Se connecter / S'enregistrer
Votre question

PC bouré de virus, besoin d'aide svp.

Tags :
  • Trend micro
  • Sécurité
Dernière réponse : dans Sécurité et virus
22 Décembre 2008 22:29:46

Bonsoir, Tout est dans le titre, voici donc mon rapport hijack, Merci

Autres pages sur : boure virus besoin aide svp

22 Décembre 2008 22:36:12

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:35:02, on 22/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/default
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Ultimate Edition
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O1 - Hosts: 66.249.93.99 www.google.fr
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - (no file)
O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Program Files\styler\TB\StylerTB.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/curre...
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1458B96-CDCF-46E3-86FB-85A739BEC933}: NameServer = 81.253.149.9 80.10.246.132
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 5816 bytes
23 Décembre 2008 17:56:53

bonjour
Télécharger Rooter.exe sur ton bureau
Double clique dessus et poste le rapport ( %Systemdrive%\Rooter.txt )
Contenus similaires
23 Décembre 2008 21:40:13

Bonsoir, merci de votre aide mais il met impossible de lancer Rooter.exe, voila ce qu'il m'affiche :

23 Décembre 2008 21:47:03

ok

1
Télécharge DDS et sauvegarde-le sur ton bureau.
  • Désactive tout script bloquant, tel q'un antivirus, un logiciel comme ad-block, noscript etc.
  • Double-clique sur dds.scr pour lancer l'outil.
  • Une fois le scan fini, un document texte, DDS.txt, va s'ouvrir .
  • Clique Oui à la prochaine invite Optional Scan.
  • Sauvegarde les deux rapports sur ton bureau et poste-moi uniquement le DDS.txt.

    2
  • Télécharge Catchme ([#ff0000]Gmer[/#f]) sur ton Bureau.
  • Double clique sur catchme.exe (le .exe n'est pas forcément visible) afin de le lancer.
  • Lorsque la recherche sera terminée, poste le rapport catchme.log dans ta prochaine réponse. (Ce rapport est sur ton bureau.)

    23 Décembre 2008 22:13:46

    Pour dds , impossible de le lancer aussi, voici ce qu'il maffiche :



    Par contre, voici le raport Catchme :

    catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
    http://www.gmer.net

    detected NTDLL code modification:
    ZwOpenFile

    scanning hidden processes ...

    scanning hidden services ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0
    23 Décembre 2008 22:18:56

    re
    c'est quoi au juste ta version de xp?
    23 Décembre 2008 22:28:17

    Microsoft windows XP
    Ultimate Edition 2007
    Unattented by Mad Dog
    Service pack 2
    23 Décembre 2008 22:40:25

    pffffffff
    j'essaye, si ça marche pas, tu t'achètes un xp...


    Désactive ton antivirus et tout autre type de protection.
    Télécharge ComboFix de sUBs :

    http://www.sendspace.com/file/6z18m5
    et sauvegarde le sur ton bureau et pas ailleurs!

    Double-clic sur ComboFix, Il va te poser une question, suis les invites puis attends que combofix ait terminé, il est possible que ton PC reboot, c’est normal, un rapport sera créé.Poste le rapport:C:\Combofix.txt
    clique dessus pour l'ouvrir, puis édition "sélectionner tout", édition "copier"

    viens sur le forum et édition "coller"

    AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
    * le nom de la partition peut changer


    ajoute un nouveau rapport Hijackthis.
    24 Décembre 2008 16:19:46

    Re, je ne pouvez pas lancer Rooter.exe et DDS puisque je n'avais pas le fichier CMD dans systeme32. J'ai recupere le fichier CMD a partir d'un autre PC et maintenant DDS fonctionne, voici donc les rapports Rooter et DDS.txt

    Rapport Rooter :

    24/12/2008|16:16

    ----------------------\\ Search..

    ----------------------\\ Cracks & Keygens..

    C:\DOCUME~1\ABDELA~1\Bureau\NsDongle_Crack
    C:\DOCUME~1\ABDELA~1\Bureau\NsDongle_Crack.rar
    C:\DOCUME~1\ABDELA~1\Bureau\NsDongle_Crack\NsDongle_Crack (débloké samsung)
    C:\DOCUME~1\ABDELA~1\Bureau\NsDongle_Crack\NsDongle_Crack (débloké samsung)\nsdongle.dll
    C:\DOCUME~1\ABDELA~1\Bureau\uleadvideostudioplus10patchbidjan\keygen.nfo


    1 - "C:\Rooter$\Rooter_1.txt" - 24/12/2008|16:17

    ----------------------\\ Scan completed at 16:17


    ropport DDS.txt :


    DDS (Version 1.1.0) - NTFSx86
    Run by Abdelaziz at 16:13:53,25 on 24/12/2008
    Internet Explorer: 7.0.5730.11 BrowserJavaVersion: 1.6.0_06

    ============== Pseudo HJT Report ===============

    uWindow Title = Windows Ultimate Edition
    uSearch Page = hxxp://www.google.fr
    uSearch Bar = hxxp://www.google.fr/ie
    uStart Page = hxxp://www.daemon-search.com/default
    uDefault_Search_URL = hxxp://www.google.fr/keyword/%s
    mDefault_Page_URL = hxxp://www.google.fr
    mDefault_Search_URL = hxxp://www.google.fr
    mSearch Page = hxxp://www.google.fr
    mStart Page = hxxp://www.google.fr
    uSearchURL,(Default) = hxxp://www.google.fr/keyword/%s
    mSearchAssistant = hxxp://www.google.fr/ie
    Yahoo! Toolbar avec bloqueur de fenêtres pop-up
    BHO: Click-to-Call BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - c:\program files\windows live\messenger\wlchtc.dll
    BHO: SSVHelper Class: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\program files\java\jre1.6.0_06\bin\ssv.dll
    BHO: Programme d'aide de l'Assistant de connexion Windows Live: {9030D464-4C02-4ABF-8ECC-5164760863C6} - c:\program files\fichiers communs\microsoft shared\windows live\WindowsLiveLogin.dll
    TB: StylerToolBar: {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - c:\program files\styler\tb\StylerTB.dll
    uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
    uRun: [Pando] "c:\program files\pando networks\pando\Pando.exe" /Minimized
    uRun: [<NO NAME>]
    dRun: [DWQueuedReporting] "c:\progra~1\fichie~1\micros~1\dw\dwtrig20.exe" -t
    dRunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe
    dRunOnce: [nltide_2] regsvr32 /s /n /i:U shell32
    dRunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N
    uPolicies-explorer: NoSMHelp = 1 (0x1)
    dPolicies-explorer: NoSMHelp = 1 (0x1)
    IE: Ajouter à Kaspersky Anti-Bannière - c:\program files\kaspersky lab\kaspersky internet security 2009\ie_banner_deny.htm
    IE: E&xporter vers Microsoft Excel - c:\progra~1\micros~2\office12\EXCEL.EXE/3000
    IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
    IE: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBC} - c:\program files\java\jre1.6.0_06\bin\ssv.dll
    IE: {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - {85E0B171-04FA-11D1-B7DA-00A0C90348D6}
    IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office12\REFIEBAR.DLL
    IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
    TCP: {C1458B96-CDCF-46E3-86FB-85A739BEC933} = 81.253.149.9 80.10.246.132
    Handler: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - c:\program files\fichiers communs\microsoft shared\web folders\PKMCDO.DLL
    Notify: igfxcui - igfxdev.dll
    SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\wpdshserviceobj.dll

    ================= FIREFOX ===================

    FF - ProfilePath - c:\docume~1\abdela~1\applic~1\mozilla\firefox\profiles\7txl11d6.default\
    FF - prefs.js: browser.startup.homepage - hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:o fficial
    FF - prefs.js: network.proxy.type - 4
    FF - plugin: c:\documents and settings\abdelaziz\application data\mozilla\firefox\profiles\7txl11d6.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\plugins\nphardwaredetection.dll
    FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
    FF - plugin: c:\program files\yahoo!\common\npyaxmpb.dll

    ============= SERVICES / DRIVERS ===============


    =============== Created Last 30 ================

    2008-12-23 21:34 <DIR> --d----- C:\Rooter$
    2008-12-22 23:50 <DIR> --d----- c:\program files\Pando Networks
    2008-12-22 22:33 <DIR> --d----- c:\program files\Trend Micro
    2008-12-17 19:52 <DIR> --d----- c:\program files\Microsoft
    2008-12-17 19:51 <DIR> --d----- c:\program files\Windows Live SkyDrive
    2008-12-15 21:34 32 a--sh--- c:\windows\system32\drivers\fidbox2.idx
    2008-12-15 21:34 32 a--sh--- c:\windows\system32\drivers\fidbox2.dat
    2008-12-15 21:34 32 a--sh--- c:\windows\system32\drivers\fidbox.idx
    2008-12-15 21:34 32 a--sh--- c:\windows\system32\drivers\fidbox.dat
    2008-12-13 23:54 <DIR> --d----- c:\program files\Yahoo!
    2008-12-13 23:53 <DIR> --d----- c:\program files\CCleaner
    2008-12-13 23:52 <DIR> --d----- c:\windows\system32\msmq
    2008-12-13 23:42 <DIR> --d----- c:\docume~1\abdela~1\applic~1\Auslogics
    2008-12-13 23:42 <DIR> --d----- c:\program files\Auslogics
    2008-12-13 14:18 43 ---sh--- c:\windows\SVCHOST.INI
    2008-12-10 23:41 247,326 -c------ c:\windows\system32\dllcache\strmdll.dll
    2008-12-05 19:06 54,156 a---h--- c:\windows\QTFont.qfn
    2008-12-05 19:06 1,409 a------- c:\windows\QTFont.for
    2008-12-02 22:37 49,480 a------- c:\windows\system32\sirenacm.dll

    ==================== Find3M ====================

    2008-12-24 16:06 412,160 a------- c:\windows\system32\CF29046.exe
    2008-12-15 00:24 241,664 a------- c:\windows\system32\rundll32.exe
    2008-12-14 18:15 89,088 a------- c:\windows\system32\regsvr32.exe
    2008-12-14 18:04 1,146,880 a------- c:\windows\NOTEPAD.EXE
    2008-12-14 17:59 187,904 a------- c:\windows\system32\mshta.exe
    2008-12-14 17:59 286,720 a------- c:\windows\system32\igfxsrvc.exe
    2008-12-14 17:46 237,568 a------- c:\windows\system32\verifier.exe
    2008-12-14 17:46 382,976 a------- c:\windows\system32\shrpubw.exe
    2008-12-14 17:13 334,848 a------- c:\windows\system32\verclsid.exe
    2008-12-14 17:13 273,408 a------- c:\windows\hh.exe
    2008-12-14 17:13 324,096 a------- c:\windows\system32\msiexec.exe
    2008-12-14 17:12 163,840 a------- c:\windows\system32\pintool.exe
    2008-12-14 14:41 167,936 a------- c:\windows\system32\defrag.exe
    2008-12-14 14:16 238,080 a------- c:\windows\system32\telnet.exe
    2008-12-14 14:16 67,072 a------- c:\windows\system32\fltMc.exe
    2008-12-14 14:15 220,160 a------- c:\windows\system32\alg.exe
    2008-12-14 14:13 1,833,984 a------- c:\windows\explorer.exe
    2008-12-14 14:13 462,336 a------- c:\windows\system32\ctfmon.exe
    2008-12-14 14:13 135,168 a------- c:\windows\system32\spoolsv.exe
    2008-12-14 14:11 476,160 a------- c:\windows\system32\clipbrd.exe
    2008-11-09 18:58 717,296 a------- c:\windows\system32\drivers\sptd.sys
    2008-11-02 17:27 29,480 a------- c:\windows\system32\msxml3a.dll
    2008-10-26 10:10 469,930 a------- c:\windows\system32\perfh00C.dat
    2008-10-26 10:10 75,558 a------- c:\windows\system32\perfc00C.dat
    2008-10-25 12:00 20,458 a------- c:\windows\hpoins01.dat
    2008-10-23 14:00 283,648 a------- c:\windows\system32\gdi32.dll
    2008-10-16 14:06 268,648 a------- c:\windows\system32\mucltui.dll
    2008-10-16 14:06 208,744 a------- c:\windows\system32\muweb.dll
    2008-10-03 11:17 247,326 a------- c:\windows\system32\strmdll.dll
    2008-09-30 16:43 1,286,152 a------- c:\windows\system32\msxml4.dll
    2008-09-16 05:50 2 a--shrot c:\windows\winstart.bat
    2006-05-03 10:06 163,328 ---shr-- c:\windows\system32\flvDX.dll
    2007-02-21 11:47 31,232 ---shr-- c:\windows\system32\msfDX.dll
    2008-06-12 19:20 32,768 a--sh--- c:\windows\system32\config\systemprofile\local settings\historique\history.ie5\mshist012008061220080613\index.dat

    ============= FINISH: 16:14:15,31 ===============


    Merci de votre aide.
    25 Décembre 2008 18:53:08

    bonjour
    Désactive ton antivirus et tout autre type de protection.
    Télécharge ComboFix de sUBs :
    ComboFix.exe
    et sauvegarde le sur ton bureau et pas ailleurs!

    Double-clic sur ComboFix, Il va te poser une question, suis les invites puis attends que combofix ait terminé, il est possible que ton PC reboot, c’est normal, un rapport sera créé.Poste le rapport:C:\Combofix.txt
    clique dessus pour l'ouvrir, puis édition "sélectionner tout", édition "copier"

    viens sur le forum et édition "coller"

    AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
    * le nom de la partition peut changer


    ajoute un nouveau rapport Hijackthis.



    25 Décembre 2008 23:29:15

    Bonsoir, voici donc les deux rapport demandé.

    Rapport combofix :

    ComboFix 08-12-24.01 - Abdelaziz 2008-12-25 23:19:37.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1015.518 [GMT 1:00]
    Lancé depuis: c:\documents and settings\Abdelaziz\Bureau\ComboFix.exe
    * Un nouveau point de restauration a été créé
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\Abdelaziz\Application Data\tazebama
    c:\documents and settings\Abdelaziz\Application Data\tazebama\tazebama.log
    c:\documents and settings\Abdelaziz\Application Data\tazebama\zPharaoh.dat
    c:\documents and settings\Abdelaziz\Mes documents\PIÉRO!!! (D)\gestion de projet\Desktop_.ini
    c:\documents and settings\Abdelaziz\Mes documents\PIÉRO!!! (D)\L.T.D.I\Desktop_.ini
    c:\windows\svchost.ini

    c:\windows\system32\userinit.exe . . . est infecté!!

    c:\windows\system32\spoolsv.exe . . . est infecté!!

    c:\windows\explorer.exe . . . est infecté!!

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-25 au 2008-12-25 ))))))))))))))))))))))))))))))))))))
    .

    2008-12-23 21:34 . 2008-12-24 16:17 <REP> d-------- C:\Rooter$
    2008-12-22 23:50 . 2008-12-22 23:50 <REP> d-------- c:\program files\Pando Networks
    2008-12-22 22:33 . 2008-12-22 22:33 <REP> d-------- c:\program files\Trend Micro
    2008-12-17 19:57 . 2008-06-12 19:09 <REP> d-------- c:\documents and settings\Administrateur\VS80-KB925674-X86
    2008-12-17 19:57 . 2008-06-12 20:59 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
    2008-12-17 19:57 . 2008-06-12 20:59 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
    2008-12-17 19:57 . 2008-06-12 19:04 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
    2008-12-17 19:57 . 2008-06-12 20:59 <REP> d-------- c:\documents and settings\Administrateur\Mes documents
    2008-12-17 19:57 . 2006-10-30 00:40 <REP> d-------- c:\documents and settings\Administrateur\Menu Démarrer
    2008-12-17 19:57 . 2007-08-12 15:17 <REP> dr------- c:\documents and settings\Administrateur\Favoris
    2008-12-17 19:57 . 2008-06-12 20:59 <REP> d-------- c:\documents and settings\Administrateur\Bureau
    2008-12-17 19:57 . 2008-12-17 19:57 <REP> d-------- c:\documents and settings\Administrateur
    2008-12-17 19:52 . 2008-12-17 19:52 <REP> d-------- c:\program files\Microsoft
    2008-12-17 19:51 . 2008-12-17 19:51 <REP> d-------- c:\program files\Windows Live SkyDrive
    2008-12-15 21:34 . 2008-12-25 23:21 32 --ahs---- c:\windows\system32\drivers\fidbox2.idx
    2008-12-15 21:34 . 2008-12-25 23:21 32 --ahs---- c:\windows\system32\drivers\fidbox2.dat
    2008-12-15 21:34 . 2008-12-25 23:21 32 --ahs---- c:\windows\system32\drivers\fidbox.idx
    2008-12-15 21:34 . 2008-12-25 23:21 32 --ahs---- c:\windows\system32\drivers\fidbox.dat
    2008-12-14 18:15 . 2008-12-14 18:15 <REP> d-------- c:\program files\Notepad++
    2008-12-14 18:15 . 2008-12-14 18:15 <REP> d-------- c:\documents and settings\Abdelaziz\Application Data\Notepad++
    2008-12-13 23:54 . 2008-12-13 23:56 <REP> d-------- c:\program files\Yahoo!
    2008-12-13 23:53 . 2008-12-13 23:54 <REP> d-------- c:\program files\CCleaner
    2008-12-13 23:52 . 2008-12-13 23:52 <REP> d-------- c:\windows\system32\msmq
    2008-12-13 23:42 . 2008-12-13 23:42 <REP> d-------- c:\program files\Auslogics
    2008-12-13 23:42 . 2008-12-13 23:42 <REP> d-------- c:\documents and settings\Abdelaziz\Application Data\Auslogics
    2008-12-10 23:41 . 2008-10-03 11:17 247,326 -----c--- c:\windows\system32\dllcache\strmdll.dll
    2008-12-05 19:06 . 2008-12-05 19:06 54,156 --ah----- c:\windows\QTFont.qfn
    2008-12-05 19:06 . 2008-12-05 19:06 1,409 --a------ c:\windows\QTFont.for
    2008-12-02 22:37 . 2008-12-02 22:37 49,480 --a------ c:\windows\system32\sirenacm.dll

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-12-25 22:21 1,833,984 ----a-w c:\windows\explorer.exe
    2008-12-17 18:05 --------- d-----w c:\program files\Crux Calculator v5
    2008-12-17 18:05 --------- d-----w c:\program files\CDBurnerXP
    2008-12-17 18:05 --------- d-----w c:\program files\AusLogics Disk Defrag
    2008-12-17 18:05 --------- d-----w c:\program files\AMT
    2008-12-17 18:05 --------- d-----w c:\program files\Ad-Aware
    2008-12-17 08:03 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
    2008-12-15 06:37 --------- d-----w c:\program files\Passware
    2008-12-14 23:24 --------- d-----w c:\program files\FoxitReader
    2008-12-14 17:04 1,146,880 ----a-w c:\windows\NOTEPAD.EXE
    2008-12-14 16:13 273,408 ----a-w c:\windows\hh.exe
    2008-12-14 13:12 93,184 ----a-w c:\windows\WinBait.exe
    2008-12-14 13:12 444,928 ----a-w c:\windows\regedit.exe
    2008-12-14 13:12 288,256 ----a-w c:\windows\winhlp32.exe
    2008-12-13 22:34 --------- d-----w c:\documents and settings\All Users\Application Data\ma-config.com
    2008-12-13 22:34 --------- d-----w c:\documents and settings\Abdelaziz\Application Data\U3
    2008-12-08 18:35 --------- d-----w c:\documents and settings\Abdelaziz\Application Data\dvdcss
    2008-12-05 18:06 --------- d-----w c:\program files\QuickTime
    2008-11-30 11:42 --------- d-----w c:\documents and settings\All Users\Application Data\Messenger Plus!
    2008-11-20 23:24 --------- d-----w c:\program files\Messenger Plus! Live
    2008-11-18 22:29 --------- d-----w c:\program files\DivX
    2008-11-11 13:48 --------- d-----w c:\program files\DAEMON Tools Toolbar
    2008-11-11 13:25 --------- d-----w c:\program files\DAEMON Tools Lite
    2008-11-09 17:58 717,296 ----a-w c:\windows\system32\drivers\sptd.sys
    2008-11-09 17:57 --------- d-----w c:\documents and settings\Abdelaziz\Application Data\DAEMON Tools
    2008-11-09 13:17 --------- d-----w c:\documents and settings\All Users\Application Data\CyberLink
    2008-11-03 18:13 --------- d-----w c:\program files\Premium Clock
    2008-11-02 16:36 --------- d-----w c:\documents and settings\Abdelaziz\Application Data\CyberLink
    2008-11-02 16:30 --------- d--h--w c:\program files\InstallShield Installation Information
    2008-11-02 16:30 --------- d-----w c:\program files\Fichiers communs\CyberLink
    2008-11-02 16:28 --------- d-----w c:\program files\CyberLink
    2008-11-02 15:38 --------- d-----w c:\documents and settings\Abdelaziz\Application Data\Ulead Systems
    2008-11-02 15:01 --------- d-----w c:\documents and settings\All Users\Application Data\SmartSound Software Inc
    2008-10-27 15:09 --------- d-----w c:\documents and settings\Abdelaziz\Application Data\DivX
    2008-10-27 14:46 --------- d-----w c:\program files\SmartSound Software
    2008-10-27 14:45 --------- d-----w c:\documents and settings\All Users\Application Data\InstallShield
    2008-10-27 14:44 --------- d-----w c:\program files\Windows Media Components
    2008-10-27 14:44 --------- d-----w c:\documents and settings\All Users\Application Data\Ulead Systems
    2008-10-27 14:44 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
    2008-10-27 14:43 --------- d-----w c:\program files\Ulead Systems
    2008-10-27 14:43 --------- d-----w c:\program files\Fichiers communs\Ulead Systems
    2008-10-27 14:43 --------- d-----w c:\program files\Fichiers communs\InstallShield
    2008-10-25 11:00 82,380 ----a-w c:\windows\system32\drivers\AFS2K.SYS
    2008-09-16 04:50 2 --shatr c:\windows\winstart.bat
    2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll
    2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll
    2008-06-12 18:20 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008061220080613\index.dat
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-12-14 462336]
    "Pando"="c:\program files\Pando Networks\Pando\Pando.exe" [2008-11-20 3647304]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "nltide_2"="shell32" [X]
    "tscuninstall"="c:\windows\system32\tscupgrd.exe" [2008-12-14 44544]
    "nltide_3"="advpack.dll" [2008-06-23 c:\windows\system32\advpack.dll]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "NoSMHelp"= 1 (0x1)

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
    "NoSMHelp"= 1 (0x1)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "msacm.dvacm"= c:\progra~1\FICHIE~1\ULEADS~1\Vio\Dvacm.acm
    "msacm.MPEGacm"= c:\progra~1\FICHIE~1\ULEADS~1\MPEG\MPEGacm.acm
    "msacm.ulmp3acm"= c:\progra~1\FICHIE~1\ULEADS~1\MPEG\ulmp3acm.acm

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
    backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Samsung Fucker v1.0.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Samsung Fucker v1.0.lnk
    backup=c:\windows\pss\Samsung Fucker v1.0.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Wireless LAN Utility.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Wireless LAN Utility.lnk
    backup=c:\windows\pss\Wireless LAN Utility.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
    c:\windows\system32\dumprep 0 -k [X]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\@RegRunOnSecure]
    --a------ 2003-01-22 11:03 70656 c:\progra~1\Greatis\REGRUN~1\OnSecure.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!]
    --a------ 2008-11-26 18:18 81000 c:\progra~1\ALWILS~1\Avast4\ashDisp.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
    --a------ 2008-12-14 14:13 462336 c:\windows\system32\ctfmon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
    --a------ 2008-12-14 14:12 598016 c:\program files\DAEMON Tools Lite\daemon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DWQueuedReporting]
    --a------ 2007-02-26 00:01 437160 c:\progra~1\FICHIE~1\MICROS~1\DW\DWTRIG20.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
    --a------ 2008-12-14 14:12 307200 c:\windows\system32\hkcmd.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
    --a------ 2008-12-14 14:12 307200 c:\windows\system32\igfxtray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDVD8LanguageShortcut]
    --------- 2007-12-14 11:36 50472 c:\program files\CyberLink\PowerDVD8\Language\Language.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
    --a------ 2008-12-14 14:12 278528 c:\windows\system32\igfxpers.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Premium Clock]
    --a------ 2008-12-14 14:12 1331200 c:\program files\Premium Clock\Premium.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RegRun WinBait]
    --a------ 2008-12-14 14:12 93184 c:\windows\WinBait.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Regrun2]
    --------- 2008-07-18 13:57 369152 c:\progra~1\Greatis\REGRUN~1\watchdog.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl8]
    --a------ 2008-03-20 20:23 83240 c:\program files\CyberLink\PowerDVD8\PDVD8Serv.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Styler]
    --a------ 2006-05-03 10:48 319488 c:\program files\Styler\Styler.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
    --a------ 2008-03-25 03:28 144784 c:\program files\Java\jre1.6.0_06\bin\jusched.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TransBar]
    --a------ 2004-08-28 14:00 150528 c:\windows\system32\transbar.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UberIcon]
    --a------ 2006-07-17 22:16 135168 c:\program files\UberIcon\UberIcon Manager.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UVS10 Preload]
    --a------ 2008-12-14 14:12 212992 c:\program files\Ulead Systems\Ulead VideoStudio 10\uvPL.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Vistadrv]
    --a------ 2006-07-30 02:37 121089 c:\windows\system32\Vistadrive\vsdrv.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VisualTaskTips]
    --a------ 2004-08-28 14:00 48128 c:\windows\system32\VisualTaskTips.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WIAWizardMenu]
    --a------ 2004-08-28 14:00 678912 c:\windows\system32\sti_ci.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
    --a------ 2005-05-03 17:43 81920 c:\windows\Alcmtr.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcWzrd]
    --a------ 2006-05-04 15:26 2887680 c:\windows\alcwzrd.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
    --a------ 2006-07-21 15:14 98304 c:\windows\SoundMan.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusDisableNotify"=dword:00000001
    "AntiVirusOverride"=dword:00000001
    "FirewallOverride"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
    "c:\\Program Files\\CyberLink\\PowerDVD8\\PowerDVD8.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

    R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-09-15 28544]
    R0 Si3124;Si3124;c:\windows\system32\drivers\Si3124.sys [2004-08-28 76208]
    R0 Si3132r5;Si3132r5;c:\windows\system32\drivers\Si3132r5.sys [2004-08-28 208688]
    R0 Si3531;Si3531;c:\windows\system32\drivers\Si3531.sys [2004-08-28 210224]
    R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-12-15 111184]
    R2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};\??\c:\program files\CyberLink\PowerDVD8\000.fcl [2008-06-27 16:50:32 61424]
    R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-12-15 20560]
    R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\DRIVERS\klfltdev.sys [2008-03-13 26640]
    R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\DRIVERS\klim5.sys [2008-04-30 24592]
    R3 ovt530;Webcam Deluxe;c:\windows\system32\Drivers\ov530vid.sys [2008-10-14 161792]
    S3 maconfservice;Ma-Config Service;"c:\program files\ma-config.com\maconfservice.exe" [2008-09-02 430080]
    S3 Partizan;Partizan;c:\windows\system32\drivers\Partizan.sys [2008-09-16 30946]
    S3 RegGuard;RegGuard;\??\c:\windows\system32\Drivers\regguard.sys [2008-09-16 25773]
    S3 RTLWUSB;802.11g USB 2.0 Wireless LAN Adapter;c:\windows\system32\DRIVERS\RTL8187.sys [2008-06-12 187392]
    S3 SjyPkt;SjyPkt;\??\c:\windows\System32\Drivers\SjyPkt.sys [2008-06-12 13532]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0563231a-88e8-11dd-9453-000000000000}]
    \Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe uc.vbs

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{32bc2bad-8371-11dd-944c-000000000000}]
    \Shell\AutoRun\command - D:\start.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3d53a729-4046-11dd-bd0e-000000000000}]
    \Shell\AutoRun\command - E:\h3.bat
    \Shell\explore\Command - E:\h3.bat
    \Shell\open\Command - E:\h3.bat

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{58d3579f-395e-11dd-bcff-000000000000}]
    \Shell\AutoRun\command - K:\LaunchU3.exe -a

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e0468072-3bcf-11dd-bd05-000000000000}]
    \Shell\AutoRun\command - zPharaoh.exe
    \Shell\explore\command - zPharaoh.exe
    \Shell\open\command - zPharaoh.exe

    *Newly Created Service* - HELPSVC
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    Toolbar-SaveLinksOrder - (no file)
    Toolbar-Locked - (no file)
    Toolbar-ITBarLayout - (no file)
    Toolbar-ITBarLayout - (no file)
    Toolbar-ITBar7Layout - (no file)
    Toolbar-ITBar7Position - (no file)
    ShellExecuteHooks-{F552DDE6-2090-4bf4-B924-6141E87789A5} - (no file)
    MSConfigStartUp-PC Suite Tray - c:\program files\Nokia\Nokia PC Suite 6\PCSuite.exe
    MSConfigStartUp-Sidebar - c:\program files\Windows Sidebar\sidebar.exe


    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.daemon-search.com/default
    uDefault_Search_URL = hxxp://www.google.fr/keyword/%s
    mStart Page = hxxp://www.google.fr
    uSearchURL,(Default) = hxxp://www.google.fr/keyword/%s
    IE: Ajouter à Kaspersky Anti-Bannière - c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    FF - ProfilePath - c:\documents and settings\Abdelaziz\Application Data\Mozilla\Firefox\Profiles\7txl11d6.default\
    FF - prefs.js: browser.startup.homepage - hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:o fficial
    FF - prefs.js: network.proxy.type - 4
    FF - plugin: c:\documents and settings\Abdelaziz\Application Data\Mozilla\Firefox\Profiles\7txl11d6.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\plugins\nphardwaredetection.dll
    FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
    FF - plugin: c:\program files\Yahoo!\Common\npyaxmpb.dll
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-12-25 23:23:15
    Windows 5.1.2600 Service Pack 2 NTFS

    detected NTDLL code modification:
    ZwOpenFile

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]
    "ImagePath"="\??\c:\program files\CyberLink\PowerDVD8\000.fcl"
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(1892)
    c:\windows\system32\SETUPAPI.dll
    c:\windows\system32\sfc_os.dll

    - - - - - - - > 'lsass.exe'(1980)
    c:\windows\system32\SETUPAPI.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Alwil Software\Avast4\aswUpdSv.exe
    c:\program files\Alwil Software\Avast4\ashServ.exe
    c:\program files\CDBurnerXP\NMSAccessU.exe
    .
    **************************************************************************
    .
    Heure de fin: 2008-12-25 23:25:14 - La machine a redémarré
    ComboFix-quarantined-files.txt 2008-12-25 22:25:01

    Avant-CF: 456 798 208 octets libres
    Après-CF: 208,719,872 octets libres

    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

    290 --- E O F --- 2008-12-24 08:00:44









    Rapport Hijackthis :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 23:28, on 25/12/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Unable to get Internet Explorer version!
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\CDBurnerXP\NMSAccessU.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Pando Networks\Pando\Pando.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\Windows Live\Contacts\wlcomm.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    C:\Program Files\Alwil Software\Avast4\setup\avast.setup

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.fr/keyword/%s
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/default
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - (no file)
    O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Program Files\Windows Live\Messenger\wlchtc.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Program Files\styler\TB\StylerTB.dll
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Pando] "C:\Program Files\Pando Networks\Pando\Pando.exe" /Minimized
    O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
    O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
    O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\WINDOWS\system32\shdocvw.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/curre...
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: CiSvc - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
    O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
    O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

    --
    End of file - 5387 bytes


    Merci de votre aide.
    26 Décembre 2008 17:46:48

    bonsoir
    comme on le voit dans ce rapport, plusieurs fichiers systèmes sont patchés par l'infection:
    c:\windows\system32\userinit.exe . . . est infecté!!

    c:\windows\system32\spoolsv.exe . . . est infecté!!

    c:\windows\explorer.exe . . . est infecté!!


    pas d'autre solution que de formater puis de t'acheter une version légale de xp.
    Là, si on y touche, le risque de crash du pc est presque certain.
    26 Décembre 2008 18:52:03

    Salut je te présente ma méthode à moi, pure et simple : un bon formatage du disque dur et c'est reparti :) 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS