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
  • Enregistre le sous sur ton bureau sous le nom de CFScript.txt
  • Glisse maintenant le fichier CFScript.txt dans ComboFix.exe comme ci-dessous :

  • Cela va relancer Combofix.
  • Tu devras accepter la licence.

    Poste le contenu du rapport ComboFix.txt après redémarrage s'il y en a un.

    Le rapport se trouve ici : %SystemDrive%\ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C:\ en général)
    11 Juin 2009 23:57:42

    Voilà pour Virus Total :

    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.5.0.18 2009.06.08 -
    AhnLab-V3 5.0.0.2 2009.06.08 -
    AntiVir 7.9.0.180 2009.06.08 -
    Antiy-AVL 2.0.3.1 2009.06.08 -
    Authentium 5.1.2.4 2009.06.08 -
    Avast 4.8.1335.0 2009.06.07 -
    AVG 8.5.0.339 2009.06.08 -
    BitDefender 7.2 2009.06.08 -
    CAT-QuickHeal 10.00 2009.06.08 -
    ClamAV 0.94.1 2009.06.08 -
    Comodo 1286 2009.06.08 -
    DrWeb 5.0.0.12182 2009.06.08 -
    eSafe 7.0.17.0 2009.06.07 -
    eTrust-Vet 31.6.6547 2009.06.08 -
    F-Prot 4.4.4.56 2009.06.08 -
    F-Secure 8.0.14470.0 2009.06.08 -
    Fortinet 3.117.0.0 2009.06.08 -
    GData 19 2009.06.08 -
    Ikarus T3.1.1.59.0 2009.06.08 -
    K7AntiVirus 7.10.757 2009.06.08 -
    Kaspersky 7.0.0.125 2009.06.08 -
    McAfee 5640 2009.06.08 -
    McAfee+Artemis 5640 2009.06.08 -
    McAfee-GW-Edition 6.7.6 2009.06.08 -
    Microsoft 1.4701 2009.06.08 -
    NOD32 4139 2009.06.08 -
    Norman 6.01.09 2009.06.08 -
    nProtect 2009.1.8.0 2009.06.08 -
    Panda 10.0.0.14 2009.06.08 -
    PCTools 4.4.2.0 2009.06.06 -
    Prevx 3.0 2009.06.08 -
    Rising 21.33.03.00 2009.06.08 -
    Sophos 4.42.0 2009.06.08 -
    Sunbelt 3.2.1858.2 2009.06.08 -
    Symantec 1.4.4.12 2009.06.08 -
    TheHacker 6.3.4.3.342 2009.06.08 -
    TrendMicro 8.950.0.1092 2009.06.08 -
    VBA32 3.12.10.6 2009.06.08 -
    ViRobot 2009.6.8.1773 2009.06.08 -
    VirusBuster 4.6.5.0 2009.06.08 -
    Information additionnelle
    File size: 148496 bytes
    MD5 : 0aa3ad071827118fcc8f37f7a6ab7aa1
    SHA1 : 59784c49ffe530931010070c8843366f9d7fa6f0
    SHA256: 3e893bcf9e3ec8fa44c8ef0cf7c2d269212651d65c16b30bd953cc3a54f3b2aa
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x33010
    timedatestamp.....: 0x4873470A (Tue Jul 8 12:52:58 2008)
    machinetype.......: 0x14C (Intel I386)

    ( 8 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0x1A848 0x1AA00 6.38 ca8bbffb8c1aac75560de3ffede16f38
    NONPAGED 0x1C000 0x25 0x200 0.30 76fbfaa1c4997eccce3ca016c3b1345b
    .rdata 0x1D000 0x850 0xA00 4.25 6ffc26ac817e2ae1a1cf5ce42adc9f0b
    .data 0x1E000 0x1B00 0x600 6.42 2680643c152bf562cae4ab5d1ed2070c
    PAGE 0x20000 0x2CDC 0x2E00 6.28 7516763c152ec5b6c5df87c555fadbb5
    INIT 0x23000 0x1B88 0x1C00 5.96 4459dca4b85a564cb98f26cfbff36fbe
    .rsrc 0x25000 0x400 0x400 3.36 09f200edb8e02e6fa4ab2f6bc27ad921
    .reloc 0x26000 0x1B6E 0x1C00 6.47 5d73a4e2a3be56c2448dbd9511deefa3

    ( 0 imports )


    ( 0 exports )
    TrID : File type identification
    Win32 Executable Generic (68.0%)
    Generic Win/DOS Executable (15.9%)
    DOS Executable Generic (15.9%)
    Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
    ssdeep: 3072:xoZsjyhxlNCet3MATPO1jUFLVFnRkPjcow9gT7wNwSk7Fa/4NJ:xnjyhx8Ad6jcpgTsW/KqJ
    PEiD : -
    RDS : NSRL Reference Data Set
    -
    12 Juin 2009 00:00:21

    Et voici le rapport ComboFix.txt :

    ComboFix 09-06-09.06 - Antoine 11/06/2009 23:37.2 - NTFSx86
    Microsoft Windows XP Professional 5.1.2600.3.1252.33.1033.18.1024.535 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Antoine\Desktop\ComboFix.exe
    Commutateurs utilisés :: c:\documents and settings\Antoine\Desktop\CFScript.txt
    AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

    FILE ::
    "c:\windows\system\msdct.exe"
    "c:\windows\system32\drivers\sysdrv32.sys"
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\system\msdct.exe
    c:\windows\system32\drivers\sysdrv32.sys
    H:\Autorun.inf

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_SYSDRV32
    -------\Service_sysdrv32


    ((((((((((((((((((((((((((((( Fichiers créés du 2009-05-11 au 2009-06-11 ))))))))))))))))))))))))))))))))))))
    .

    2009-06-10 20:24 . 2009-06-10 20:24 1052672 ----a-w- c:\windows\system32\15.scr
    2009-06-10 18:48 . 2009-06-10 18:48 1052672 ----a-w- c:\windows\system32\72.scr
    2009-06-10 17:51 . 2009-06-10 17:51 -------- d-----w- c:\windows\system32\wbem\snmp
    2009-06-10 17:51 . 2009-06-10 17:51 -------- d-----w- c:\windows\system32\xircom
    2009-06-10 17:51 . 2009-06-10 17:51 -------- d-----w- c:\program files\microsoft frontpage
    2009-06-10 16:57 . 2009-06-10 16:57 1052672 ----a-w- c:\windows\system32\03.scr
    2009-06-10 14:52 . 2009-06-10 14:52 1052672 ----a-w- c:\windows\system32\42.scr
    2009-06-10 08:43 . 2009-06-10 08:45 1052672 ----a-w- c:\windows\system32\86.scr
    2009-06-10 07:29 . 2009-06-10 07:29 1052672 ----a-w- c:\windows\system32\20.scr
    2009-06-10 06:39 . 2009-06-10 06:39 1052672 ----a-w- c:\windows\system32\45.scr
    2009-06-10 06:13 . 2009-06-11 21:42 21264416 --sha-w- c:\windows\system32\drivers\fidbox.dat
    2009-06-10 06:13 . 2008-07-08 12:54 148496 ----a-w- c:\windows\system32\drivers\42943683.sys
    2009-06-09 17:25 . 2009-06-09 17:25 -------- d-----w- c:\documents and settings\Antoine\Application Data\Malwarebytes
    2009-06-09 17:25 . 2009-05-26 11:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2009-06-09 17:25 . 2009-06-09 17:25 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2009-06-09 17:25 . 2009-06-09 17:25 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2009-06-09 17:25 . 2009-05-26 11:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
    2009-06-08 10:04 . 2009-06-08 10:04 -------- d-----w- c:\program files\Trend Micro
    2009-06-06 06:10 . 2008-06-19 15:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys
    2009-06-06 06:09 . 2009-06-06 06:09 -------- d-----w- c:\program files\Panda Security
    2009-05-28 20:42 . 2009-05-28 20:42 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Macromedia
    2009-05-28 20:41 . 2009-05-28 20:42 -------- d-----w- c:\documents and settings\Antoine\Local Settings\Application Data\ApplicationHistory
    2009-05-28 20:41 . 2001-10-28 15:42 116224 ----a-w- c:\windows\system32\pdfcmnnt.dll
    2009-05-28 20:41 . 1998-07-13 00:08 59904 ----a-w- c:\windows\system32\MSCC2FR.DLL
    2009-05-28 20:41 . 1998-07-13 00:08 141312 ----a-w- c:\windows\system32\MSCMCFR.DLL
    2009-05-28 20:41 . 2009-05-28 20:43 -------- d-----w- c:\program files\PDFCreator
    2009-05-28 20:41 . 1998-07-05 23:00 23552 ----a-w- c:\windows\system32\MSMPIDE.DLL
    2009-05-27 18:55 . 2009-06-11 21:32 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
    2009-05-19 13:05 . 2009-05-19 13:19 -------- d-----w- c:\documents and settings\Antoine\T2Viewer170CD
    2009-05-19 13:05 . 2007-03-14 01:43 2301952 ----a-w- c:\documents and settings\Antoine\Application Data\T2ViewerJVM\bin\client\jvm.dll
    2009-05-19 13:05 . 2007-03-14 01:43 47104 ----a-w- c:\documents and settings\Antoine\Application Data\T2ViewerJVM\bin\zip.dll
    2009-05-19 13:05 . 2007-03-14 01:43 31744 ----a-w- c:\documents and settings\Antoine\Application Data\T2ViewerJVM\bin\verify.dll
    2009-05-19 13:05 . 2007-03-14 01:43 24701 ----a-w- c:\documents and settings\Antoine\Application Data\T2ViewerJVM\bin\w2k_lsa_auth.dll
    2009-05-19 13:05 . 2007-03-14 01:43 110592 ----a-w- c:\documents and settings\Antoine\Application Data\T2ViewerJVM\bin\wsdetect.dll
    2009-05-19 13:05 . 2007-03-13 23:35 122880 ----a-w- c:\documents and settings\Antoine\Application Data\T2ViewerJVM\bin\unpack200.exe

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-06-11 21:42 . 2008-05-15 17:32 -------- d-----w- c:\program files\SPAMfighter
    2009-06-11 21:40 . 2009-06-10 06:13 250868 --sha-w- c:\windows\system32\drivers\fidbox.idx
    2009-06-11 21:14 . 2008-04-19 11:27 -------- d-----w- c:\documents and settings\Antoine\Application Data\Azureus
    2009-05-27 16:29 . 2008-04-22 06:26 75096 ----a-w- c:\windows\system32\drivers\avipbb.sys
    2009-05-25 17:27 . 2008-12-12 15:29 1 ----a-w- c:\documents and settings\Antoine\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
    2009-05-19 13:05 . 2009-05-19 13:04 -------- d-----w- c:\documents and settings\Antoine\Application Data\T2ViewerJVM
    2009-05-19 13:04 . 2009-05-19 13:04 687568 ----a-w- c:\documents and settings\Antoine\Application Data\T2ViewerJVM\unins000.exe
    2009-05-04 17:15 . 2008-04-19 11:22 -------- d-----w- c:\program files\Azureus
    2009-04-23 19:09 . 2009-01-08 20:31 -------- d-----w- c:\program files\eMule
    2009-04-22 17:13 . 2009-04-29 05:34 98304 ----a-w- c:\documents and settings\Antoine\Application Data\Mozilla\Firefox\Profiles\f3okmrz1.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayAccessService.dll
    2009-04-22 17:13 . 2009-04-29 05:34 77824 ----a-w- c:\documents and settings\Antoine\Application Data\Mozilla\Firefox\Profiles\f3okmrz1.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayFormSubmitObserver.dll
    2009-04-13 12:29 . 2008-04-08 08:37 54424 ----a-w- c:\documents and settings\Antoine\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2009-04-05 10:58 . 2009-04-05 10:58 152576 ----a-w- c:\documents and settings\Antoine\Application Data\Sun\Java\jre1.6.0_13\lzma.dll
    2008-12-19 09:11 . 2008-12-19 09:11 122880 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
    .

    ------- Sigcheck -------

    [-] 2008-03-19 20:55 361344 CEF393E4697B14D310320A62C3643F77 c:\windows\system32\drivers\tcpip.sys
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-03-07 15360]
    "Uniblue SpyEraser"="c:\program files\Uniblue\SpyEraser\SpyEraser.exe" [2008-01-08 1260296]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "PowerTweak Menu"="c:\windows\system32\mmm.exe" [2005-07-05 828416]
    "UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2008-02-27 15872]
    "WinampAgent"="c:\program files\Winamp\winampa.exe" [2006-06-21 35328]
    "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497]
    "Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-12-19 30192]
    "SPAMfighter Agent"="c:\program files\SPAMfighter\SFAgent.exe" [2009-01-16 325768]
    "itype"="c:\program files\Microsoft IntelliType Pro\itype.exe" [2008-06-10 1442888]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-03-07 15360]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "nltide_3"="advpack.dll" - c:\windows\system32\advpack.dll [2008-03-19 124928]

    c:\documents and settings\Antoine\Start Menu\Programs\Startup\
    is-JNRI9.lnk - c:\documents and settings\Antoine\Desktop\Virus Removal Tool\is-JNRI9\startup.exe [2009-6-10 65536]
    PowerReg Scheduler.exe [2008-5-28 225280]
    Styler.lnk - c:\documents and settings\Antoine\Application Data\Microsoft\Installer\{E9ECF354-2422-4FDB-9ABF-D8ADAC0EF941}\_585b207a.exe [2008-4-8 15086]

    c:\documents and settings\All Users\Start Menu\Programs\Startup\
    Adobe Gamma Loader.exe.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2008-4-19 110592]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WM System Decode Application]
    @="Service"

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\WINDOWS\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Azureus\\Azureus.exe"=
    "c:\\Program Files\\Avira\\AntiVir PersonalEdition Classic\\avcenter.exe"=
    "c:\\Program Files\\FileZilla FTP Client\\filezilla.exe"=
    "c:\\Program Files\\eMule\\emule.exe"=
    "c:\\Program Files\\SoulseekNS\\slsk.exe"=
    "c:\\Program Files\\HomePlayer\\HomePlayer.exe"=
    "c:\\Program Files\\HomePlayer\\VLC\\vlc.exe"=

    R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [6/6/2009 8:10 AM 28544]
    R1 is-JNRI9drv;is-JNRI9drv;c:\windows\system32\drivers\42943683.sys [6/10/2009 8:13 AM 148496]
    R2 SPAMfighter Update Service;SPAMfighter Update Service;c:\program files\SPAMfighter\sfus.exe [1/16/2009 11:11 AM 184968]
    S2 WM System Decode Application;WM System Decode Application;"c:\windows\system\msdct.exe" --> c:\windows\system\msdct.exe [?]
    S3 GoogleDesktopManager-092308-165331;Google Desktop Manager 5.8.809.23506;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [12/19/2008 11:11 AM 30192]
    .
    Contenu du dossier 'Tâches planifiées'

    2009-02-27 c:\windows\Tasks\Microsoft_Hardware_Launch_IType_exe.job
    - c:\program files\Microsoft IntelliType Pro\itype.exe [2008-06-10 11:56]

    2009-04-11 c:\windows\Tasks\Uniblue SpyEraser.job
    - c:\program files\Uniblue\SpyEraser\SpyEraser.exe [2009-04-11 07:14]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    uSearchURL,(Default) = hxxp://www.google.com/search/?q=%s
    IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
    Trusted Zone: secuser.com\www
    FF - ProfilePath - c:\documents and settings\Antoine\Application Data\Mozilla\Firefox\Profiles\f3okmrz1.default\
    FF - prefs.js: browser.search.selectedEngine - eBay France
    FF - component: c:\documents and settings\Antoine\Application Data\Mozilla\Firefox\Profiles\f3okmrz1.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayAccessService.dll
    FF - component: c:\documents and settings\Antoine\Application Data\Mozilla\Firefox\Profiles\f3okmrz1.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayFormSubmitObserver.dll
    FF - component: c:\documents and settings\Antoine\Application Data\Mozilla\Firefox\Profiles\f3okmrz1.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
    FF - component: c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\npagent.dll
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-06-11 23:42
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-1123561945-1390067357-842925246-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]
    @Denied: (Full) (LocalSystem)
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'explorer.exe'(2552)
    c:\windows\system32\msi.dll
    c:\program files\Common Files\Microsoft Shared\INK\SKCHUI.DLL
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
    c:\program files\Styler\Styler.exe
    c:\program files\Analog Devices\SoundMAX\SMAgent.exe
    c:\documents and settings\Antoine\Desktop\Virus Removal Tool\is-JNRI9\is-JNRI9.exe
    c:\windows\system32\msiexec.exe
    c:\windows\system32\wscntfy.exe
    .
    **************************************************************************
    .
    Heure de fin: 2009-06-11 23:44 - La machine a redémarré
    ComboFix-quarantined-files.txt 2009-06-11 21:44
    ComboFix2.txt 2009-06-10 17:53

    Avant-CF: 4 218 146 816 bytes free
    Après-CF: 4 214 677 504 bytes free

    185
    a b 8 Sécurité
    12 Juin 2009 17:28:53

    Tu as le même problème ?
    15 Juin 2009 14:00:17

    Non ! après un nouveau scan par AntiVir, il n'y a plus trace du malware. Tout semble revenu à la normal. Merci beaucoup pour votre aide des plus rapides et compétentes.
    a b 8 Sécurité
    15 Juin 2009 19:56:36

    Bonne continuation ;) 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS