Votre question

Rapport HijackThis sur PC qui rame

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
29 Avril 2009 20:10:28

Bonjour à tous,

Mon pc rame énormément depuis quelque temps, et je vois des processus bizarre qui tourne du genre "freddy41.exe" ...

Que faut - il faire ?

Je vous donne mon rapport HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:07:36, on 29/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\windows\ld08.exe
C:\windows\pp06.exe
C:\windows\freddy41.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\rttrwq.exe
C:\WINDOWS\system32\dll32.exe
C:\WINDOWS\system32\DL32.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Java\jre1.6.0_03\bin\jucheck.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\AhnRpta.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sfr.fr/kit/adsl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7171
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: 796525 helper - {E7F15AC4-E0A9-43F0-921B-70DFEA621220} - C:\WINDOWS\system32\796525\796525.dll
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [sysLDtray] C:\windows\ld08.exe
O4 - HKLM\..\Run: [pp] C:\windows\pp06.exe
O4 - HKLM\..\Run: [sysfbtray] C:\windows\freddy41.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe
O4 - HKCU\..\Run: [ertyuop] C:\WINDOWS\system32\rttrwq.exe
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKCU\..\Run: [dll32] dll32
O4 - HKCU\..\Run: [DL32] DL32
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/F...
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC2D160E-5A9B-4B79-BEBB-AA8011C415CE}: NameServer = 192.168.1.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 8450 bytes


EDIT : Je rajoute que j'ai des fausses pubs pour un sois disant SCAN de mon PC qui s'ouvre sur Internet Explorer 7.

Merci d'avance

Autres pages sur : rapport hijackthis rame

a c 295 8 Sécurité
a b , Internet Explorer
29 Avril 2009 20:17:35

Bonjour,

  • Télécharge UsbFix (de C_XX & Chiquitine29) sur ton Bureau.
  • Lance l'installation avec les paramètres par défaut.
  • Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
  • Double-clique sur le raccourci UsbFix sur ton Bureau.
  • Choisis l'option 1 (Recherche).
  • Laisse travailler l'outil.
  • Poste le rapport UsbFix.txt.

    Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

    "Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    29 Avril 2009 20:37:45

    Tu penses que ça vient d'un virus sur clé USB ? Ca m'étonnerais je ne me sert quasiment jamais de clé usb , mais bon je veux bien le faire si tu penses que c'est ça .
    Contenus similaires
    a c 295 8 Sécurité
    a b , Internet Explorer
    29 Avril 2009 20:38:37

    Tu as une infection USB, c'est sûr.
    29 Avril 2009 20:48:51

    Salut en effet j'ai des infenctions usb :)  !

    ############################## [ UsbFix V3.014 ]

    # User : Magali et Antoine (Administrateurs) # LUTIN-Y6I7F0ZEA
    # Update on 27/04/09 by C_XX & Chiquitine29
    # Start at: 20:39:56 | 29/04/2009

    # Mobile Intel(R) Pentium(R) 4 - M CPU 1.80GHz
    # Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
    # Internet Explorer 7.0.5730.13
    # Windows Firewall Status : Enabled
    # AV : avast! antivirus 4.7.1098 [VPS 080212-0] 4.7.1098 [ Enabled | (!) Outdated ]

    # A:\ # Lecteur de disquettes 3 ½ pouces
    # C:\ # Disque fixe local # 37,26 Go (24,25 Go free) # NTFS
    # D:\ # Disque CD-ROM
    # E:\ # Disque CD-ROM
    # F:\ # Disque fixe local # 233,76 Go (20,81 Go free) [Nouveau nom] # NTFS
    # G:\ # Disque amovible # 1,92 Go (427,16 Mo free) # FAT
    # H:\ # Disque amovible # 1,89 Go (218,28 Mo free) [USB DISK] # FAT

    ############################## [ Processus actifs ]

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Microsoft IntelliType Pro\type32.exe
    C:\Program Files\Microsoft IntelliPoint\point32.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
    C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\WINDOWS\System32\svchost.exe
    C:\windows\ld08.exe
    C:\windows\freddy41.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\WINDOWS\system32\dll32.exe
    C:\WINDOWS\system32\DL32.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Windows Live\Messenger\usnsvc.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jucheck.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\system32\notepad.exe
    C:\WINDOWS\AhnRpta.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    ################## [ Registre # Startup ]

    HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
    HKCU_Main: "Search Page"="http://www.google.com"
    HKCU_Main: "Start Page"="http://www.sfr.fr/kit/adsl/"
    HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
    HKLM_logon: "DefaultUserName"="Magali et Antoine"
    HKLM_logon: "AltDefaultUserName"="Magali et Antoine"
    HKLM_logon: "LegalNoticeCaption"=""
    HKLM_logon: "LegalNoticeText"=""
    HKLM_Run: type32="C:\Program Files\Microsoft IntelliType Pro\type32.exe"
    HKLM_Run: IntelliPoint="C:\Program Files\Microsoft IntelliPoint\point32.exe"
    HKLM_Run: avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    HKLM_Run: igfxtray=C:\WINDOWS\system32\igfxtray.exe
    HKLM_Run: igfxhkcmd=C:\WINDOWS\system32\hkcmd.exe
    HKLM_Run: igfxpers=C:\WINDOWS\system32\igfxpers.exe
    HKLM_Run: SoundMAXPnP=C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
    HKLM_Run: SoundMAX="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
    HKLM_Run: Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    HKLM_Run: QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
    HKLM_Run: iTunesHelper="C:\Program Files\iTunes\iTunesHelper.exe"
    HKLM_Run: SunJavaUpdateSched="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    HKLM_Run: sysLDtray=C:\windows\ld08.exe
    HKLM_Run: pp=C:\windows\pp06.exe
    HKLM_Run: sysfbtray=C:\windows\freddy41.exe
    HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
    HKCU_Run: CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
    HKCU_Run: MsnMsgr="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    HKCU_Run: swg=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    HKCU_Run: kava=C:\WINDOWS\system32\kavo.exe
    HKCU_Run: ertyuop=C:\WINDOWS\system32\rttrwq.exe
    HKCU_Run: cdoosoft=C:\WINDOWS\system32\olhrwef.exe
    HKCU_Run: dll32=dll32
    HKCU_Run: DL32=DL32

    ################## [ Informations ]


    ################## [ Fichiers # Dossiers infectieux ]

    Found ! C:\WINDOWS\freddy41.exe
    Found ! C:\WINDOWS\ld08.exe
    Found ! C:\WINDOWS\pp06.exe
    Found ! C:\WINDOWS\system32\afmain0.dll
    Found ! C:\WINDOWS\system32\afmain1.dll
    Found ! C:\WINDOWS\system32\afmain2.dll
    Found ! C:\WINDOWS\system32\afmain3.dll
    Found ! C:\WINDOWS\system32\dll32.exe
    Found ! C:\WINDOWS\system32\kavo.exe
    Found ! C:\WINDOWS\system32\kavo0.dll
    Found ! C:\WINDOWS\system32\mkfght0.dll
    Found ! C:\WINDOWS\system32\mkfght1.dll
    Found ! C:\WINDOWS\system32\nmdfgds0.dll
    Found ! C:\WINDOWS\system32\nmdfgds1.dll
    Found ! C:\WINDOWS\system32\nmdfgds2.dll
    Found ! C:\WINDOWS\system32\nmdfgds3.dll
    Found ! C:\WINDOWS\system32\olhrwef.exe
    Found ! C:\WINDOWS\system32\rttrwq.exe
    C:\autorun.inf # -> fichier appelé : "C:\e2.cmd" ( présent ! )
    Found ! C:\1ogf.exe
    Found ! C:\cqxj.exe
    Found ! C:\cqxj.exe
    Found ! C:\husyu8n.exe
    Found ! C:\kg2v.com
    Found ! C:\o3n9k.com
    Found ! C:\upw.bat
    Found ! C:\vwewav8.com
    Found ! C:\i.cmd
    Found ! C:\autorun.inf
    F:\autorun.inf # -> fichier appelé : "F:\e2.cmd" ( présent ! )
    Found ! F:\1ogf.exe
    Found ! F:\cqxj.exe
    Found ! F:\cqxj.exe
    Found ! F:\husyu8n.exe
    Found ! F:\kg2v.com
    Found ! F:\o3n9k.com
    Found ! F:\upw.bat
    Found ! F:\vwewav8.com
    Found ! F:\i.cmd
    Found ! F:\autorun.inf
    G:\autorun.inf # -> fichier appelé : "G:\e2.cmd" ( présent ! )
    Found ! G:\1ogf.exe
    Found ! G:\kg2v.com
    Found ! G:\o3n9k.com
    Found ! G:\vwewav8.com
    Found ! G:\autorun.inf
    H:\autorun.inf # -> fichier appelé : "H:\e2.cmd" ( présent ! )
    Found ! H:\0bcobed.exe
    Found ! H:\cqxj.exe
    Found ! H:\cqxj.exe
    Found ! H:\husyu8n.exe
    Found ! H:\kg2v.com
    Found ! H:\New
    Found ! H:\o3n9k.com
    Found ! H:\vwewav8.com
    Found ! H:\i.cmd
    Found ! H:\autorun.inf

    ################## [ Registre # Clés Run infectieuses ]

    Found ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "pp"
    Found ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "sysfbtray"
    Found ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "sysldtray"
    Found ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "cdoosoft"
    Found ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "dll32"
    Found ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "ertyuop"
    Found ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "kava"
    Found ! HKU\S-1-5-21-746137067-1844823847-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "cdoosoft"
    Found ! HKU\S-1-5-21-746137067-1844823847-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "dll32"
    Found ! HKU\S-1-5-21-746137067-1844823847-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "ertyuop"
    Found ! HKU\S-1-5-21-746137067-1844823847-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "kava"

    ################## [ Registre # Mountpoints2 ]

    HKCU\Software\Microsoft\....\MountPoints2\{3c1c42ba-9ae5-11dd-8896-0040f4ec7f7c}\Shell\AutoRun\command
    HKCU\Software\Microsoft\....\MountPoints2\{3c1c42ba-9ae5-11dd-8896-0040f4ec7f7c}\Shell\explore\Command
    HKCU\Software\Microsoft\....\MountPoints2\{3c1c42ba-9ae5-11dd-8896-0040f4ec7f7c}\Shell\open\Command
    HKCU\Software\Microsoft\....\MountPoints2\{517bfff2-b197-11dc-87fd-806d6172696f}\Shell\AutoRun\command
    HKCU\Software\Microsoft\....\MountPoints2\{517bfff2-b197-11dc-87fd-806d6172696f}\Shell\open\Command
    HKCU\Software\Microsoft\....\MountPoints2\{5cfde927-b182-11dc-840d-806d6172696f}\Shell\AutoRun\command
    HKCU\Software\Microsoft\....\MountPoints2\{5cfde927-b182-11dc-840d-806d6172696f}\Shell\open\Command
    HKCU\Software\Microsoft\....\MountPoints2\{8f55daf2-f3cf-11dd-88d8-0040f4ec7f7c}\Shell\AutoRun\command
    HKCU\Software\Microsoft\....\MountPoints2\{8f55daf2-f3cf-11dd-88d8-0040f4ec7f7c}\Shell\open\Command
    HKCU\Software\Microsoft\....\MountPoints2\{98b28e02-cf7a-11dd-88c0-0040f4ec7f7c}\Shell\AutoRun\command
    HKCU\Software\Microsoft\....\MountPoints2\{98b28e02-cf7a-11dd-88c0-0040f4ec7f7c}\Shell\explore\Command
    HKCU\Software\Microsoft\....\MountPoints2\{98b28e02-cf7a-11dd-88c0-0040f4ec7f7c}\Shell\open\Command
    HKCU\Software\Microsoft\....\MountPoints2\{dbf6cbe0-cff5-11dc-8831-0040f4ec7f7c}\Shell\AutoRun\command
    HKCU\Software\Microsoft\....\MountPoints2\{dbf6cbe0-cff5-11dc-8831-0040f4ec7f7c}\Shell\open\Command

    ################## [ ! Fin du rapport # UsbFix V3.014 ! ]

    a c 295 8 Sécurité
    a b , Internet Explorer
    29 Avril 2009 20:51:28

  • Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
  • Double-clique sur le raccourci UsbFix présent sur ton Bureau pour le lancer.
  • Choisis l'option 2 (Suppression).
  • Ton Bureau disparaîtra et le PC redémarrera.
  • Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.
  • Ensuite, poste le rapport UsbFix.txt qui apparaîtra avec le Bureau .

    Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).
    29 Avril 2009 21:04:39

    Voilà le rapport :


    ############################## [ UsbFix V3.014 ]

    # User : Magali et Antoine (Administrateurs) # LUTIN-Y6I7F0ZEA
    # Update on 27/04/09 by C_XX & Chiquitine29
    # Start at: 20:55:50 | 29/04/2009

    # Mobile Intel(R) Pentium(R) 4 - M CPU 1.80GHz
    # Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
    # Internet Explorer 7.0.5730.13
    # Windows Firewall Status : Enabled
    # AV : avast! antivirus 4.7.1098 [VPS 080212-0] 4.7.1098 [ Enabled | (!) Outdated ]

    # A:\ # Lecteur de disquettes 3 ½ pouces
    # C:\ # Disque fixe local # 37,26 Go (24,25 Go free) # NTFS
    # D:\ # Disque CD-ROM
    # E:\ # Disque CD-ROM
    # F:\ # Disque fixe local # 233,76 Go (20,81 Go free) [Nouveau nom] # NTFS
    # G:\ # Disque amovible # 1,92 Go (427,16 Mo free) # FAT
    # H:\ # Disque amovible # 1,89 Go (218,28 Mo free) [USB DISK] # FAT

    ############################## [ Processus actifs ]

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\logonui.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\AhnRpta.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE

    ################## [ Fichiers # Dossiers infectieux ]

    Deleted ! C:\WINDOWS\freddy41.exe
    Deleted ! C:\WINDOWS\ld08.exe
    Deleted ! C:\WINDOWS\pp06.exe
    Deleted ! C:\WINDOWS\system32\afmain0.dll
    Deleted ! C:\WINDOWS\system32\afmain1.dll
    Deleted ! C:\WINDOWS\system32\afmain2.dll
    Deleted ! C:\WINDOWS\system32\afmain3.dll
    Deleted ! C:\WINDOWS\system32\dll32.exe
    Deleted ! C:\WINDOWS\system32\kavo.exe
    Deleted ! C:\WINDOWS\system32\kavo0.dll
    Deleted ! C:\WINDOWS\system32\mkfght0.dll
    Deleted ! C:\WINDOWS\system32\mkfght1.dll
    Deleted ! C:\WINDOWS\system32\nmdfgds0.dll
    Deleted ! C:\WINDOWS\system32\nmdfgds1.dll
    Deleted ! C:\WINDOWS\system32\nmdfgds2.dll
    Deleted ! C:\WINDOWS\system32\nmdfgds3.dll
    Deleted ! C:\WINDOWS\system32\olhrwef.exe
    Deleted ! C:\WINDOWS\system32\rttrwq.exe
    C:\autorun.inf # -> fichier appelé : "C:\e2.cmd" ( présent ! )
    Deleted ! -> C:\e2.cmd
    Deleted ! C:\1ogf.exe
    Deleted ! C:\cqxj.exe
    Deleted ! C:\husyu8n.exe
    Deleted ! C:\kg2v.com
    Deleted ! C:\o3n9k.com
    Deleted ! C:\upw.bat
    Deleted ! C:\vwewav8.com
    Deleted ! C:\i.cmd
    Deleted ! C:\autorun.inf
    F:\autorun.inf # -> fichier appelé : "F:\e2.cmd" ( présent ! )
    Deleted ! -> F:\e2.cmd
    Deleted ! F:\1ogf.exe
    Deleted ! F:\cqxj.exe
    Deleted ! F:\husyu8n.exe
    Deleted ! F:\kg2v.com
    Deleted ! F:\o3n9k.com
    Deleted ! F:\upw.bat
    Deleted ! F:\vwewav8.com
    Deleted ! F:\i.cmd
    Deleted ! F:\autorun.inf
    G:\autorun.inf # -> fichier appelé : "G:\e2.cmd" ( présent ! )
    Deleted ! -> G:\e2.cmd
    Deleted ! G:\1ogf.exe
    Deleted ! G:\kg2v.com
    Deleted ! G:\o3n9k.com
    Deleted ! G:\vwewav8.com
    Deleted ! G:\autorun.inf
    H:\autorun.inf # -> fichier appelé : "H:\e2.cmd" ( présent ! )
    Deleted ! -> H:\e2.cmd
    Deleted ! H:\0bcobed.exe
    Deleted ! H:\cqxj.exe
    Deleted ! H:\husyu8n.exe
    Deleted ! H:\kg2v.com
    (!) Not Deleted ! H:\New
    Deleted ! H:\o3n9k.com
    Deleted ! H:\vwewav8.com
    Deleted ! H:\i.cmd
    Deleted ! H:\autorun.inf

    ################## [ Registre # Clés Run infectieuses ]

    Deleted ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "pp"
    Deleted ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "sysfbtray"
    Deleted ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "sysldtray"
    Deleted ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "cdoosoft"
    Deleted ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "dll32"
    Deleted ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "ertyuop"
    Deleted ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "kava"

    ################## [ Registre # Mountpoints2 ]

    Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{3c1c42ba-9ae5-11dd-8896-0040f4ec7f7c}\Shell\AutoRun\command
    Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{3c1c42ba-9ae5-11dd-8896-0040f4ec7f7c}\Shell\explore\Command
    Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{3c1c42ba-9ae5-11dd-8896-0040f4ec7f7c}\Shell\open\Command
    Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{98b28e02-cf7a-11dd-88c0-0040f4ec7f7c}\Shell\AutoRun\command
    Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{98b28e02-cf7a-11dd-88c0-0040f4ec7f7c}\Shell\explore\Command
    Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{98b28e02-cf7a-11dd-88c0-0040f4ec7f7c}\Shell\open\Command

    ################## [ Listing des fichiers présent ]

    [15/04/2009 20:44|-r-hs----|109249] - C:\0xuc.com
    [23/12/2007 19:38|--a------|0] - C:\AUTOEXEC.BAT
    [23/12/2007 19:56|-rahs----|216] - C:\boot.ini
    [28/08/2001 14:00|-rahs----|4952] - C:\Bootfont.bin
    [23/12/2007 19:38|--a------|0] - C:\CONFIG.SYS
    [20/04/2009 20:46|-r-hs----|108855] - C:\ej10fkdo.bat
    [27/04/2009 20:44|-r-hs----|106709] - C:\eyt.exe
    [23/04/2009 17:52|-r-hs----|109601] - C:\g1ljsm.com
    [28/04/2009 19:45|-r-hs----|105003] - C:\il0byu3h.com
    [23/12/2007 19:38|-rahs----|0] - C:\IO.SYS
    [23/12/2007 19:38|-rahs----|0] - C:\MSDOS.SYS
    [23/12/2007 19:51|-rahs----|47564] - C:\NTDETECT.COM
    [23/12/2007 19:51|-rahs----|251712] - C:\ntldr
    [?|?|?] - C:\pagefile.sys
    [18/04/2009 19:06|--a------|79650] - C:\playground.log
    [13/04/2009 21:13|-r-hs----|109163] - C:\qwtb.com
    [19/03/2009 01:59|--ah-----|268] - C:\sqmdata00.sqm
    [21/03/2009 18:47|--ah-----|268] - C:\sqmdata01.sqm
    [21/03/2009 19:11|--ah-----|268] - C:\sqmdata02.sqm
    [21/03/2009 20:18|--ah-----|268] - C:\sqmdata03.sqm
    [23/03/2009 23:10|--ah-----|268] - C:\sqmdata04.sqm
    [26/03/2009 22:17|--ah-----|268] - C:\sqmdata05.sqm
    [29/03/2009 03:03|--ah-----|268] - C:\sqmdata06.sqm
    [15/04/2009 20:34|--ah-----|232] - C:\sqmdata07.sqm
    [15/04/2009 20:35|--ah-----|232] - C:\sqmdata08.sqm
    [15/04/2009 21:26|--ah-----|232] - C:\sqmdata09.sqm
    [03/03/2009 20:56|--ah-----|268] - C:\sqmdata10.sqm
    [06/03/2009 21:15|--ah-----|268] - C:\sqmdata11.sqm
    [08/03/2009 21:57|--ah-----|268] - C:\sqmdata12.sqm
    [13/03/2009 17:17|--ah-----|268] - C:\sqmdata13.sqm
    [13/03/2009 21:25|--ah-----|268] - C:\sqmdata14.sqm
    [14/03/2009 15:17|--ah-----|268] - C:\sqmdata15.sqm
    [14/03/2009 21:01|--ah-----|268] - C:\sqmdata16.sqm
    [15/03/2009 22:43|--ah-----|268] - C:\sqmdata17.sqm
    [17/03/2009 21:52|--ah-----|268] - C:\sqmdata18.sqm
    [18/03/2009 21:52|--ah-----|268] - C:\sqmdata19.sqm
    [19/03/2009 01:59|--ah-----|244] - C:\sqmnoopt00.sqm
    [21/03/2009 18:47|--ah-----|244] - C:\sqmnoopt01.sqm
    [21/03/2009 19:11|--ah-----|244] - C:\sqmnoopt02.sqm
    [21/03/2009 20:18|--ah-----|244] - C:\sqmnoopt03.sqm
    [23/03/2009 23:10|--ah-----|244] - C:\sqmnoopt04.sqm
    [26/03/2009 22:17|--ah-----|244] - C:\sqmnoopt05.sqm
    [29/03/2009 03:03|--ah-----|244] - C:\sqmnoopt06.sqm
    [15/04/2009 20:34|--ah-----|244] - C:\sqmnoopt07.sqm
    [15/04/2009 20:35|--ah-----|244] - C:\sqmnoopt08.sqm
    [15/04/2009 21:26|--ah-----|244] - C:\sqmnoopt09.sqm
    [03/03/2009 20:56|--ah-----|244] - C:\sqmnoopt10.sqm
    [06/03/2009 21:15|--ah-----|244] - C:\sqmnoopt11.sqm
    [08/03/2009 21:57|--ah-----|244] - C:\sqmnoopt12.sqm
    [13/03/2009 17:17|--ah-----|244] - C:\sqmnoopt13.sqm
    [13/03/2009 21:25|--ah-----|244] - C:\sqmnoopt14.sqm
    [14/03/2009 15:17|--ah-----|244] - C:\sqmnoopt15.sqm
    [14/03/2009 21:01|--ah-----|244] - C:\sqmnoopt16.sqm
    [15/03/2009 22:43|--ah-----|244] - C:\sqmnoopt17.sqm
    [17/03/2009 21:52|--ah-----|244] - C:\sqmnoopt18.sqm
    [18/03/2009 21:52|--ah-----|244] - C:\sqmnoopt19.sqm
    [29/04/2009 20:58|--a------|8359] - C:\UsbFix.txt
    [28/04/2009 19:53|-r-hs----|105774] - C:\ymxf2.exe
    [15/04/2009 20:44|-r-hs----|109249] - F:\0xuc.com
    [20/04/2009 20:46|-r-hs----|108855] - F:\ej10fkdo.bat
    [27/04/2009 20:44|-r-hs----|106709] - F:\eyt.exe
    [23/04/2009 17:52|-r-hs----|109601] - F:\g1ljsm.com
    [09/10/2007 15:49|--a------|1783502] - F:\haka.wmv
    [28/04/2009 19:45|-r-hs----|105003] - F:\il0byu3h.com
    [21/11/2007 22:10|--a------|25088] - F:\Magali Balma.doc
    [13/04/2009 21:13|-r-hs----|109163] - F:\qwtb.com
    [02/12/2007 18:24|--ahs----|127488] - F:\Thumbs.db
    [28/04/2009 19:53|-r-hs----|105774] - F:\ymxf2.exe
    [07/11/2007 20:50|--ah-----|4096] - G:\._.Trashes
    [12/01/2009 14:13|--ah-----|12292] - G:\.DS_Store
    [15/04/2009 18:58|-r-hs----|109249] - G:\0xuc.com
    [01/04/2009 18:25|-r-hs----|105003] - G:\il0byu3h.com
    [30/10/2008 13:18|--ah-----|82] - G:\._.TemporaryItems
    [06/01/2008 03:46|--a------|733276160] - G:\Elie Annonce Semoun La Suite De La Suite.avi
    [26/06/2008 13:11|---hs----|77824] - G:\Thumbs.db
    [12/05/2006 16:38|--a------|26079088] - G:\Busta Rhymes - Gimme Some More.mpg
    [13/04/2009 21:13|-r-hs----|109163] - H:\qwtb.com
    [01/04/2009 18:25|-r-hs----|105003] - H:\il0byu3h.com
    [26/04/2009 14:02|-r-hs----|107157] - H:\eyt.exe
    [19/12/2008 09:46|--a------|735379456] - H:\HANCOCK.DVDRIP.FR.VVF.COOLI.[emule-island.com].avi

    ################## [ Vaccination ]

    # C:\autorun.inf -> Folder created by UsbFix.
    # F:\autorun.inf -> Folder created by UsbFix.
    # G:\autorun.inf -> Folder created by UsbFix.
    # H:\autorun.inf -> Folder created by UsbFix.

    ################## [ Cracks / Keygens / Serials ]

    C:\Documents and Settings\Magali et Antoine\Local Settings\Temp\Patcher\Patcher3532\PBSLocalizedStrings\PBSLocalizedStrings.zip

    ################## [ ! Fin du rapport # UsbFix V3.014 ! ]

    a c 295 8 Sécurité
    a b , Internet Explorer
    29 Avril 2009 21:23:10

    Il reste encore des infections sur tes disques.
    29 Avril 2009 21:27:59

    D'accord, sur mes clés USB ou sur mes disques durs ?
    J'ai remarqué aussi que mon avast ne se met pas a jour j'ai regardé dans le fichier hosts je ne vois rien ...
    a c 295 8 Sécurité
    a b , Internet Explorer
    29 Avril 2009 21:31:56

    Citation :
    D'accord, sur mes clés USB ou sur mes disques durs ?

    ---> Les deux. Laisse brancher pour la manip' suivante.

    [#ff0000]/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\[/#f]

  • Télécharge ComboFix ([#ff0000]sUBs[/#f]) sur ton Bureau.
  • Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
  • Il va te demander d'installer la console de récupération : accepte.
  • Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

    Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
    29 Avril 2009 22:22:24

    Voilà je viens de faire le rapport :

    ComboFix 09-04-29.01 - Magali et Antoine 29/04/2009 22:14.1 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.751.429 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Magali et Antoine\Bureau\ComboFix.exe
    AV: avast! antivirus 4.7.1098 [VPS 080212-0] *On-access scanning disabled* (Outdated)
    * Un nouveau point de restauration a été créé
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\ej10fkdo.bat
    c:\windows\AhnRpta.exe
    c:\windows\f23567.dat
    c:\windows\system32\796525
    c:\windows\system32\796525\796525.dll
    c:\windows\system32\dl32.exe
    F:\ej10fkdo.bat

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2009-05-28 au 2009-4-29 ))))))))))))))))))))))))))))))))))))
    .

    2009-04-29 18:33 . 2009-04-29 18:59 -------- d-----w C:\UsbFix
    2009-04-29 18:07 . 2009-04-29 18:07 -------- d-----w c:\program files\Trend Micro
    2009-04-28 19:45 . 2009-04-28 19:45 2 ---h--w c:\windows\t55ft2667f44.dat
    2009-04-28 17:45 . 2009-04-28 17:53 105774 --sh--r C:\ymxf2.exe
    2009-04-27 19:31 . 2009-04-27 19:31 -------- d-----w c:\program files\Annie's Millions
    2009-04-27 18:35 . 2009-04-27 18:35 2 ---h--w c:\windows\t55ft2692f44.dat
    2009-04-27 18:23 . 2009-04-27 18:25 -------- d-----w c:\program files\The Mystery Of The Crystal Portal
    2009-04-26 11:34 . 2009-04-27 18:44 106709 --sh--r C:\eyt.exe
    2009-04-21 20:48 . 2009-04-23 15:52 109601 --sh--r C:\g1ljsm.com
    2009-04-18 15:21 . 2009-04-18 15:21 -------- d-----w C:\games
    2009-04-18 14:52 . 2009-04-18 14:52 -------- d-----w c:\documents and settings\All Users\Application Data\Babylon
    2009-04-18 14:52 . 2009-04-18 14:52 -------- d-----w c:\documents and settings\Magali et Antoine\Application Data\Babylon
    2009-04-18 14:52 . 2009-04-18 14:52 234002 ----a-w c:\windows\GooglePreviewIE_Toolbar_Uninstaller_7390.exe
    2009-04-18 14:52 . 2009-04-29 17:58 -------- d-----w c:\program files\GooglePreviewIE Toolbar
    2009-04-15 18:41 . 2009-04-15 18:41 -------- d-----w c:\documents and settings\Magali et Antoine\Application Data\Zylom DressUpRush
    2009-04-15 18:40 . 2009-04-26 16:17 -------- d-----w c:\documents and settings\Magali et Antoine\Application Data\Zylom
    2009-04-15 18:23 . 2005-07-26 04:39 60416 -c----w c:\windows\system32\dllcache\colbact.dll
    2009-04-15 18:23 . 2009-02-06 16:39 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe
    2009-04-15 18:23 . 2009-03-06 14:46 286208 -c----w c:\windows\system32\dllcache\pdh.dll
    2009-04-15 18:23 . 2009-02-09 10:20 473088 -c----w c:\windows\system32\dllcache\fastprox.dll
    2009-04-15 18:23 . 2009-02-09 10:20 399360 -c----w c:\windows\system32\dllcache\rpcss.dll
    2009-04-15 18:23 . 2009-02-09 10:08 111104 -c----w c:\windows\system32\dllcache\services.exe
    2009-04-15 18:23 . 2009-02-09 10:20 685056 -c----w c:\windows\system32\dllcache\advapi32.dll
    2009-04-15 18:23 . 2009-02-09 10:20 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll
    2009-04-15 18:23 . 2009-02-09 10:20 739840 -c----w c:\windows\system32\dllcache\ntdll.dll
    2009-04-15 18:23 . 2008-12-16 12:49 351232 -c----w c:\windows\system32\dllcache\winhttp.dll
    2009-04-15 18:22 . 2008-04-21 21:27 219136 -c----w c:\windows\system32\dllcache\wordpad.exe
    2009-04-14 20:09 . 2009-04-14 20:09 -------- d-----w c:\documents and settings\All Users\Application Data\GameHouse
    2009-04-14 18:20 . 2009-04-15 18:44 109249 --sh--r C:\0xuc.com
    2009-04-13 15:40 . 2009-04-13 19:13 109163 --sh--r C:\qwtb.com
    2009-04-11 17:59 . 2009-04-11 17:59 -------- d-----w c:\program files\Wedding Dash
    2009-04-11 17:47 . 2009-04-15 18:39 -------- d-----w c:\program files\Zylom Games
    2009-04-11 17:46 . 2009-04-18 15:31 -------- d-----w c:\documents and settings\All Users\Application Data\PlayFirst
    2009-04-11 17:46 . 2009-04-18 15:31 -------- d-----w c:\documents and settings\Magali et Antoine\Application Data\PlayFirst
    2009-04-11 17:00 . 2009-04-11 17:00 -------- d-----w c:\documents and settings\All Users\Application Data\Zylom
    2009-04-01 21:15 . 2004-08-19 15:09 221184 ----a-w c:\windows\system32\wmpns.dll
    2009-04-01 20:25 . 2009-04-01 20:25 -------- d-----w c:\documents and settings\All Users\Application Data\MSN6
    2009-04-01 20:25 . 2009-04-01 20:25 -------- d-----w c:\documents and settings\Magali et Antoine\Application Data\MSN6
    2009-04-01 18:29 . 2009-04-01 18:29 -------- d-----w c:\program files\uTorrent
    2009-04-01 18:29 . 2009-04-01 18:29 -------- d-----w c:\documents and settings\Magali et Antoine\Application Data\uTorrent
    2009-04-01 18:06 . 2009-04-01 18:07 -------- d-----w c:\program files\eMule
    2009-04-01 16:49 . 2009-04-02 16:41 -------- d-----w c:\windows\system32\CatRoot_bak
    2009-04-01 16:48 . 2008-06-14 17:59 272768 -c----w c:\windows\system32\dllcache\bthport.sys
    2009-04-01 16:46 . 2008-05-01 14:31 331776 -c----w c:\windows\system32\dllcache\msadce.dll
    2009-04-01 16:35 . 2009-04-01 16:35 -------- d-----w c:\program files\SFR
    2009-04-01 16:25 . 2009-04-28 17:45 105003 --sh--r C:\il0byu3h.com

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-04-17 18:34 . 2001-08-28 12:00 49734 ----a-w c:\windows\system32\perfc00C.dat
    2009-04-17 18:34 . 2001-08-28 12:00 370832 ----a-w c:\windows\system32\perfh00C.dat
    2009-04-02 05:24 . 2007-12-23 18:03 43336 ----a-w c:\documents and settings\Magali et Antoine\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2009-03-06 14:46 . 2001-08-28 12:00 286208 ----a-w c:\windows\system32\pdh.dll
    2009-03-03 00:13 . 2001-08-28 12:00 826368 ----a-w c:\windows\system32\wininet.dll
    2009-02-20 17:10 . 2007-12-23 17:55 78336 ----a-w c:\windows\system32\ieencode.dll
    2009-02-09 14:17 . 2001-08-28 12:00 1846400 ----a-w c:\windows\system32\win32k.sys
    2009-02-09 11:50 . 2001-08-23 17:12 2059776 ----a-w c:\windows\system32\ntkrnlpa.exe
    2009-02-09 11:50 . 2001-08-28 12:00 2182528 ----a-w c:\windows\system32\ntoskrnl.exe
    2009-02-09 10:20 . 2001-08-28 12:00 730112 ----a-w c:\windows\system32\lsasrv.dll
    2009-02-09 10:20 . 2001-08-28 12:00 685056 ----a-w c:\windows\system32\advapi32.dll
    2009-02-09 10:20 . 2001-08-28 12:00 399360 ----a-w c:\windows\system32\rpcss.dll
    2009-02-09 10:20 . 2001-08-28 12:00 739840 ----a-w c:\windows\system32\ntdll.dll
    2009-02-09 10:08 . 2001-08-28 12:00 111104 ----a-w c:\windows\system32\services.exe
    2009-02-06 16:54 . 2001-08-28 12:00 35328 ----a-w c:\windows\system32\sc.exe
    2009-02-03 20:10 . 2001-08-28 12:00 55808 ----a-w c:\windows\system32\secur32.dll
    2007-12-27 17:43 . 2007-12-27 17:42 24536608 ----a-w c:\program files\installer-50115-845-Adobe-Reader-French.exe
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "DL32"="DL32" [X]
    "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]
    "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-01-25 68856]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "type32"="c:\program files\Microsoft IntelliType Pro\type32.exe" [2004-06-03 172032]
    "IntelliPoint"="c:\program files\Microsoft IntelliPoint\point32.exe" [2004-06-03 204800]
    "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 79224]
    "igfxtray"="c:\windows\system32\igfxtray.exe" [2005-09-20 94208]
    "igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-09-20 77824]
    "igfxpers"="c:\windows\system32\igfxpers.exe" [2005-09-20 114688]
    "SoundMAXPnP"="c:\program files\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-07-27 1388544]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-01-10 385024]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-01-15 267048]
    "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

    c:\documents and settings\Magali et Antoine\Menu D‚marrer\Programmes\D‚marrage\
    Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=
    "c:\\Program Files\\eMule\\emule.exe"=
    "c:\\Program Files\\uTorrent\\uTorrent.exe"=

    R3 EverestDriver;Lavalys EVEREST Kernel Driver;c:\program files\Lavalys\EVEREST Ultimate Edition\kerneld.wnt [2007-10-16 22640]

    .
    Contenu du dossier 'Tâches planifiées'

    2009-04-06 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    BHO-{E7F15AC4-E0A9-43F0-921B-70DFEA621220} - c:\windows\system32\796525\796525.dll


    .
    ------- Examen supplémentaire -------
    .
    uInternet Settings,ProxyServer = http=localhost:7171
    uInternet Settings,ProxyOverride = *.local;<local>
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
    TCP: {DC2D160E-5A9B-4B79-BEBB-AA8011C415CE} = 192.168.1.1
    DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game12.zylom.com/activex/zylomgamesplayer.cab
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-04-29 22:17
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*]
    "C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
    .
    Heure de fin: 2009-04-29 22:19
    ComboFix-quarantined-files.txt 2009-04-29 20:19

    Avant-CF: 26 995 875 840 octets libres
    Après-CF: 27 336 933 376 octets libres

    WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn

    162 --- E O F --- 2009-04-28 19:52
    a c 295 8 Sécurité
    a b , Internet Explorer
    29 Avril 2009 23:00:02

    /!\ Seul SmartBox31 peut suivre cette procédure /!\

    Désactive toute protection résidente (Antivirus...) !

    ---> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

    ---> Copie (CTRL+C) le texte se situant dans le cadre ci-dessous :

    KillAll::

    File::
    c:\windows\t55ft2667f44.dat
    C:\ymxf2.exe
    c:\windows\t55ft2692f44.dat
    C:\eyt.exe
    C:\g1ljsm.com
    c:\windows\GooglePreviewIE_Toolbar_Uninstaller_7390.exe
    C:\0xuc.com
    C:\qwtb.com
    C:\il0byu3h.com
    c:\program files\installer-50115-845-Adobe-Reader-French.exe
    F:\0xuc.com
    F:\eyt.exe
    F:\g1ljsm.com
    F:\il0byu3h.com
    F:\qwtb.com
    F:\ymxf2.exe
    G:\0xuc.com
    G:\il0byu3h.com
    H:\qwtb.com
    H:\il0byu3h.com
    H:\eyt.exe

    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "DL32"=-


    ---> Ouvre le Bloc Notes : Démarrer > Tous les programmes > Accessoires > Bloc notes

    - Colle (CTRL+V) le texte dans le Bloc-notes.
    - Enregistre ce fichier dans : Bureau
    - Nom du fichier : CFScript
    - Type du fichier : tous les fichiers !!
    - Clique sur Enregistrer.
    - Quitte le Bloc-notes.

    ---> Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :



  • Cela va relancer Combofix : au message qui apparaît, accepte.
  • Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
  • Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher, copie/colle son contenu sur le forum.
  • Si le fichier ne s'ouvre pas, il se trouve ici : C:\ComboFix.txt

    ;) 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS