Votre question

Win 32: trojan gen {other}

Tags :
  • Trojan
  • Sécurité
Dernière réponse : dans Sécurité et virus
25 Avril 2009 13:33:49

Bonjour, Avast trouve ce virus ( win 32: trojan gen {other} ) le fichier infecté est toujours dans le dossier system32 mais et j'ai beau le supprimer le mettre en quarantaine rien n'y fait il réapparait toujours.


Quelqu'un pourrait il m'aider a m'en debarrasser definitivement merci.


Voici mon rapport hisjack


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:33:05, on 25/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\VMware\VMware Tools\vmacthlp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Boot Camp\KbdMgr.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\VMware\VMware Tools\VMwareTray.exe
C:\Program Files\VMware\VMware Tools\VMwareUser.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\AppleOSSMgr.exe
C:\WINDOWS\system32\AppleTimeSrv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\VMware\VMware Tools\VMwareService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\VMware\VMware Tools\TPAutoConnSvc.exe
C:\Program Files\VMware\VMware Tools\TPAutoConnect.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Apple_KbdMgr] C:\Program Files\Boot Camp\KbdMgr.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [VMware Tools] C:\Program Files\VMware\VMware Tools\VMwareTray.exe
O4 - HKLM\..\Run: [VMware User Process] C:\Program Files\VMware\VMware Tools\VMwareUser.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] C:\Program Files\Uniblue\RegistryBooster\RegistryBooster.exe /S
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware tools\vsock sdk\bin\win32\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware tools\vsock sdk\bin\win32\vsocklib.dll
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O20 - Winlogon Notify: TPSvc - C:\WINDOWS\SYSTEM32\TPSvc.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Apple OS Switch Manager (AppleOSSMgr) - Unknown owner - C:\WINDOWS\system32\AppleOSSMgr.exe
O23 - Service: Apple Time Service (AppleTimeSrv) - Apple Inc. - C:\WINDOWS\system32\AppleTimeSrv.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
O23 - Service: TP AutoConnect Service (TPAutoConnSvc) - ThinPrint GmbH - C:\Program Files\VMware\VMware Tools\TPAutoConnSvc.exe
O23 - Service: Service VMware Tools (VMTools) - VMware, Inc. - C:\Program Files\VMware\VMware Tools\VMwareService.exe
O23 - Service: Service d'aide du disque physique VMware (VMware Physical Disk Helper Service) - VMware, Inc. - C:\Program Files\VMware\VMware Tools\vmacthlp.exe

--
End of file - 8451 bytes

Autres pages sur : win trojan gen other

a b 8 Sécurité
25 Avril 2009 18:01:39

Bonjour,

Quel est l'emplacement exact ?
25 Avril 2009 23:25:48

bonjour,
merci de vous interesser a mon cas,
le nom des fichiers infectes sont :sxs32.exe, trz46.tmp, trz6D.tmp, trz6e.tmp et se trouvent tous dans C:\Documents and Setting\christophe.
Je n'ai pas les autre noms de fichier car je les ai supprime mais ils etaient localises dans un dossier temp
Contenus similaires
a b 8 Sécurité
26 Avril 2009 12:44:09

Re,

Tu as essayé la suppression manuelle ?

Télécharge MalwareByte's Anti-Malware sur ton Bureau.

  • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche, clic sur"Rechercher".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :

    ~ Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
    ~~ Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.
    ~~~~ Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.

    REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.[/#f]

    Note : Si tu ne parviens à télécharger MBAM à part de MajorGeeks, tu peux le télécharger ici!

    [#FF0000]Aide
    :
  • Comment utiliser MBAM.
  • Comment faire démarrer son ordinateur en mode sans échec.
    27 Avril 2009 09:09:06

    J'ai suivi toutes tes recommandations, mais apres windows ne voulait plus demarrer, aussi j'ai du redemarer en mode sans echec afin de remettre ma licence en marche, je t'envoie le rapport de mbam:
    Malwarebytes' Anti-Malware 1.36
    Version de la base de données: 2046
    Windows 5.1.2600 Service Pack 3

    27/04/2009 08:40:34
    mbam-log-2009-04-27 (08-40-34).txt

    Type de recherche: Examen complet (C:\|)
    Eléments examinés: 112450
    Temps écoulé: 29 minute(s), 50 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 1
    Clé(s) du Registre infectée(s): 2
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 1
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    C:\WINDOWS\system32\antiwpa.dll (Trojan.I.Stole.Windows) -> Delete on reboot.

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\antiwpa (Trojan.I.Stole.Windows) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\antiwpa.dll (Trojan.I.Stole.Windows) -> Delete on reboot.
    27 Avril 2009 10:10:47

    je viens de refaire une analyse par malware et il viens de me trouver encore 2 trojan le fait que le les supprime et mon windows perd son activation je suis de nouveau oblge de passer par le mode sans echec afin de le reactiver.
    voici le deuxieme rapport:
    Malwarebytes' Anti-Malware 1.36
    Version de la base de données: 2046
    Windows 5.1.2600 Service Pack 3

    27/04/2009 09:57:47
    mbam-log-2009-04-27 (09-57-47).txt

    Type de recherche: Examen complet (C:\|)
    Eléments examinés: 111768
    Temps écoulé: 19 minute(s), 35 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\antiwpa (Trojan.I.Stole.Windows) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\WINDOWS\system32\antiwpa.dll (Trojan.I.Stole.Windows) -> Delete on reboot.
    a b 8 Sécurité
    27 Avril 2009 16:13:06

    Reposte un rapport Hijackthis pour voir.
    27 Avril 2009 17:09:05

    le nouveau rapport
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:03:19, on 27/04/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\Program Files\VMware\VMware Tools\vmacthlp.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\WINDOWS\system32\AppleOSSMgr.exe
    C:\WINDOWS\system32\AppleTimeSrv.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Boot Camp\KbdMgr.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Microsoft IntelliPoint\point32.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
    C:\WINDOWS\system32\LXSUPMON.EXE
    C:\Documents and Settings\christophe\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
    C:\Program Files\eMule\emule.exe
    C:\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [Apple_KbdMgr] C:\Program Files\Boot Camp\KbdMgr.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [VMware Tools] C:\Program Files\VMware\VMware Tools\VMwareTray.exe
    O4 - HKLM\..\Run: [VMware User Process] C:\Program Files\VMware\VMware Tools\VMwareUser.exe
    O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
    O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
    O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] C:\Program Files\Uniblue\RegistryBooster\RegistryBooster.exe /S
    O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\christophe\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware tools\vsock sdk\bin\win32\vsocklib.dll
    O10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware tools\vsock sdk\bin\win32\vsocklib.dll
    O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
    O20 - Winlogon Notify: TPSvc - C:\WINDOWS\SYSTEM32\TPSvc.dll
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Apple OS Switch Manager (AppleOSSMgr) - Unknown owner - C:\WINDOWS\system32\AppleOSSMgr.exe
    O23 - Service: Apple Time Service (AppleTimeSrv) - Apple Inc. - C:\WINDOWS\system32\AppleTimeSrv.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Program Files\Fichiers communs\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
    O23 - Service: TP AutoConnect Service (TPAutoConnSvc) - ThinPrint GmbH - C:\Program Files\VMware\VMware Tools\TPAutoConnSvc.exe
    O23 - Service: Service VMware Tools (VMTools) - VMware, Inc. - C:\Program Files\VMware\VMware Tools\VMwareService.exe
    O23 - Service: Service d'aide du disque physique VMware (VMware Physical Disk Helper Service) - VMware, Inc. - C:\Program Files\VMware\VMware Tools\vmacthlp.exe

    --
    End of file - 8377 bytes

    a b 8 Sécurité
    27 Avril 2009 20:34:54

    Analyse le fichier suivant sur le site VirusTotal puis poste le rapport :
    C:\WINDOWS\SYSTEM32\antiwpa.dll
    27 Avril 2009 22:51:07

    voici l'analyse par virus total
    Fichier ANTIWPA.DLL reçu le 2009.04.27 14:05:21 (CET)
    Situation actuelle: terminé
    Résultat: 21/40 (52.50%)
    Formaté
    Impression des résultats
    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.0.0.101 2009.04.27 Riskware.Hacktool.Wpakill!IK
    AhnLab-V3 5.0.0.2 2009.04.27 Win-Trojan/Xema.variant
    AntiVir 7.9.0.156 2009.04.27 -
    Antiy-AVL 2.0.3.1 2009.04.27 Virus/Win32.Xorer
    Authentium 5.1.2.4 2009.04.26 -
    Avast 4.8.1335.0 2009.04.26 -
    AVG 8.5.0.287 2009.04.27 HackTool.GEC
    BitDefender 7.2 2009.04.27 Virtool.20359
    CAT-QuickHeal 10.00 2009.04.27 Trojan.Agent.irc
    ClamAV 0.94.1 2009.04.27 -
    Comodo 1137 2009.04.27 Unclassified Malware
    DrWeb 4.44.0.09170 2009.04.27 Tool.Wpakill.1
    eSafe 7.0.17.0 2009.04.23 Win32.Hacktool
    eTrust-Vet 31.6.6478 2009.04.27 -
    F-Prot 4.4.4.56 2009.04.27 -
    F-Secure 8.0.14470.0 2009.04.27 -
    Fortinet 3.117.0.0 2009.04.27 Dialer_Intex
    GData 19 2009.04.27 Virtool.20359
    Ikarus T3.1.1.49.0 2009.04.27 not-a-Virus.Hacktool.Wpakill
    K7AntiVirus 7.10.716 2009.04.25 Trojan.Win32.Agent
    Kaspersky 7.0.0.125 2009.04.27 -
    McAfee 5597 2009.04.26 potentially unwanted program Generic HTool
    McAfee+Artemis 5597 2009.04.26 potentially unwanted program Generic HTool
    McAfee-GW-Edition 6.7.6 2009.04.27 -
    Microsoft 1.4602 2009.04.27 HackTool:Win32/Wpakill
    NOD32 4036 2009.04.27 -
    Norman 6.00.06 2009.04.27 -
    nProtect 2009.1.8.0 2009.04.27 Trojan/W32.HackTool.5376
    Panda 10.0.0.14 2009.04.26 HackTool/Antiwpa
    PCTools 4.4.2.0 2009.04.27 -
    Prevx1 3.0 2009.04.27 -
    Rising 21.27.02.00 2009.04.27 -
    Sophos 4.41.0 2009.04.27 -
    Sunbelt 3.2.1858.2 2009.04.24 -
    Symantec 1.4.4.12 2009.04.27 Hacktool
    TheHacker 6.3.4.1.315 2009.04.27 -
    TrendMicro 8.700.0.1004 2009.04.27 -
    VBA32 3.12.10.3 2009.04.27 -
    ViRobot 2009.4.27.1710 2009.04.27 Trojan.Win32.Agent.5376.B
    VirusBuster 4.6.5.0 2009.04.26 HackTool.Wpakill.H
    Information additionnelle
    File size: 5376 bytes
    MD5...: f2aaf467e72b0c4754bdcbede3793623
    SHA1..: 6109d95497b1ea0fccd942c12e5aa38ff7bb0628
    SHA256: 4266a4c85a6b068598a00f45762987a85c9fc31e368981df3188e6e31c91e554
    SHA512: 22571197b21a22477f8111be6512329d973a979b8dd798ccfae94037f9064de9
    f836557b3950a4692bd4b281fb03443e956463b0e4e33edfc3b5a486fd927207
    ssdeep: 96:gGKvnMoBDvCCslvtdhEArE/1pQxkpulLFjiyDXijoqRfAFfoq:gGKvnXBmCsl
    NxrE/1pQxk+ZjiyDXiU0A
    PEiD..: -
    TrID..: File type identification
    Win32 Dynamic Link Library (generic) (65.4%)
    Generic Win/DOS Executable (17.2%)
    DOS Executable Generic (17.2%)
    Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x801
    timedatestamp.....: 0x432cb580 (Sun Sep 18 00:32:00 2005)
    machinetype.......: 0x14c (I386)

    ( 3 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x300 0xd50 0xe00 5.89 c005c76ad53190081de36919f32f35e6
    .rsrc 0x1100 0x290 0x300 2.83 3d59ac09546fc3597075b035af9a4702
    .reloc 0x1400 0xda 0x100 3.75 fa9f622eba63c95dcb89ed074b261965

    ( 6 imports )
    > KERNEL32.dll: lstrlenA, GetTickCount, GetSystemDirectoryA, FindFirstFileA, GetLastError, lstrcmpiA, GetModuleHandleA, FindClose, MoveFileA, GetModuleFileNameA, FindNextFileA, DeleteFileA, VirtualProtect, VirtualQuery, IsBadReadPtr, CopyFileA
    > ADVAPI32.dll: RegDeleteKeyA, RegCreateKeyExA, RegSetValueExA
    > USER32.dll: GetSystemMetrics, MessageBoxA, GetForegroundWindow
    > SHLWAPI.dll: PathAddBackslashA, PathAppendA, PathStripPathA, PathRemoveFileSpecA
    > SHELL32.dll: ShellExecuteA
    > ntdll.dll: _vsnprintf, _strcmpi, _stricmp, memset

    ( 3 exports )
    DllRegisterServer, DllUnregisterServer, onLogon
    PDFiD.: -
    RDS...: NSRL Reference Data Set
    -
    CWSandbox info: http://research.sunbelt-software.com/partnerresource/MD...

    a b 8 Sécurité
    28 Avril 2009 14:02:44

    Re?

    Télécharge ComboFix (de sUBs) sur ton Bureau.

  • Désactive temporairement toute protection résidente ! (Antivirus, antispywares..)
  • Double clique sur ComboFix.exe.
  • Accepte la licence en cliquant sur Oui.
  • Le programme va te demander si tu souhaites installer la Console de Récupération. C'est une précaution, au cas où l'ordinateur tomberait en panne. Je te conseille donc de l'installer, ça ne coûte rien, et ça pourrait potentiellement servir !
  • Lorsque l'opération sera terminée, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.

    Le rapport se trouve ici : %SystemDrive%\ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C:\ en général)

    Aide : Comment utiliser ComboFix.
    28 Avril 2009 14:48:40

    j'ai fait tout ce que tu m'as dit et voila le resultat:

    ComboFix 09-04-27.04 - christophe 28/04/2009 14:37.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.3048.2492 [GMT 2:00]
    Lancé depuis: c:\documents and settings\christophe\Mes documents\Downloads\ComboFix.exe
    AV: avast! antivirus 4.8.1335 [VPS 090427-0] *On-access scanning disabled* (Updated)
    * Un nouveau point de restauration a été créé
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\docume~1\CHRIST~1\LOCALS~1\Temp\install_flash_player.exe

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2009-05-28 au 2009-4-28 ))))))))))))))))))))))))))))))))))))
    .

    2009-04-28 12:05 . 2009-04-28 12:24 -------- d-----w c:\documents and settings\christophe\Application Data\FileZilla
    2009-04-28 12:05 . 2009-04-28 12:05 -------- d-----w c:\program files\FileZilla FTP Client
    2009-04-27 22:31 . 2005-09-18 00:32 5376 ----a-w c:\windows\system32\antiwpa.dll
    2009-04-27 09:35 . 2009-04-27 09:35 -------- d-----w c:\documents and settings\Administrateur\Local Settings\Application Data\VMware
    2009-04-27 08:53 . 2009-04-27 08:54 -------- d-----w c:\documents and settings\christophe\Local Settings\Application Data\Google
    2009-04-26 20:40 . 2009-04-26 20:40 -------- d-----w c:\documents and settings\christophe\Application Data\Malwarebytes
    2009-04-26 20:40 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
    2009-04-26 20:40 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
    2009-04-26 20:40 . 2009-04-26 20:40 -------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes
    2009-04-26 20:40 . 2009-04-26 20:40 -------- d-----w c:\program files\Malwarebytes' Anti-Malware
    2009-04-25 10:11 . 2009-04-25 10:11 396288 ----a-w C:\HijackThis.exe
    2009-04-15 10:43 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe
    2009-04-15 10:43 . 2009-03-06 14:20 286720 -c----w c:\windows\system32\dllcache\pdh.dll
    2009-04-15 10:43 . 2009-02-09 11:23 111104 -c----w c:\windows\system32\dllcache\services.exe
    2009-04-15 10:43 . 2009-02-09 10:53 401408 -c----w c:\windows\system32\dllcache\rpcss.dll
    2009-04-15 10:43 . 2009-02-09 10:53 473600 -c----w c:\windows\system32\dllcache\fastprox.dll
    2009-04-15 10:43 . 2009-02-09 10:53 685568 -c----w c:\windows\system32\dllcache\advapi32.dll
    2009-04-15 10:42 . 2009-02-09 10:53 735744 -c----w c:\windows\system32\dllcache\lsasrv.dll
    2009-04-15 10:42 . 2009-02-09 10:53 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll
    2009-04-15 10:42 . 2009-02-09 10:53 739840 -c----w c:\windows\system32\dllcache\ntdll.dll
    2009-04-15 10:30 . 2008-12-16 12:31 354304 -c----w c:\windows\system32\dllcache\winhttp.dll
    2009-04-15 10:22 . 2008-04-21 21:15 219136 -c----w c:\windows\system32\dllcache\wordpad.exe
    2009-04-09 20:52 . 2009-04-09 20:54 12098 ----a-w c:\windows\system32\drivers\73BAD42D.bin
    2009-04-09 20:52 . 2009-04-09 20:52 177152 ----a-w c:\windows\system32\drivers\XRNBO.sys
    2009-04-09 20:36 . 2009-04-09 20:36 -------- d-----w c:\program files\WYSIWYG Drivers
    2009-04-09 20:26 . 2009-04-09 20:56 -------- d-----w c:\program files\WYSIWYG1

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-04-28 12:24 . 2008-12-08 17:57 -------- d-----w c:\program files\eMule
    2009-04-27 22:42 . 2008-11-23 22:12 47284 ----a-w c:\windows\system32\perfc040.dat
    2009-04-27 22:42 . 2008-11-23 22:12 365174 ----a-w c:\windows\system32\perfh040.dat
    2009-04-27 22:42 . 2004-08-19 17:44 368314 ----a-w c:\windows\system32\perfh00C.dat
    2009-04-27 22:42 . 2004-08-19 17:44 49054 ----a-w c:\windows\system32\perfc00C.dat
    2009-04-27 22:38 . 2008-11-23 22:17 32 ----a-w c:\windows\system32\drivers\mshcmd.sys.
    2009-04-27 09:32 . 2008-11-24 18:09 -------- d-----w c:\program files\PeerGuardian2
    2009-04-27 07:01 . 2008-11-24 16:51 -------- d-----w c:\program files\Activation
    2009-04-09 20:26 . 2008-11-22 00:40 -------- d--h--w c:\program files\InstallShield Installation Information
    2009-04-09 20:24 . 2008-11-23 22:10 -------- d-----w c:\program files\WYSIWYG
    2009-03-28 16:03 . 2008-12-01 23:48 -------- d-----w c:\program files\Fichiers communs\Adobe
    2009-03-25 08:41 . 2009-03-25 08:40 -------- d-----w c:\program files\Easy CD-DA Extractor 10
    2009-03-19 15:29 . 2009-03-19 15:29 -------- d-----w c:\program files\MA Lighting Technologies
    2009-03-06 14:20 . 2004-08-19 17:44 286720 ----a-w c:\windows\system32\pdh.dll
    2009-02-28 19:49 . 2009-02-28 19:49 737280 ----a-w c:\windows\iun6002.exe
    2009-02-20 08:10 . 2004-08-19 17:51 670208 ----a-w c:\windows\system32\wininet.dll
    2009-02-20 08:10 . 2004-08-19 17:38 81920 ----a-w c:\windows\system32\ieencode.dll
    2009-02-09 14:05 . 2004-08-19 17:51 1846912 ----a-w c:\windows\system32\win32k.sys
    2009-02-09 12:28 . 2009-02-09 12:28 785 ----a-w C:\_ZCAT.DAT
    2009-02-09 12:28 . 2009-02-09 12:28 51 ----a-w C:\PAGE.DAT
    2009-02-09 12:28 . 2009-02-09 12:28 3439 ----a-w C:\EFFECTS.DAT
    2009-02-09 12:28 . 2009-02-09 12:28 2690 ----a-w C:\RTTABLE.DAT
    2009-02-09 12:28 . 2009-02-09 12:28 24 ----a-w C:\POSITION.DAT
    2009-02-09 12:28 . 2009-02-09 12:28 24 ----a-w C:\COLOUR.DAT
    2009-02-09 12:28 . 2009-02-09 12:28 24 ----a-w C:\BEAM.DAT
    2009-02-09 12:28 . 2009-02-09 12:28 20 ----a-w C:\GROUP.DAT
    2009-02-09 11:23 . 2004-08-04 00:49 2025984 ----a-w c:\windows\system32\ntkrnlpa.exe
    2009-02-09 11:23 . 2004-08-19 17:43 2147328 ----a-w c:\windows\system32\ntoskrnl.exe
    2009-02-09 11:23 . 2004-08-19 17:46 111104 ----a-w c:\windows\system32\services.exe
    2009-02-09 10:53 . 2004-08-19 17:40 735744 ----a-w c:\windows\system32\lsasrv.dll
    2009-02-09 10:53 . 2004-08-19 17:45 401408 ----a-w c:\windows\system32\rpcss.dll
    2009-02-09 10:53 . 2004-08-19 17:43 739840 ----a-w c:\windows\system32\ntdll.dll
    2009-02-09 10:53 . 2004-08-19 17:36 685568 ----a-w c:\windows\system32\advapi32.dll
    2009-02-06 10:39 . 2004-08-19 17:46 35328 ----a-w c:\windows\system32\sc.exe
    2009-02-03 19:58 . 2004-08-19 17:46 56832 ----a-w c:\windows\system32\secur32.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Google Update"="c:\documents and settings\christophe\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2009-04-27 133104]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-12 13545472]
    "Apple_KbdMgr"="c:\program files\Boot Camp\KbdMgr.exe" [2008-09-12 431408]
    "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
    "IntelliPoint"="c:\program files\Microsoft IntelliPoint\point32.exe" [2005-03-23 217088]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-12 86016]
    "VMware Tools"="c:\program files\VMware\VMware Tools\VMwareTray.exe" [2008-09-10 428592]
    "VMware User Process"="c:\program files\VMware\VMware Tools\VMwareUser.exe" [2008-09-10 862768]
    "Acrobat Assistant 7.0"="c:\program files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 483328]
    "LXSUPMON"="c:\windows\system32\LXSUPMON.EXE" [2002-08-15 886272]
    "BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]
    "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-09-12 1630208]
    "RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2008-09-12 16806912]
    "SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2008-09-12 77824]
    "AlcWzrd"="ALCWZRD.EXE" - c:\windows\ALCWZRD.EXE [2008-09-12 2808832]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2008-12-29 113664]
    Lancement rapide d'Adobe Acrobat.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2008-12-17 25214]
    Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\TPSvc]
    2008-09-10 15:52 423208 ----a-r c:\windows\system32\TPSvc.dll

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
    @="Driver Group"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\eMule\\emule.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\WYSIWYG1\\Bin\\AppMux.exe"=
    "c:\\Program Files\\WYSIWYG1\\Bin\\Wyg.exe"=

    R1 vmdebug;VMware Replay Debugging Helper;c:\windows\system32\Drivers\vmdebug.sys [2008-09-10 19504]
    R2 VMTools;Service VMware Tools;c:\program files\VMware\VMware Tools\VMwareService.exe [2008-09-10 539184]
    R3 TPAutoConnSvc;TP AutoConnect Service;c:\program files\VMware\VMware Tools\TPAutoConnSvc.exe [2008-09-10 238832]
    R3 vmci;VMware VMCI Bus Driver;c:\windows\system32\DRIVERS\vmci.sys [2008-09-10 53424]
    R3 vmmouse;VMware Pointing Device;c:\windows\system32\DRIVERS\vmmouse.sys [2008-09-10 11696]
    R3 vmx_svga;vmx_svga;c:\windows\system32\DRIVERS\vmx_svga.sys [2008-09-10 63920]
    R3 vmxnet;VMware Ethernet Adapter Driver;c:\windows\system32\DRIVERS\vmxnet.sys [2008-09-10 36400]
    R3 w200bus;Sony Ericsson W200 driver (WDM);c:\windows\system32\DRIVERS\w200bus.sys [2006-11-07 61504]
    R3 w200mdfl;Sony Ericsson W200 USB WMC Modem Filter;c:\windows\system32\DRIVERS\w200mdfl.sys [2006-11-07 9328]
    R3 w200mdm;Sony Ericsson W200 USB WMC Modem Driver;c:\windows\system32\DRIVERS\w200mdm.sys [2006-11-07 97056]
    R4 Cpmeemc;Cpmeemc; [x]
    S1 aswSP;avast! Self Protection; [x]
    S1 vmhgfs;vmhgfs;c:\windows\system32\DRIVERS\vmhgfs.sys [2008-09-10 118576]
    S2 AppleOSSMgr;Apple OS Switch Manager;c:\windows\system32\AppleOSSMgr.exe [2008-09-12 136496]
    S2 AppleTimeSrv;Apple Time Service;c:\windows\system32\AppleTimeSrv.exe [2008-09-12 99632]
    S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2009-02-05 20560]
    S2 KeyAgent;KeyAgent;c:\windows\system32\drivers\KeyAgent.sys [2008-09-12 5760]
    S2 MacHALDriver;Mac HAL;c:\windows\system32\drivers\MacHALDriver.sys [2008-09-12 6784]
    S2 VMMEMCTL;Pilote de commande de mémoire;c:\program files\VMware\VMware Tools\Drivers\memctl\vmmemctl.sys [2008-09-10 14384]
    S2 VMware Physical Disk Helper Service;Service d'aide du disque physique VMware;c:\program files\VMware\VMware Tools\vmacthlp.exe [2008-09-10 358960]
    S2 XRNBO;XRNBO;c:\windows\system32\drivers\XRNBO.sys [2009-04-09 177152]
    S3 applemtm;Apple Multitouch Mouse;c:\windows\system32\DRIVERS\applemtm.sys [2008-09-12 10368]
    S3 applemtp;Apple Multitouch;c:\windows\system32\DRIVERS\applemtp.sys [2008-09-12 19328]
    S3 IRRemoteFlt;IR Receiver Filter Driver;c:\windows\system32\DRIVERS\IRFilter.sys [2008-09-12 16512]
    S3 KeyMagic;USB Keyboard HID Filter;c:\windows\system32\DRIVERS\KeyMagic.sys [2008-09-12 22016]


    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
    \Shell\AutoRun\command - D:\setup.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3b08f946-e95b-11dd-a456-000c298a2318}]
    \Shell\AutoRun\command - e:\jdlightning\Windows\JDLightning.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4cd9c2d6-146e-11de-a486-000c298a2318}]
    \Shell\AutoRun\command - E:\LaunchU3.exe -a

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cbffb360-e55b-11dd-a44e-000c298a2318}]
    \Shell\AutoRun\command - E:\g1ljsm.com
    \Shell\open\Command - E:\g1ljsm.com

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e60e6608-bed6-11dd-a418-00236ca2cba1}]
    \Shell\AutoRun\command - cfv90h.com
    \Shell\explore\Command - cfv90h.com
    \Shell\open\Command - cfv90h.com
    .
    Contenu du dossier 'Tâches planifiées'

    2009-04-27 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

    2009-04-28 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-776561741-484763869-725345543-1003.job
    - c:\documents and settings\christophe\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-04-27 08:53]
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKCU-Run-Uniblue RegistryBooster 2009 - c:\program files\Uniblue\RegistryBooster\RegistryBooster.exe


    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    uInternet Settings,ProxyOverride = *.local
    IE: Convertir en Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    IE: Convertir en un fichier PDF existant - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    IE: Convertir la cible du lien en Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    IE: Convertir la cible du lien en un fichier PDF existant - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    IE: Convertir la sélection en Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    IE: Convertir la sélection en un fichier PDF existant - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    IE: Convertir les liens sélectionnés en un fichier PDF existant - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    LSP: c:\program files\VMware\VMware Tools\VSock SDK\bin\win32\vsocklib.dll
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-04-28 14:38
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\WPAEvents]
    @Denied: (Full) (LocalSystem)
    "OOBETimer"=hex:ff,d5,71,d6,8b,6a,8d,6f,d5,33,93,fd
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(768)
    c:\windows\system32\antiwpa.dll
    c:\windows\System32\vmhgfs.dll
    .
    Heure de fin: 2009-04-28 14:39
    ComboFix-quarantined-files.txt 2009-04-28 12:39

    Avant-CF: 50 821 025 792 octets libres
    Après-CF: 50 839 080 960 octets libres

    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(3)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(3)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

    212 --- E O F --- 2009-04-15 13:43

    a b 8 Sécurité
    28 Avril 2009 19:42:33

    Re,

    Sélectionne l'intégralité du cadre ci-dessous :

    Rootkit::
    c:\windows\system32\antiwpa.dll


  • Copie/colle le dans le Bloc Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
  • Enregistre le sous sur ton bureau sous le nom de CFScript.txt
  • Glisse maintenant le fichier CFScript.txt dans ComboFix.exe comme ci-dessous :

  • Cela va relancer Combofix.
  • Tu devras accepter la licence.

    Poste le contenu du rapport ComboFix.txt après redémarrage s'il y en a un.

    Le rapport se trouve ici : %SystemDrive%\ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C:\ en général)
    28 Avril 2009 23:05:25

    pas mal essaye, je dirai meme tres fute mais malgres que tu as cree un patch de antiwpa.dll appele antiwpa(2).dll la supression de antiwpa.dll met windows debile il reconnait qu'il est active mais il n'arrive pas a ouvrir ma session. Je suis oblige de passer par mode sans echec pour reinstaller antiwpa.dll afin de reouvrir windows.
    Je te recopie le dernier rapport de combo:

    ComboFix 09-04-27.05 - christophe 29/04/2009 0:30.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1975.1518 [GMT 2:00]
    Lancé depuis: c:\documents and settings\christophe\Mes documents\Downloads\ComboFix.exe
    Commutateurs utilisés :: c:\documents and settings\christophe\Bureau\CFScript.txt
    AV: avast! antivirus 4.8.1335 [VPS 090427-0] *On-access scanning disabled* (Updated)
    * Un nouveau point de restauration a été créé
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\system32\antiwpa.dll

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2009-05-28 au 2009-4-28 ))))))))))))))))))))))))))))))))))))
    .

    2009-04-28 16:57 . 2009-04-28 16:59 -------- d-sh--w C:\RECYCLER(2)
    2009-04-28 15:36 . 2005-09-18 00:32 5376 ----a-w c:\windows\system32\antiwpa(2).dll
    2009-04-28 12:05 . 2009-04-28 12:24 -------- d-----w c:\documents and settings\christophe\Application Data\FileZilla
    2009-04-28 12:05 . 2009-04-28 12:05 -------- d-----w c:\program files\FileZilla FTP Client
    2009-04-27 09:35 . 2009-04-27 09:35 -------- d-----w c:\documents and settings\Administrateur\Local Settings\Application Data\VMware
    2009-04-27 08:53 . 2009-04-27 08:54 -------- d-----w c:\documents and settings\christophe\Local Settings\Application Data\Google
    2009-04-26 20:40 . 2009-04-26 20:40 -------- d-----w c:\documents and settings\christophe\Application Data\Malwarebytes
    2009-04-26 20:40 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
    2009-04-26 20:40 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
    2009-04-26 20:40 . 2009-04-26 20:40 -------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes
    2009-04-26 20:40 . 2009-04-26 20:40 -------- d-----w c:\program files\Malwarebytes' Anti-Malware
    2009-04-25 10:11 . 2009-04-25 10:11 396288 ----a-w C:\HijackThis.exe
    2009-04-15 10:43 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe
    2009-04-15 10:43 . 2009-03-06 14:20 286720 -c----w c:\windows\system32\dllcache\pdh.dll
    2009-04-15 10:43 . 2009-02-09 11:23 111104 -c----w c:\windows\system32\dllcache\services.exe
    2009-04-15 10:43 . 2009-02-09 10:53 401408 -c----w c:\windows\system32\dllcache\rpcss.dll
    2009-04-15 10:43 . 2009-02-09 10:53 473600 -c----w c:\windows\system32\dllcache\fastprox.dll
    2009-04-15 10:43 . 2009-02-09 10:53 685568 -c----w c:\windows\system32\dllcache\advapi32.dll
    2009-04-15 10:42 . 2009-02-09 10:53 735744 -c----w c:\windows\system32\dllcache\lsasrv.dll
    2009-04-15 10:42 . 2009-02-09 10:53 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll
    2009-04-15 10:42 . 2009-02-09 10:53 739840 -c----w c:\windows\system32\dllcache\ntdll.dll
    2009-04-15 10:30 . 2008-12-16 12:31 354304 -c----w c:\windows\system32\dllcache\winhttp.dll
    2009-04-15 10:22 . 2008-04-21 21:15 219136 -c----w c:\windows\system32\dllcache\wordpad.exe
    2009-04-09 20:52 . 2009-04-09 20:54 12098 ----a-w c:\windows\system32\drivers\73BAD42D.bin
    2009-04-09 20:52 . 2009-04-09 20:52 177152 ----a-w c:\windows\system32\drivers\XRNBO.sys
    2009-04-09 20:36 . 2009-04-09 20:36 -------- d-----w c:\program files\WYSIWYG Drivers
    2009-04-09 20:26 . 2009-04-09 20:56 -------- d-----w c:\program files\WYSIWYG1

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-04-28 22:27 . 2008-11-24 18:09 -------- d-----w c:\program files\PeerGuardian2
    2009-04-28 22:15 . 2008-12-08 17:57 -------- d-----w c:\program files\eMule
    2009-04-28 20:36 . 2008-11-23 22:17 32 ----a-w c:\windows\system32\drivers\mshcmd.sys.
    2009-04-28 17:06 . 2008-11-23 22:12 47284 ----a-w c:\windows\system32\perfc040.dat
    2009-04-28 17:06 . 2008-11-23 22:12 365174 ----a-w c:\windows\system32\perfh040.dat
    2009-04-28 17:06 . 2004-08-19 17:44 368314 ----a-w c:\windows\system32\perfh00C.dat
    2009-04-28 17:06 . 2004-08-19 17:44 49054 ----a-w c:\windows\system32\perfc00C.dat
    2009-04-27 07:01 . 2008-11-24 16:51 -------- d-----w c:\program files\Activation
    2009-04-09 20:26 . 2008-11-22 00:40 -------- d--h--w c:\program files\InstallShield Installation Information
    2009-04-09 20:24 . 2008-11-23 22:10 -------- d-----w c:\program files\WYSIWYG
    2009-03-28 16:03 . 2008-12-01 23:48 -------- d-----w c:\program files\Fichiers communs\Adobe
    2009-03-25 08:41 . 2009-03-25 08:40 -------- d-----w c:\program files\Easy CD-DA Extractor 10
    2009-03-19 15:29 . 2009-03-19 15:29 -------- d-----w c:\program files\MA Lighting Technologies
    2009-03-06 14:20 . 2004-08-19 17:44 286720 ----a-w c:\windows\system32\pdh.dll
    2009-02-28 19:49 . 2009-02-28 19:49 737280 ----a-w c:\windows\iun6002.exe
    2009-02-20 08:10 . 2004-08-19 17:51 670208 ----a-w c:\windows\system32\wininet.dll
    2009-02-20 08:10 . 2004-08-19 17:38 81920 ----a-w c:\windows\system32\ieencode.dll
    2009-02-09 14:05 . 2004-08-19 17:51 1846912 ----a-w c:\windows\system32\win32k.sys
    2009-02-09 12:28 . 2009-02-09 12:28 785 ----a-w C:\_ZCAT.DAT
    2009-02-09 12:28 . 2009-02-09 12:28 51 ----a-w C:\PAGE.DAT
    2009-02-09 12:28 . 2009-02-09 12:28 3439 ----a-w C:\EFFECTS.DAT
    2009-02-09 12:28 . 2009-02-09 12:28 2690 ----a-w C:\RTTABLE.DAT
    2009-02-09 12:28 . 2009-02-09 12:28 24 ----a-w C:\POSITION.DAT
    2009-02-09 12:28 . 2009-02-09 12:28 24 ----a-w C:\COLOUR.DAT
    2009-02-09 12:28 . 2009-02-09 12:28 24 ----a-w C:\BEAM.DAT
    2009-02-09 12:28 . 2009-02-09 12:28 20 ----a-w C:\GROUP.DAT
    2009-02-09 11:23 . 2004-08-04 00:49 2025984 ----a-w c:\windows\system32\ntkrnlpa.exe
    2009-02-09 11:23 . 2004-08-19 17:43 2147328 ----a-w c:\windows\system32\ntoskrnl.exe
    2009-02-09 11:23 . 2004-08-19 17:46 111104 ----a-w c:\windows\system32\services.exe
    2009-02-09 10:53 . 2004-08-19 17:40 735744 ----a-w c:\windows\system32\lsasrv.dll
    2009-02-09 10:53 . 2004-08-19 17:45 401408 ----a-w c:\windows\system32\rpcss.dll
    2009-02-09 10:53 . 2004-08-19 17:43 739840 ----a-w c:\windows\system32\ntdll.dll
    2009-02-09 10:53 . 2004-08-19 17:36 685568 ----a-w c:\windows\system32\advapi32.dll
    2009-02-06 10:39 . 2004-08-19 17:46 35328 ----a-w c:\windows\system32\sc.exe
    2009-02-03 19:58 . 2004-08-19 17:46 56832 ----a-w c:\windows\system32\secur32.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Uniblue RegistryBooster 2009"="c:\program files\Uniblue\RegistryBooster\RegistryBooster.exe" [BU]
    "Google Update"="c:\documents and settings\christophe\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2009-04-27 133104]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-12 13545472]
    "Apple_KbdMgr"="c:\program files\Boot Camp\KbdMgr.exe" [2008-09-12 431408]
    "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
    "IntelliPoint"="c:\program files\Microsoft IntelliPoint\point32.exe" [2005-03-23 217088]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-12 86016]
    "VMware Tools"="c:\program files\VMware\VMware Tools\VMwareTray.exe" [2008-09-10 428592]
    "VMware User Process"="c:\program files\VMware\VMware Tools\VMwareUser.exe" [2008-09-10 862768]
    "Acrobat Assistant 7.0"="c:\program files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 483328]
    "LXSUPMON"="c:\windows\system32\LXSUPMON.EXE" [2002-08-15 886272]
    "LexPPS.exe"="c:\windows\system32\lexpps.exe" [2002-08-15 174592]
    "BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]
    "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-09-12 1630208]
    "RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2008-09-12 16806912]
    "SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2008-09-12 77824]
    "AlcWzrd"="ALCWZRD.EXE" - c:\windows\ALCWZRD.EXE [2008-09-12 2808832]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2008-12-29 113664]
    Lancement rapide d'Adobe Acrobat.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2008-12-17 25214]
    Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\TPSvc]
    2008-09-10 15:52 423208 ----a-r c:\windows\system32\TPSvc.dll

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
    @="Driver Group"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\eMule\\emule.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\WYSIWYG1\\Bin\\AppMux.exe"=
    "c:\\Program Files\\WYSIWYG1\\Bin\\Wyg.exe"=

    R1 aswSP;avast! Self Protection; [x]
    R1 vmdebug;VMware Replay Debugging Helper;c:\windows\system32\Drivers\vmdebug.sys [2008-09-10 19504]
    R1 vmhgfs;vmhgfs;c:\windows\system32\DRIVERS\vmhgfs.sys [2008-09-10 118576]
    R2 AppleOSSMgr;Apple OS Switch Manager;c:\windows\system32\AppleOSSMgr.exe [2008-09-12 136496]
    R2 AppleTimeSrv;Apple Time Service;c:\windows\system32\AppleTimeSrv.exe [2008-09-12 99632]
    R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2009-02-05 20560]
    R2 KeyAgent;KeyAgent;c:\windows\system32\drivers\KeyAgent.sys [2008-09-12 5760]
    R2 MacHALDriver;Mac HAL;c:\windows\system32\drivers\MacHALDriver.sys [2008-09-12 6784]
    R2 VMMEMCTL;Pilote de commande de mémoire;c:\program files\VMware\VMware Tools\Drivers\memctl\vmmemctl.sys [2008-09-10 14384]
    R2 VMTools;Service VMware Tools;c:\program files\VMware\VMware Tools\VMwareService.exe [2008-09-10 539184]
    R2 VMware Physical Disk Helper Service;Service d'aide du disque physique VMware;c:\program files\VMware\VMware Tools\vmacthlp.exe [2008-09-10 358960]
    R2 XRNBO;XRNBO;c:\windows\system32\drivers\XRNBO.sys [2009-04-09 177152]
    R3 TPAutoConnSvc;TP AutoConnect Service;c:\program files\VMware\VMware Tools\TPAutoConnSvc.exe [2008-09-10 238832]
    R3 vmci;VMware VMCI Bus Driver;c:\windows\system32\DRIVERS\vmci.sys [2008-09-10 53424]
    R3 vmmouse;VMware Pointing Device;c:\windows\system32\DRIVERS\vmmouse.sys [2008-09-10 11696]
    R3 vmx_svga;vmx_svga;c:\windows\system32\DRIVERS\vmx_svga.sys [2008-09-10 63920]
    R3 vmxnet;VMware Ethernet Adapter Driver;c:\windows\system32\DRIVERS\vmxnet.sys [2008-09-10 36400]
    R3 w200bus;Sony Ericsson W200 driver (WDM);c:\windows\system32\DRIVERS\w200bus.sys [2006-11-07 61504]
    R3 w200mdfl;Sony Ericsson W200 USB WMC Modem Filter;c:\windows\system32\DRIVERS\w200mdfl.sys [2006-11-07 9328]
    R3 w200mdm;Sony Ericsson W200 USB WMC Modem Driver;c:\windows\system32\DRIVERS\w200mdm.sys [2006-11-07 97056]
    R4 Cpmeemc;Cpmeemc; [x]
    S3 applemtm;Apple Multitouch Mouse;c:\windows\system32\DRIVERS\applemtm.sys [2008-09-12 10368]
    S3 applemtp;Apple Multitouch;c:\windows\system32\DRIVERS\applemtp.sys [2008-09-12 19328]
    S3 IRRemoteFlt;IR Receiver Filter Driver;c:\windows\system32\DRIVERS\IRFilter.sys [2008-09-12 16512]
    S3 KeyMagic;USB Keyboard HID Filter;c:\windows\system32\DRIVERS\KeyMagic.sys [2008-09-12 22016]


    --- Autres Services/Pilotes en mémoire ---

    *NewlyCreated* - INTELIDE
    *NewlyCreated* - PARPORT

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3b08f946-e95b-11dd-a456-000c298a2318}]
    \Shell\AutoRun\command - e:\jdlightning\Windows\JDLightning.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4cd9c2d6-146e-11de-a486-000c298a2318}]
    \Shell\AutoRun\command - E:\LaunchU3.exe -a

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cbffb360-e55b-11dd-a44e-000c298a2318}]
    \Shell\AutoRun\command - E:\g1ljsm.com
    \Shell\open\Command - E:\g1ljsm.com

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e60e6608-bed6-11dd-a418-00236ca2cba1}]
    \Shell\AutoRun\command - cfv90h.com
    \Shell\explore\Command - cfv90h.com
    \Shell\open\Command - cfv90h.com
    .
    Contenu du dossier 'Tâches planifiées'

    2009-04-27 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

    2009-04-28 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-776561741-484763869-725345543-1003.job
    - c:\documents and settings\christophe\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-04-27 08:53]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    uInternet Settings,ProxyOverride = *.local
    IE: Convertir en Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    IE: Convertir en un fichier PDF existant - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    IE: Convertir la cible du lien en Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    IE: Convertir la cible du lien en un fichier PDF existant - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    IE: Convertir la sélection en Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    IE: Convertir la sélection en un fichier PDF existant - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    IE: Convertir les liens sélectionnés en un fichier PDF existant - c:\program files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    LSP: c:\program files\VMware\VMware Tools\VSock SDK\bin\win32\vsocklib.dll
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-04-28 20:41
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\WPAEvents]
    @Denied: (Full) (LocalSystem)
    "OOBETimer"=hex:ff,d5,71,d6,8b,6a,8d,6f,d5,33,93,fd
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'explorer.exe'(796)
    c:\windows\system32\eappprxy.dll
    .
    Heure de fin: 2009-04-28 20:43 - La machine a redémarré
    ComboFix-quarantined-files.txt 2009-04-28 18:43
    ComboFix2.txt 2009-04-28 16:57
    ComboFix3.txt 2009-04-28 16:01
    ComboFix4.txt 2009-04-28 13:15
    ComboFix5.txt 2009-04-28 22:28

    Avant-CF: 51 214 163 968 octets libres
    Après-CF: 51 211 202 560 octets libres

    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(3)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(3)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

    218 --- E O F --- 2009-04-15 13:43
    a b 8 Sécurité
    29 Avril 2009 21:09:52

    Reposte un rapport Hijackthis.
    Anonyme
    11 Mai 2009 20:53:54

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 13:33:05, on 25/04/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
    Boot mode: Normal
    a b 8 Sécurité
    12 Mai 2009 18:56:27

    Euh il est pas complet là.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS