Votre question

dangerous spyware et écran noir

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
17 Décembre 2008 15:19:02

Bonjour,

je crois que mon ordi vient d'être infecté par un virus... j'ai besoin d'aide svp.
Le message suivant s'affiche:
"WARNING
Dangerous Spyware.
Many viruses were found on your computer such as Trojan horse, Passcapture, etc. Your personal Information can fall into in the "third hands".
Please check up the computer with a special software.
Thank"
et mon fon d'écran est tout noir.
Je suis vraiment nulle en info, j'ai donc éteint direct le PC et j'envoie ce message d'un autre PC. J'ai vu sur le forum que d'autres personnes ont eu le même pbl mais ils ont tous fait déjà des manips avant d'écrire. Je ne sais pas du tout par où commencer.
Si qqn pouvait m'aider...
Merci d'avance.

Autres pages sur : dangerous spyware ecran noir

17 Décembre 2008 16:20:44

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:18:39, on 17/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\svchost.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\frmwrk32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Creative\Shared Files\CamTray.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Documents and Settings\Benjamin\Application Data\gadcom\gadcom.exe
C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: PBFRV2 - {4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} - C:\WINDOWS\system32\pbfrv2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe
O4 - HKLM\..\Run: [740bd967] rundll32.exe "C:\WINDOWS\system32\tfodojoe.dll",b
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [Creative WebCam Tray] "C:\Program Files\Creative\Shared Files\CamTray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [gadcom] "C:\Documents and Settings\Benjamin\Application Data\gadcom\gadcom.exe" 61A847B5BBF72810339E3F466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: LG SyncManager.lnk = C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\docume~1\benjamin\locals~1\temp\ntdll64.dll
O10 - Unknown file in Winsock LSP: c:\docume~1\benjamin\locals~1\temp\ntdll64.dll
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game11.zylom.com/activex/zylomgamesplayer.cab
O20 - AppInit_DLLs: buwtyk.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

--
End of file - 11659 bytes
Contenus similaires
18 Décembre 2008 17:31:34

Re,

[#ff0000]! Désactive tes protections résidentes (antivirus, Spybot-S&D, etc.) ![/#f]

  • Télécharge ComboFix ([#ff0000]sUBs[/#f]) sur ton Bureau.
  • Double clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
  • Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\combofix.txt*) dans ta prochaine réponse.

    AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
    * le nom de la partition peut changer
    19 Décembre 2008 12:10:00

    Bonjour,

    tout d'abord merci pour votre réponse.
    J'ai effectué les manips que vous m'avez proposé. J'ai l'impression qu'il y a eu de la progression car je n'ai plus le message "Warning dangerous spywaree etc..." qui s'affiche et mon fond d'écran n'est plus noir mais gris...
    Cependant je ne peux pas vous envoyer le rapport car ma connexion internet ne fonctionne plus. J'ai lu sur le tutoriel que vous m'avez envoyé que ça pouvait arriver. J'ai donc redemarrer mon PC mais rien. J'ai essayé de réparer ma connexion comme l'expliquait votre tutoriel mais ça ne marche toujours pas... Je n'y comprend pas grand chose en anglais pour aller sur les forums proposés dans votre tutoriel.
    De plus, j'ai un message qui s'affiche svt:
    "Proxy de messagerie Symantec
    le proxy de messagerie symantec ne peut analyser vos messages parce que votre réseau n'est pas correctement configuré." c'est sans doute lié...

    Je vous envoie ce message d'un autre PC.
    Merci d'avance pour votre réponse.
    19 Décembre 2008 17:57:15

    Tu peux transférer le rapport ? (via un autre pc)
    19 Décembre 2008 18:03:02

    le voici:
    ComboFix 08-12-18.01 - Benjamin 2008-12-19 9:44:21.1 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1014.556 [GMT 1:00]
    Lancé depuis: c:\documents and settings\Benjamin\Bureau\ComboFix.exe
    * Un nouveau point de restauration a été créé
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\docume~1\Benjamin\LOCALS~1\Temp\tmp1.tmp
    c:\docume~1\Benjamin\LOCALS~1\Temp\tmp2.tmp
    c:\documents and settings\Benjamin\Application Data\gadcom
    c:\documents and settings\Benjamin\Application Data\gadcom\gadcom.exe
    c:\documents and settings\Benjamin\Local Settings\Temporary Internet Files\fbk.sts
    c:\program files\Dynamic Toolbar
    c:\program files\Dynamic Toolbar\batch.bat
    c:\program files\Dynamic Toolbar\Cache\go.bmp
    c:\program files\Dynamic Toolbar\Cache\home.bmp
    c:\program files\Dynamic Toolbar\Cache\logo_pb.bmp
    c:\program files\Dynamic Toolbar\Cache\parent_off.bmp
    c:\program files\Dynamic Toolbar\Cache\parent_on.bmp
    c:\program files\Dynamic Toolbar\Cache\pbfrv2tb0200.cfg
    c:\program files\Dynamic Toolbar\Cache\popup_off.bmp
    c:\program files\Dynamic Toolbar\Cache\popup_on.bmp
    c:\program files\Dynamic Toolbar\Cache\search.bmp
    c:\program files\Dynamic Toolbar\Cache\services.bmp
    c:\program files\Dynamic Toolbar\Cache\skin.bmp
    c:\program files\Dynamic Toolbar\Cache\skin1.bmp
    c:\program files\Dynamic Toolbar\Cache\skin2.bmp
    c:\program files\Dynamic Toolbar\Cache\skin3.bmp
    c:\program files\Dynamic Toolbar\Cache\skin4.bmp
    c:\program files\Dynamic Toolbar\Cache\skin5.bmp
    c:\program files\Dynamic Toolbar\Cache\store.bmp
    c:\program files\Dynamic Toolbar\Cache\style.css
    c:\program files\Dynamic Toolbar\Cache\support.bmp
    c:\program files\Dynamic Toolbar\Cache\ticker.xml
    c:\program files\Dynamic Toolbar\PBFRV2\Cache\go.bmp
    c:\program files\Dynamic Toolbar\PBFRV2\Cache\home.bmp
    c:\program files\Dynamic Toolbar\PBFRV2\Cache\logo_pb.bmp
    c:\program files\Dynamic Toolbar\PBFRV2\Cache\parent_off.bmp
    c:\program files\Dynamic Toolbar\PBFRV2\Cache\parent_on.bmp
    c:\program files\Dynamic Toolbar\PBFRV2\Cache\pbfrv2tb0200.cfg
    c:\program files\Dynamic Toolbar\PBFRV2\Cache\popup_off.bmp
    c:\program files\Dynamic Toolbar\PBFRV2\Cache\popup_on.bmp
    c:\program files\Dynamic Toolbar\PBFRV2\Cache\search.bmp
    c:\program files\Dynamic Toolbar\PBFRV2\Cache\services.bmp
    c:\program files\Dynamic Toolbar\PBFRV2\Cache\skin.bmp
    c:\program files\Dynamic Toolbar\PBFRV2\Cache\skin1.bmp
    c:\program files\Dynamic Toolbar\PBFRV2\Cache\skin2.bmp
    c:\program files\Dynamic Toolbar\PBFRV2\Cache\skin3.bmp
    c:\program files\Dynamic Toolbar\PBFRV2\Cache\skin4.bmp
    c:\program files\Dynamic Toolbar\PBFRV2\Cache\skin5.bmp
    c:\program files\Dynamic Toolbar\PBFRV2\Cache\store.bmp
    c:\program files\Dynamic Toolbar\PBFRV2\Cache\style.css
    c:\program files\Dynamic Toolbar\PBFRV2\Cache\support.bmp
    c:\program files\Dynamic Toolbar\PBFRV2\Cache\ticker.xml
    c:\program files\Dynamic Toolbar\unins000.dat
    c:\program files\Dynamic Toolbar\unins000.exe
    c:\program files\instant access
    c:\program files\instant access\Center\Sevenline.lnk
    c:\program files\instant access\DesktopIcons\Sevenline.lnk
    c:\program files\instant access\Multi\20061223191231\Common\module.php
    c:\program files\instant access\Multi\20061223191231\dialerexe.ini
    c:\program files\instant access\Multi\20061223191231\instant access.exe
    c:\program files\instant access\Multi\20061223191231\js\js_api_dialer.php
    c:\program files\instant access\Multi\20061223191231\medias\4239_dialer.ico
    c:\program files\instant access\Multi\20061223191231\medias\button1.gif
    c:\program files\instant access\Multi\20061223191231\medias\button2.gif
    c:\program files\instant access\Multi\20061223191231\medias\button3.gif
    c:\program files\instant access\Multi\20061223191231\medias\button4.gif
    c:\windows\dialerexe.ini
    c:\windows\system32\404Fix.exe
    c:\windows\system32\ahtn.htm
    c:\windows\system32\akuxfjeq.dll
    c:\windows\system32\buwtyk.dll
    c:\windows\system32\dumphive.exe
    c:\windows\system32\eojodoft.ini
    c:\windows\system32\frmwrk32.exe
    c:\windows\system32\IEDFix.C.exe
    c:\windows\system32\IEDFix.exe
    c:\windows\system32\jgkklw.dll
    c:\windows\system32\nnnoOiHW.dll
    c:\windows\system32\ntdll64.exe
    c:\windows\system32\o4Patch.exe
    c:\windows\system32\Process.exe
    c:\windows\system32\prosvsys.exe
    c:\windows\system32\qoMcdEur.dll
    c:\windows\system32\SrchSTS.exe
    c:\windows\system32\test.ttt
    c:\windows\system32\tfodojoe.dll
    c:\windows\system32\tmp.reg
    c:\windows\system32\uniq.tll
    c:\windows\system32\VACFix.exe
    c:\windows\system32\VCCLSID.exe
    c:\windows\system32\warning.gif
    c:\windows\system32\WHiOonnn.ini
    c:\windows\system32\WHiOonnn.ini2
    c:\windows\system32\win32hlp.cnf
    c:\windows\system32\WS2Fix.exe
    c:\windows\system32\ylywmmuh.dll
    c:\windows\Tasks\iklgwyss.job

    c:\windows\system32\userinit.exe . . . est infecté!!

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-19 au 2008-12-19 ))))))))))))))))))))))))))))))))))))
    .

    2008-12-17 16:17 . 2008-12-17 16:17 <REP> d-------- c:\program files\Trend Micro
    2008-12-17 15:38 . 2008-12-12 00:57 78,336 --a------ c:\windows\system32\Agent.OMZ.Fix.exe
    2008-12-17 11:50 . 2008-12-17 11:50 111,616 --a------ c:\windows\system32\dllcache\userinit.exe
    2008-12-17 11:50 . 2008-12-17 11:50 70,144 --a------ c:\windows\system32\tuvVPgGX.dll

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-12-17 10:35 --------- d-----w c:\program files\eMule
    2008-12-15 20:16 --------- d-----w c:\program files\Everest Poker
    2008-11-19 20:08 --------- d-----w c:\program files\WinamaxPoker
    2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
    .

    ------- Sigcheck -------

    2008-04-14 03:34 26624 e74ddb12188c2ff57a78624dbf7332fc c:\windows\SoftwareDistribution\Download\23ec66f2314a80d718b5483ab6e865af\userinit.exe
    2008-12-17 11:50 111616 ac0a9ad1ff7bde4e3523d27365135299 c:\windows\system32\userinit.exe
    2008-12-17 11:50 111616 ac0a9ad1ff7bde4e3523d27365135299 c:\windows\system32\dllcache\userinit.exe
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Creative WebCam Tray"="c:\program files\Creative\Shared Files\CamTray.exe" [2005-03-29 258048]
    "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-25 68856]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
    "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
    "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
    "igfxtray"="c:\windows\system32\igfxtray.exe" [2005-11-03 98304]
    "igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-03 77824]
    "igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-03 118784]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-06-20 729178]
    "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
    "PCMService"="c:\apps\Powercinema\PCMService.exe" [2005-05-11 127118]
    "ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2005-08-04 58992]
    "Symantec NetDriver Monitor"="c:\progra~1\SYMNET~1\SNDMon.exe" [2006-07-28 100056]
    "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-04-10 180269]
    "HP Software Update"="c:\program files\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2003-06-25 49152]
    "HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-07-28 188416]
    "DeviceDiscovery"="c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [2003-05-21 229437]
    "WorksFUD"="c:\program files\Microsoft Works\wkfud.exe" [2001-10-09 24576]
    "Microsoft Works Portfolio"="c:\program files\Microsoft Works\WksSb.exe" [2001-10-05 331830]
    "Microsoft Works Update Detection"="c:\program files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [2001-10-05 28738]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-04-10 98304]
    "Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HdAShCut.exe]
    "RTHDCPL"="RTHDCPL.EXE" [2005-05-25 c:\windows\RTHDCPL.EXE]
    "AGRSMMSG"="AGRSMMSG.exe" [2004-10-08 c:\windows\AGRSMMSG.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    LG SyncManager.lnk - c:\program files\LG PC Suite\LG PC Sync\LGSyncManager.exe [2007-03-27 299008]
    Rappels du Calendrier Microsoft Works.lnk - c:\program files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe [2001-10-05 24633]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=jgkklw.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "vidc.3iv2"= 3ivxVfWCodec.dll
    "msacm.divxa32"= divxa32.acm
    "VIDC.HFYU"= huffyuv.dll
    "VIDC.VP31"= vp31vfw.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusDisableNotify"=dword:00000001
    "FirewallDisableNotify"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%ProgramFiles%\\AOL 9.0\\aol.exe"=
    "%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\logo_ubi.exe"=
    "%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\pandora.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\APPS\\Inventime\\my.exe"=
    "c:\\APPS\\Powercinema\\PowerCinema.exe"=
    "c:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDial.exe"=
    "c:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLacsd.exe"=
    "c:\\APPS\\skype\\phone\\Skype.exe"=
    "c:\\Program Files\\AOL 9.0\\waol.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=

    S3 P1171VID;Creative WebCam Notebook #2;c:\windows\system32\DRIVERS\P1171Vid.sys [2006-11-19 91392]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f0c55210-b63a-11dc-a262-00038a000015}]
    \Shell\AutoRun\command - E:\VMC_PBStarter.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f0c55211-b63a-11dc-a262-00038a000015}]
    \Shell\AutoRun\command - E:\VMC_PBStarter.exe
    .
    Contenu du dossier 'Tâches planifiées'

    2006-05-11 c:\windows\Tasks\Rappel d'enregistrement 1.job
    - c:\windows\system32\OOBE\oobebaln.exe [2004-08-05 13:00]

    2006-05-11 c:\windows\Tasks\Rappel d'enregistrement 2.job
    - c:\windows\system32\OOBE\oobebaln.exe [2004-08-05 13:00]

    2006-05-11 c:\windows\Tasks\Rappel d'enregistrement 3.job
    - c:\windows\system32\OOBE\oobebaln.exe [2004-08-05 13:00]

    2008-12-17 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
    - c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    BHO-{2e4fba5d-944f-44f1-8b0e-991bd81e2033} - c:\windows\system32\jgkklw.dll
    BHO-{DEB89BDD-1DC7-4251-AE1A-00FD33F7841F} - c:\windows\system32\nnnoOiHW.dll
    HKCU-Run-MoneyAgent - c:\program files\Microsoft Money\System\Money Express.exe


    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    uInternet Connection Wizard,ShellNext = hxxp://www.google.fr/
    uSearchURL,(Default) = hxxp://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
    IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
    IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    LSP: c:\docume~1\Benjamin\LOCALS~1\Temp\ntdll64.dll

    c:\windows\Downloaded Program Files\zylomgamesplayer.dll - O16 -: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B}
    hxxp://game11.zylom.com/activex/zylomgamesplayer.cab
    c:\windows\Downloaded Program Files\ZylomGamesPlayer.inf
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-12-19 09:50:14
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySqlInventime]
    "ImagePath"="c:\mysql\bin\mysqld-max-nt MySqlInventime"
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Fichiers communs\Symantec Shared\CCSETMGR.EXE
    c:\program files\Norton Internet Security\ISSVC.exe
    c:\program files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    c:\program files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
    c:\program files\Fichiers communs\Symantec Shared\CCEVTMGR.EXE
    c:\progra~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    c:\apps\Powercinema\Kernel\TV\CLCapSvc.exe
    c:\program files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
    c:\apps\HIDSERVICE\HidService.exe
    c:\program files\Norton Internet Security\Norton AntiVirus\NAVAPSVC.EXE
    c:\apps\Powercinema\Kernel\TV\CLSched.exe
    c:\program files\Messenger\msmsgs.exe
    c:\windows\system32\msiexec.exe
    .
    **************************************************************************
    .
    Heure de fin: 2008-12-19 9:54:38 - La machine a redémarré
    ComboFix-quarantined-files.txt 2008-12-19 08:54:27

    Avant-CF: 2 071 556 096 octets libres
    Après-CF: 2,183,204,864 octets libres

    254 --- E O F --- 2008-12-12 23:29:00
    19 Décembre 2008 19:30:14

    Relance CF pour voir si ta connexion revient.
    20 Décembre 2008 10:26:33

    Bonjour,

    j'ai relancé CF et ma connexion est revenue ouf et merci.
    Je vou poste le nouveau rapport:
    ComboFix 08-12-18.01 - Benjamin 2008-12-20 10:14:48.2 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1014.643 [GMT 1:00]
    Lancé depuis: c:\documents and settings\Benjamin\Bureau\ComboFix.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\system32\userinit.exe . . . est infecté!!

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-20 au 2008-12-20 ))))))))))))))))))))))))))))))))))))
    .

    2008-12-17 16:17 . 2008-12-17 16:17 <REP> d-------- c:\program files\Trend Micro
    2008-12-17 15:38 . 2008-12-12 00:57 78,336 --a------ c:\windows\system32\Agent.OMZ.Fix.exe
    2008-12-17 11:50 . 2008-12-17 11:50 111,616 --a------ c:\windows\system32\dllcache\userinit.exe
    2008-12-17 11:50 . 2008-12-17 11:50 70,144 --a------ c:\windows\system32\tuvVPgGX.dll

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-12-17 10:50 111,616 ----a-w c:\windows\system32\userinit.exe
    2008-12-17 10:35 --------- d-----w c:\program files\eMule
    2008-12-15 20:16 --------- d-----w c:\program files\Everest Poker
    2008-11-19 20:08 --------- d-----w c:\program files\WinamaxPoker
    2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
    2008-10-24 11:10 453,632 ------w c:\windows\system32\dllcache\mrxsmb.sys
    2008-10-23 13:00 283,648 ----a-w c:\windows\system32\gdi32.dll
    2008-10-23 13:00 283,648 ------w c:\windows\system32\dllcache\gdi32.dll
    2008-10-17 00:48 3,593,216 ----a-w c:\windows\system32\dllcache\mshtml.dll
    2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
    2008-10-16 13:13 202,776 ----a-w c:\windows\system32\dllcache\wuweb.dll
    2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
    2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\dllcache\wuaueng.dll
    2008-10-16 13:12 70,656 ------w c:\windows\system32\dllcache\ie4uinit.exe
    2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
    2008-10-16 13:12 561,688 ----a-w c:\windows\system32\dllcache\wuapi.dll
    2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
    2008-10-16 13:12 323,608 ----a-w c:\windows\system32\dllcache\wucltui.dll
    2008-10-16 13:11 13,824 ------w c:\windows\system32\dllcache\ieudinit.exe
    2008-10-16 13:09 92,696 ----a-w c:\windows\system32\dllcache\cdm.dll
    2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
    2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
    2008-10-16 13:09 51,224 ----a-w c:\windows\system32\dllcache\wuauclt.exe
    2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
    2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
    2008-10-16 13:08 34,328 ----a-w c:\windows\system32\dllcache\wups.dll
    2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
    2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
    2008-10-15 16:59 332,800 ------w c:\windows\system32\dllcache\netapi32.dll
    2008-10-15 07:06 633,632 ------w c:\windows\system32\dllcache\iexplore.exe
    2008-10-15 07:04 161,792 ----a-w c:\windows\system32\dllcache\ieakui.dll
    2008-10-03 10:17 247,326 ----a-w c:\windows\system32\strmdll.dll
    2008-10-03 10:17 247,326 ----a-w c:\windows\system32\dllcache\strmdll.dll
    2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Creative WebCam Tray"="c:\program files\Creative\Shared Files\CamTray.exe" [2005-03-29 258048]
    "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-25 68856]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
    "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
    "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
    "igfxtray"="c:\windows\system32\igfxtray.exe" [2005-11-03 98304]
    "igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-03 77824]
    "igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-03 118784]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-06-20 729178]
    "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
    "PCMService"="c:\apps\Powercinema\PCMService.exe" [2005-05-11 127118]
    "ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2005-08-04 58992]
    "Symantec NetDriver Monitor"="c:\progra~1\SYMNET~1\SNDMon.exe" [2006-07-28 100056]
    "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-04-10 180269]
    "HP Software Update"="c:\program files\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2003-06-25 49152]
    "HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-07-28 188416]
    "DeviceDiscovery"="c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [2003-05-21 229437]
    "WorksFUD"="c:\program files\Microsoft Works\wkfud.exe" [2001-10-09 24576]
    "Microsoft Works Portfolio"="c:\program files\Microsoft Works\WksSb.exe" [2001-10-05 331830]
    "Microsoft Works Update Detection"="c:\program files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [2001-10-05 28738]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-04-10 98304]
    "Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HdAShCut.exe]
    "RTHDCPL"="RTHDCPL.EXE" [2005-05-25 c:\windows\RTHDCPL.EXE]
    "AGRSMMSG"="AGRSMMSG.exe" [2004-10-08 c:\windows\AGRSMMSG.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    LG SyncManager.lnk - c:\program files\LG PC Suite\LG PC Sync\LGSyncManager.exe [2007-03-27 299008]
    Rappels du Calendrier Microsoft Works.lnk - c:\program files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe [2001-10-05 24633]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=jgkklw.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "vidc.3iv2"= 3ivxVfWCodec.dll
    "msacm.divxa32"= divxa32.acm
    "VIDC.HFYU"= huffyuv.dll
    "VIDC.VP31"= vp31vfw.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusDisableNotify"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%ProgramFiles%\\AOL 9.0\\aol.exe"=
    "%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\logo_ubi.exe"=
    "%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\pandora.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\APPS\\Inventime\\my.exe"=
    "c:\\APPS\\Powercinema\\PowerCinema.exe"=
    "c:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDial.exe"=
    "c:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLacsd.exe"=
    "c:\\APPS\\skype\\phone\\Skype.exe"=
    "c:\\Program Files\\AOL 9.0\\waol.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=

    S3 P1171VID;Creative WebCam Notebook #2;c:\windows\system32\DRIVERS\P1171Vid.sys [2006-11-19 91392]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f0c55210-b63a-11dc-a262-00038a000015}]
    \Shell\AutoRun\command - E:\VMC_PBStarter.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f0c55211-b63a-11dc-a262-00038a000015}]
    \Shell\AutoRun\command - E:\VMC_PBStarter.exe
    .
    Contenu du dossier 'Tâches planifiées'

    2006-05-11 c:\windows\Tasks\Rappel d'enregistrement 1.job
    - c:\windows\system32\OOBE\oobebaln.exe [2004-08-05 13:00]

    2006-05-11 c:\windows\Tasks\Rappel d'enregistrement 2.job
    - c:\windows\system32\OOBE\oobebaln.exe [2004-08-05 13:00]

    2006-05-11 c:\windows\Tasks\Rappel d'enregistrement 3.job
    - c:\windows\system32\OOBE\oobebaln.exe [2004-08-05 13:00]

    2008-12-19 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
    - c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    uInternet Connection Wizard,ShellNext = hxxp://www.google.fr/
    uSearchURL,(Default) = hxxp://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
    IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
    IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

    c:\windows\Downloaded Program Files\zylomgamesplayer.dll - O16 -: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B}
    hxxp://game11.zylom.com/activex/zylomgamesplayer.cab
    c:\windows\Downloaded Program Files\ZylomGamesPlayer.inf
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-12-20 10:17:24
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MySqlInventime]
    "ImagePath"="c:\mysql\bin\mysqld-max-nt MySqlInventime"
    .
    Heure de fin: 2008-12-20 10:18:30
    ComboFix-quarantined-files.txt 2008-12-20 09:18:01
    ComboFix2.txt 2008-12-19 08:54:40

    Avant-CF: 2 200 678 400 octets libres
    Après-CF: 2,184,396,800 octets libres

    163 --- E O F --- 2008-12-12 23:29:00

    Est-ce que tout est réparé maintenant ou dois-je encore faire des manips? mon fond d'écran est toujours gris... suffit-il que je remette le mien?
    Merci en tout cas.
    20 Décembre 2008 14:21:15

    On verra ça à la fin ;) 
    Analyse le fichier suivant sur VirusTotal puis poste le rapport.
    20 Décembre 2008 16:38:14

    Merci pour votre réponse mais malheureusement je ne comprends pas...
    quel fichier dois-je analyser? de plus je ne sais pas utiliser Virustotal... désolée

    21 Décembre 2008 12:47:44

    J'ai oublié de te donner le fichier aussi :D 

    Tu vas sur ce site :
    http://www.virustotal.com/fr/
    Tu cliques sur Parcourir et tu ouvres :
    c:\windows\system32\userinit.exe
    21 Décembre 2008 13:18:57

    Bonjour,

    j'ai fait la manip que vous m'avez indiqué. Merci.
    Je vous poste le rapport:


    Fichier userinit.exe reçu le 2008.12.21 13:10:40 (CET)
    Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


    Résultat: 14/38 (36.85%)
    en train de charger les informations du serveur...
    Votre fichier est dans la file d'attente, en position: ___.
    L'heure estimée de démarrage est entre ___ et ___ .
    Ne fermez pas la fenêtre avant la fin de l'analyse.
    L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
    Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
    Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
    les résultats seront affichés au fur et à mesure de leur génération.
    Formaté Impression des résultats
    Votre fichier a expiré ou n'existe pas.
    Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

    Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
    Email:


    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.12.19.3 2008.12.20 -
    AntiVir 7.9.0.45 2008.12.19 TR/Dropper.Gen
    Authentium 5.1.0.4 2008.12.21 -
    Avast 4.8.1281.0 2008.12.20 Win32:Crypt-DGC
    AVG 8.0.0.199 2008.12.20 Downloader.Zlob
    BitDefender 7.2 2008.12.21 -
    CAT-QuickHeal 10.00 2008.12.20 (Suspicious) - DNAScan
    ClamAV 0.94.1 2008.12.20 -
    Comodo 783 2008.12.20 -
    DrWeb 4.44.0.09170 2008.12.21 -
    eSafe 7.0.17.0 2008.12.18 Suspicious File
    eTrust-Vet 31.6.6271 2008.12.20 -
    Ewido 4.0 2008.12.21 -
    F-Prot 4.4.4.56 2008.12.21 -
    F-Secure 8.0.14332.0 2008.12.21 -
    Fortinet 3.117.0.0 2008.12.21 -
    GData 19 2008.12.21 Win32:Crypt-DGC
    Ikarus T3.1.1.45.0 2008.12.21 -
    K7AntiVirus 7.10.560 2008.12.20 -
    Kaspersky 7.0.0.125 2008.12.21 -
    McAfee 5470 2008.12.20 Generic.dx
    McAfee+Artemis 5470 2008.12.20 Generic.dx
    Microsoft 1.4205 2008.12.21 Trojan:Win32/Fakeinit
    NOD32 3709 2008.12.20 Win32/FakeInit.A
    Norman 5.80.02 2008.12.19 -
    Panda 9.0.0.4 2008.12.21 Generic Trojan
    PCTools 4.4.2.0 2008.12.21 -
    Prevx1 V2 2008.12.21 Malware Downloader
    Rising 21.08.62.00 2008.12.21 -
    SecureWeb-Gateway 6.7.6 2008.12.19 Trojan.Dropper.Gen
    Sophos 4.37.0 2008.12.21 Mal/TibsPak
    Sunbelt 3.2.1801.2 2008.12.10 -
    Symantec 10 2008.12.21 -
    TheHacker 6.3.1.4.195 2008.12.20 -
    TrendMicro 8.700.0.1004 2008.12.19 -
    VBA32 3.12.8.10 2008.12.20 -
    ViRobot 2008.12.20.1528 2008.12.21 -
    VirusBuster 4.5.11.0 2008.12.20 -
    Information additionnelle
    File size: 111616 bytes
    MD5...: ac0a9ad1ff7bde4e3523d27365135299
    SHA1..: 9079327ef47882d2b9ccee12ae50c72ffb650d3e
    SHA256: 76793768c75149a44cc94f1827be5765b4755bed38a66e51bf3cf0e064b81be6
    SHA512: 30d16822281fe01cb8ec9281d074b2f1e27a68b22edb93bc2b4693bf54df8293
    f7e319cdea3b2143e79858ace0c38557eec63e2e7c4a42845b25e6b5a344eaf5

    ssdeep: 1536:T5ZH+0Wgvmxg02uUjIgvn7tC2t0HOQSXK9zrG6ACxbVUja5QsWE6vK9cg0/
    54scs:D tWcmW02s2mSa9zyvahUjjK0eV9M5QQ

    PEiD..: -
    TrID..: File type identification
    Win32 Dynamic Link Library (generic) (55.5%)
    Clipper DOS Executable (14.7%)
    Generic Win/DOS Executable (14.6%)
    DOS Executable Generic (14.6%)
    VXD Driver (0.2%)
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x4025f5
    timedatestamp.....: 0x4948c76f (Wed Dec 17 09:33:35 2008)
    machinetype.......: 0x14c (I386)

    ( 3 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0x260f 0x1800 7.97 afa5d6d52a3751bbebb455aaff28d6ec
    .rdata 0x4000 0xfcf 0x800 7.90 ee89d16b03629688300096a51ae59ba7
    .data 0x5000 0x6b000 0x19000 7.94 cd740c5dad54ad3926206eb9044be598

    ( 1 imports )
    > kernel32.dll: GetCurrentThread, GetModuleFileNameA, GetThreadLocale, IsBadReadPtr, LocalHandle

    ( 0 exports )

    Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=5C020AC4...' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=5C020AC4...;/a>
    CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD...' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD...;/a>


    21 Décembre 2008 17:16:52

    Analyse ce fichier maintenant :
    c:\windows\SoftwareDistribution\Download\23ec66f2314a80d718b5483ab6e865af\userinit.exe
    Après on attaque :o 
    21 Décembre 2008 19:12:00

    j'ai analysé le fichier que vous m'avez demandé.
    Voici le rapport:

    Fichier userinit.exe reçu le 2008.12.21 19:08:28 (CET)
    Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


    Résultat: 0/38 (0%)
    en train de charger les informations du serveur...
    Votre fichier est dans la file d'attente, en position: 2.
    L'heure estimée de démarrage est entre 46 et 66 secondes.
    Ne fermez pas la fenêtre avant la fin de l'analyse.
    L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
    Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
    Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
    les résultats seront affichés au fur et à mesure de leur génération.
    Formaté Impression des résultats
    Votre fichier a expiré ou n'existe pas.
    Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

    Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
    Email:


    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.12.19.3 2008.12.21 -
    AntiVir 7.9.0.45 2008.12.19 -
    Authentium 5.1.0.4 2008.12.21 -
    Avast 4.8.1281.0 2008.12.21 -
    AVG 8.0.0.199 2008.12.21 -
    BitDefender 7.2 2008.12.21 -
    CAT-QuickHeal 10.00 2008.12.20 -
    ClamAV 0.94.1 2008.12.20 -
    Comodo 793 2008.12.21 -
    DrWeb 4.44.0.09170 2008.12.21 -
    eSafe 7.0.17.0 2008.12.21 -
    eTrust-Vet 31.6.6271 2008.12.20 -
    Ewido 4.0 2008.12.21 -
    F-Prot 4.4.4.56 2008.12.21 -
    F-Secure 8.0.14332.0 2008.12.21 -
    Fortinet 3.117.0.0 2008.12.21 -
    GData 19 2008.12.21 -
    Ikarus T3.1.1.45.0 2008.12.21 -
    K7AntiVirus 7.10.560 2008.12.20 -
    Kaspersky 7.0.0.125 2008.12.21 -
    McAfee 5471 2008.12.21 -
    McAfee+Artemis 5471 2008.12.21 -
    Microsoft 1.4205 2008.12.21 -
    NOD32 3709 2008.12.20 -
    Norman 5.80.02 2008.12.19 -
    Panda 9.0.0.4 2008.12.21 -
    PCTools 4.4.2.0 2008.12.21 -
    Prevx1 V2 2008.12.21 -
    Rising 21.08.62.00 2008.12.21 -
    SecureWeb-Gateway 6.7.6 2008.12.19 -
    Sophos 4.37.0 2008.12.21 -
    Sunbelt 3.2.1801.2 2008.12.10 -
    Symantec 10 2008.12.21 -
    TheHacker 6.3.1.4.195 2008.12.20 -
    TrendMicro 8.700.0.1004 2008.12.19 -
    VBA32 3.12.8.10 2008.12.21 -
    ViRobot 2008.12.20.1528 2008.12.21 -
    VirusBuster 4.5.11.0 2008.12.21 -
    Information additionnelle
    File size: 26624 bytes
    MD5...: e74ddb12188c2ff57a78624dbf7332fc
    SHA1..: 37514e0296ac819c1f5b304bd9087ef52c12a652
    SHA256: 22362cab11561d7bbae99bff4a8811fa33920b48f2027e736e1bdccb9b617cbd
    SHA512: eefafc350d5e6f0c3ef6e3a7c063a99a26c293470a797f37be3e3c047e6ae220
    fe7638b8fbe0debefbb8c75f6389da2eb7f8a7de2d2397f2809f4b0c169fad85

    ssdeep: 768:RioJi8jDLIDSAaQFxfftjaLacmkLGKyGo:R/JbDMDSA7FxffJaLaSLGxGo

    PEiD..: -
    TrID..: File type identification
    Win32 Executable MS Visual C++ (generic) (65.2%)
    Win32 Executable Generic (14.7%)
    Win32 Dynamic Link Library (generic) (13.1%)
    Generic Win/DOS Executable (3.4%)
    DOS Executable Generic (3.4%)
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x10054ad
    timedatestamp.....: 0x480251a8 (Sun Apr 13 18:32:08 2008)
    machinetype.......: 0x14c (I386)

    ( 3 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0x520e 0x5400 5.95 ff337745ae690578fb9ef2b2b041b87b
    .data 0x7000 0x14c 0x200 1.86 0bb948f267e82975313a03d8c0e8a1cf
    .rsrc 0x8000 0xd64 0xe00 3.64 73a99b08ab227beece0410fedc594efd

    ( 9 imports )
    > USER32.dll: CreateWindowExW, DestroyWindow, RegisterClassExW, DefWindowProcW, LoadRemoteFonts, wsprintfW, GetSystemMetrics, GetKeyboardLayout, SystemParametersInfoW, GetDesktopWindow, LoadStringW, MessageBoxW, ExitWindowsEx, CharNextW
    > ADVAPI32.dll: RegOpenKeyExA, ReportEventW, RegisterEventSourceW, DeregisterEventSource, OpenProcessToken, RegCreateKeyExW, RegSetValueExW, GetUserNameW, RegQueryValueExW, RegOpenKeyExW, RegQueryInfoKeyW, RegCloseKey, RegQueryValueExA
    > CRYPT32.dll: CryptProtectData
    > WINSPOOL.DRV: SpoolerInit
    > ntdll.dll: RtlLengthSid, RtlCopySid, _itow, RtlFreeUnicodeString, DbgPrint, wcslen, wcscpy, wcscat, wcscmp, RtlInitUnicodeString, NtOpenKey, NtClose, _wcsicmp, memmove, RtlConvertSidToUnicodeString, NtQueryInformationToken
    > NETAPI32.dll: DsGetDcNameW, NetApiBufferFree
    > WLDAP32.dll: -, -, -, -, -, -
    > msvcrt.dll: __setusermatherr, _initterm, __getmainargs, _acmdln, _adjust_fdiv, _XcptFilter, _exit, _c_exit, __p__commode, __p__fmode, __set_app_type, _except_handler3, _controlfp, _cexit, exit
    > KERNEL32.dll: CompareFileTime, LoadLibraryW, GetProcAddress, FreeLibrary, lstrcpyW, CreateProcessW, lstrlenW, GetVersionExW, LocalFree, LocalAlloc, GetEnvironmentVariableW, CloseHandle, lstrcatW, WaitForSingleObject, DelayLoadFailureHook, GetStartupInfoA, GetModuleHandleA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, LoadLibraryA, InterlockedCompareExchange, LocalReAlloc, GetSystemTime, lstrcmpW, GetCurrentThread, SetThreadPriority, ExpandEnvironmentStringsW, SearchPathW, GetLastError, CreateThread, GetFileAttributesExW, GetSystemDirectoryW, SetCurrentDirectoryW, FormatMessageW, lstrcmpiW, GetCurrentProcess, GetUserDefaultLangID, GetCurrentProcessId, SetEvent, OpenEventW, Sleep, SetEnvironmentVariableW

    ( 0 exports )

    ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=e74ddb12188...' target='_blank'>http://www.threatexpert.com/report.aspx?md5=e74ddb12188...;/a>
    22 Décembre 2008 12:57:15

    Re,

    [#ff0000]! Désactive tes protections résidentes (antivirus, Spybot-S&D, etc.) ![/#f]
    Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

    FCopy::
    c:\windows\SoftwareDistribution\Download\23ec66f2314a80d718b5483ab6e865af\userinit.exe | c:\windows\system32\userinit.exe


    Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précédemment copié.
    Sauvegarde ce fichier sous le nom de "CFScript.txt" [#ff0000](les guillemets sont importantes)[/#f].

    Glisse maintenant le fichier CFScript.txt dans ComboFix.exe comme dans l'image ci-dessous :


    Cela va relancer ComboFix. Après redémarrage, poste le contenu du rapport (C:\combofix.txt*) accompagné d'un rapport HijackThis.
    [#ff0000]NOTE : S'il n'y a pas de redémarrage, poste quand même les rapports demandés.[/#f]
    * le nom de la partition peut changer
    22 Décembre 2008 13:33:27

    Bonjour

    encore une fois merci pour votre aide.

    Voici le rapport ComboFix:
    ComboFix 08-12-18.01 - Benjamin 2008-12-22 13:23:30.3 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1014.603 [GMT 1:00]
    Lancé depuis: c:\documents and settings\Benjamin\Bureau\ComboFix.exe
    Commutateurs utilisés :: c:\documents and settings\Benjamin\Bureau\CFScript.txt
    * Un nouveau point de restauration a été créé
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\system32\win32hlp.cnf

    .
    --------------- FCopy ---------------

    c:\windows\SoftwareDistribution\Download\23ec66f2314a80d718b5483ab6e865af\userinit.exe --> c:\windows\system32\userinit.exe
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-22 au 2008-12-22 ))))))))))))))))))))))))))))))))))))
    .

    2008-12-22 13:23 . 2008-12-22 13:23 <REP> d-------- c:\windows\LastGood
    2008-12-22 13:23 . 2008-04-14 03:34 26,624 --a------ c:\windows\system32\OLDD.tmp
    2008-12-17 16:17 . 2008-12-17 16:17 <REP> d-------- c:\program files\Trend Micro
    2008-12-17 15:38 . 2008-12-12 00:57 78,336 --a------ c:\windows\system32\Agent.OMZ.Fix.exe
    2008-12-17 11:50 . 2008-12-17 11:50 70,144 --a------ c:\windows\system32\tuvVPgGX.dll

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-12-17 10:35 --------- d-----w c:\program files\eMule
    2008-12-15 20:16 --------- d-----w c:\program files\Everest Poker
    2008-12-13 06:37 3,593,216 ----a-w c:\windows\system32\dllcache\mshtml.dll
    2008-11-19 20:08 --------- d-----w c:\program files\WinamaxPoker
    2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
    2008-10-24 11:10 453,632 ------w c:\windows\system32\dllcache\mrxsmb.sys
    2008-10-23 13:00 283,648 ----a-w c:\windows\system32\gdi32.dll
    2008-10-23 13:00 283,648 ------w c:\windows\system32\dllcache\gdi32.dll
    2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
    2008-10-16 13:13 202,776 ----a-w c:\windows\system32\dllcache\wuweb.dll
    2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
    2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\dllcache\wuaueng.dll
    2008-10-16 13:12 70,656 ------w c:\windows\system32\dllcache\ie4uinit.exe
    2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
    2008-10-16 13:12 561,688 ----a-w c:\windows\system32\dllcache\wuapi.dll
    2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
    2008-10-16 13:12 323,608 ----a-w c:\windows\system32\dllcache\wucltui.dll
    2008-10-16 13:11 13,824 ------w c:\windows\system32\dllcache\ieudinit.exe
    2008-10-16 13:09 92,696 ----a-w c:\windows\system32\dllcache\cdm.dll
    2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
    2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
    2008-10-16 13:09 51,224 ----a-w c:\windows\system32\dllcache\wuauclt.exe
    2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
    2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
    2008-10-16 13:08 34,328 ----a-w c:\windows\system32\dllcache\wups.dll
    2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
    2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
    2008-10-15 16:59 332,800 ------w c:\windows\system32\dllcache\netapi32.dll
    2008-10-15 07:06 633,632 ------w c:\windows\system32\dllcache\iexplore.exe
    2008-10-15 07:04 161,792 ----a-w c:\windows\system32\dllcache\ieakui.dll
    2008-10-03 10:17 247,326 ----a-w c:\windows\system32\strmdll.dll
    2008-10-03 10:17 247,326 ----a-w c:\windows\system32\dllcache\strmdll.dll
    2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
    .

    ((((((((((((((((((((((((((((( snapshot@2008-12-19_ 9.53.58.24 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2008-10-17 00:48:40 3,593,216 -c----w c:\windows\ie7updates\KB960714-IE7\mshtml.dll
    + 2007-03-06 01:34:38 216,800 -c----w c:\windows\ie7updates\KB960714-IE7\spuninst\spuninst.exe
    + 2007-03-06 01:35:47 394,976 -c----w c:\windows\ie7updates\KB960714-IE7\spuninst\updspapi.dll
    + 2008-04-14 02:34:26 26,624 ----a-w c:\windows\LastGood\system32\userinit.exe
    - 2008-12-17 10:50:42 111,616 ----a-w c:\windows\system32\dllcache\userinit.exe
    + 2004-08-05 12:00:00 25,088 ----a-w c:\windows\system32\dllcache\userinit.exe
    - 2008-10-17 00:48:40 3,593,216 ----a-w c:\windows\system32\mshtml.dll
    + 2008-12-13 06:37:56 3,593,216 ----a-w c:\windows\system32\mshtml.dll
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Creative WebCam Tray"="c:\program files\Creative\Shared Files\CamTray.exe" [2005-03-29 258048]
    "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-25 68856]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
    "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
    "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
    "igfxtray"="c:\windows\system32\igfxtray.exe" [2005-11-03 98304]
    "igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-03 77824]
    "igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-03 118784]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-06-20 729178]
    "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
    "PCMService"="c:\apps\Powercinema\PCMService.exe" [2005-05-11 127118]
    "ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2005-08-04 58992]
    "Symantec NetDriver Monitor"="c:\progra~1\SYMNET~1\SNDMon.exe" [2006-07-28 100056]
    "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-04-10 180269]
    "HP Software Update"="c:\program files\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2003-06-25 49152]
    "HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-07-28 188416]
    "DeviceDiscovery"="c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [2003-05-21 229437]
    "WorksFUD"="c:\program files\Microsoft Works\wkfud.exe" [2001-10-09 24576]
    "Microsoft Works Portfolio"="c:\program files\Microsoft Works\WksSb.exe" [2001-10-05 331830]
    "Microsoft Works Update Detection"="c:\program files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [2001-10-05 28738]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-04-10 98304]
    "Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HdAShCut.exe]
    "RTHDCPL"="RTHDCPL.EXE" [2005-05-25 c:\windows\RTHDCPL.EXE]
    "AGRSMMSG"="AGRSMMSG.exe" [2004-10-08 c:\windows\AGRSMMSG.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    LG SyncManager.lnk - c:\program files\LG PC Suite\LG PC Sync\LGSyncManager.exe [2007-03-27 299008]
    Rappels du Calendrier Microsoft Works.lnk - c:\program files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe [2001-10-05 24633]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=jgkklw.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "vidc.3iv2"= 3ivxVfWCodec.dll
    "msacm.divxa32"= divxa32.acm
    "VIDC.HFYU"= huffyuv.dll
    "VIDC.VP31"= vp31vfw.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusDisableNotify"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%ProgramFiles%\\AOL 9.0\\aol.exe"=
    "%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\logo_ubi.exe"=
    "%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\pandora.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\APPS\\Inventime\\my.exe"=
    "c:\\APPS\\Powercinema\\PowerCinema.exe"=
    "c:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDial.exe"=
    "c:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLacsd.exe"=
    "c:\\APPS\\skype\\phone\\Skype.exe"=
    "c:\\Program Files\\AOL 9.0\\waol.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=

    S3 P1171VID;Creative WebCam Notebook #2;c:\windows\system32\DRIVERS\P1171Vid.sys [2006-11-19 91392]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f0c55210-b63a-11dc-a262-00038a000015}]
    \Shell\AutoRun\command - E:\VMC_PBStarter.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f0c55211-b63a-11dc-a262-00038a000015}]
    \Shell\AutoRun\command - E:\VMC_PBStarter.exe
    .
    Contenu du dossier 'Tâches planifiées'

    2006-05-11 c:\windows\Tasks\Rappel d'enregistrement 1.job
    - c:\windows\system32\OOBE\oobebaln.exe [2004-08-05 13:00]

    2006-05-11 c:\windows\Tasks\Rappel d'enregistrement 2.job
    - c:\windows\system32\OOBE\oobebaln.exe [2004-08-05 13:00]

    2006-05-11 c:\windows\Tasks\Rappel d'enregistrement 3.job
    - c:\windows\system32\OOBE\oobebaln.exe [2004-08-05 13:00]

    2008-12-22 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
    - c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    uInternet Connection Wizard,ShellNext = hxxp://www.google.fr/
    uSearchURL,(Default) = hxxp://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
    IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
    IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

    c:\windows\Downloaded Program Files\zylomgamesplayer.dll - O16 -: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B}
    hxxp://game11.zylom.com/activex/zylomgamesplayer.cab
    c:\windows\Downloaded Program Files\ZylomGamesPlayer.inf
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-12-22 13:25:44
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MySqlInventime]
    "ImagePath"="c:\mysql\bin\mysqld-max-nt MySqlInventime"
    .
    Heure de fin: 2008-12-22 13:26:53
    ComboFix-quarantined-files.txt 2008-12-22 12:26:18
    ComboFix2.txt 2008-12-20 09:18:31
    ComboFix3.txt 2008-12-19 08:54:40

    Avant-CF: 2 176 548 864 octets libres
    Après-CF: 2,177,167,360 octets libres

    180 --- E O F --- 2008-12-21 18:14:10



    Et le rapport HijackThis:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 13:27:33, on 22/12/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16762)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Norton Internet Security\ISSVC.exe
    C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
    C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
    c:\APPS\HIDSERVICE\HIDSERVICE.exe
    C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
    C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\system32\svchost.exe
    c:\APPS\Powercinema\Kernel\TV\CLSched.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\AGRSMMSG.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
    C:\Apps\Powercinema\PCMService.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
    C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
    C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
    C:\WINDOWS\system32\msiexec.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\notepad.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    C:\Program Files\Messenger\msmsgs.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
    O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
    O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKCU\..\Run: [Creative WebCam Tray] "C:\Program Files\Creative\Shared Files\CamTray.exe"
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: LG SyncManager.lnk = C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe
    O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
    O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)
    O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game11.zylom.com/activex/zylomgamesplayer.cab
    O20 - AppInit_DLLs: jgkklw.dll
    O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
    O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
    O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
    O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
    O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
    O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

    --
    End of file - 11334 bytes





    22 Décembre 2008 14:19:07

    Re,

    Analyse de nouveau le fichier "c:\windows\system32\userinit.exe" avec VirusTotal.

    [#ff0000]! Désactive tes protections résidentes (antivirus, Spybot-S&D, etc.) ![/#f]
    Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

    File::
    c:\windows\system32\tuvVPgGX.dll

    Registry::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=""


    Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précédemment copié.
    Sauvegarde ce fichier sous le nom de "CFScript.txt" [#ff0000](les guillemets sont importantes)[/#f].

    Glisse maintenant le fichier CFScript.txt dans ComboFix.exe comme dans l'image ci-dessous :


    Cela va relancer ComboFix. Après redémarrage, poste le contenu du rapport (C:\combofix.txt*) accompagné d'un rapport HijackThis.
    [#ff0000]NOTE : S'il n'y a pas de redémarrage, poste quand même les rapports demandés.[/#f]
    * le nom de la partition peut changer
    22 Décembre 2008 15:43:04

    je vous poste déjà le rapport de mon analyse du fichier avec Virus Total:

    Fichier userinit.exe reçu le 2008.12.22 15:40:00 (CET)
    Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


    Résultat: 0/38 (0%)
    en train de charger les informations du serveur...
    Votre fichier est dans la file d'attente, en position: 2.
    L'heure estimée de démarrage est entre 46 et 66 secondes.
    Ne fermez pas la fenêtre avant la fin de l'analyse.
    L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
    Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
    Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
    les résultats seront affichés au fur et à mesure de leur génération.
    Formaté Impression des résultats
    Votre fichier a expiré ou n'existe pas.
    Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

    Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
    Email:


    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.12.22.0 2008.12.22 -
    AntiVir 7.9.0.45 2008.12.22 -
    Authentium 5.1.0.4 2008.12.22 -
    Avast 4.8.1281.0 2008.12.21 -
    AVG 8.0.0.199 2008.12.22 -
    BitDefender 7.2 2008.12.22 -
    CAT-QuickHeal 10.00 2008.12.22 -
    ClamAV 0.94.1 2008.12.22 -
    Comodo 793 2008.12.21 -
    DrWeb 4.44.0.09170 2008.12.22 -
    eSafe 7.0.17.0 2008.12.21 -
    eTrust-Vet 31.6.6271 2008.12.20 -
    Ewido 4.0 2008.12.22 -
    F-Prot 4.4.4.56 2008.12.22 -
    F-Secure 8.0.14332.0 2008.12.22 -
    Fortinet 3.117.0.0 2008.12.22 -
    GData 19 2008.12.22 -
    Ikarus T3.1.1.45.0 2008.12.22 -
    K7AntiVirus 7.10.562 2008.12.22 -
    Kaspersky 7.0.0.125 2008.12.22 -
    McAfee 5471 2008.12.21 -
    McAfee+Artemis 5471 2008.12.21 -
    Microsoft 1.4205 2008.12.22 -
    NOD32 3710 2008.12.22 -
    Norman 5.80.02 2008.12.22 -
    Panda 9.0.0.4 2008.12.21 -
    PCTools 4.4.2.0 2008.12.22 -
    Prevx1 V2 2008.12.22 -
    Rising 21.09.02.00 2008.12.22 -
    SecureWeb-Gateway 6.7.6 2008.12.22 -
    Sophos 4.37.0 2008.12.22 -
    Sunbelt 3.2.1801.2 2008.12.10 -
    Symantec 10 2008.12.22 -
    TheHacker 6.3.1.4.195 2008.12.20 -
    TrendMicro 8.700.0.1004 2008.12.22 -
    VBA32 3.12.8.10 2008.12.21 -
    ViRobot 2008.12.22.1530 2008.12.22 -
    VirusBuster 4.5.11.0 2008.12.21 -
    Information additionnelle
    File size: 25088 bytes
    MD5...: d6d65ea32b190401b57edb6706f29669
    SHA1..: 273ea1a839056c60444238b248213ce6c94d1c3f
    SHA256: bf8cb19c5ce66d4cf7d410ea3824d082888cefa21b59c1e8fc509b2098afef27
    SHA512: 66b0335682c84fad3c3792725565d6ec695c7709b13607b38208f21bad12593c
    520ca0aed2377e5758b7b9ed2853973d50c56ece608a9079166ab84c50327494

    ssdeep: 384:p QoGB/JD1CzaxzOV6s9cKmdPGFQ273eLXVBYkkjuv1hkNLdbaLa4CwUJuUCS
    Fjj9:axJDUaxgu5YEVBxkjuv7wbaLa4PU4HPO

    PEiD..: -
    TrID..: File type identification
    Win32 Executable MS Visual C++ (generic) (65.2%)
    Win32 Executable Generic (14.7%)
    Win32 Dynamic Link Library (generic) (13.1%)
    Generic Win/DOS Executable (3.4%)
    DOS Executable Generic (3.4%)
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x10050e5
    timedatestamp.....: 0x41107b78 (Wed Aug 04 06:00:24 2004)
    machinetype.......: 0x14c (I386)

    ( 3 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0x4db8 0x4e00 6.01 28bb30acf8de6ab97244272748e6d31f
    .data 0x6000 0x14c 0x200 1.86 cbb599f9267bf53209039d14a3574eb1
    .rsrc 0x7000 0xd74 0xe00 3.62 fb3de6f4736007e3cd67ad42d5ed9eda

    ( 7 imports )
    > USER32.dll: CreateWindowExW, DestroyWindow, RegisterClassExW, DefWindowProcW, LoadRemoteFonts, wsprintfW, GetSystemMetrics, GetKeyboardLayout, SystemParametersInfoW, GetDesktopWindow, LoadStringW, MessageBoxW, ExitWindowsEx, CharNextW
    > ADVAPI32.dll: RegOpenKeyExA, ReportEventW, RegisterEventSourceW, DeregisterEventSource, OpenProcessToken, RegCreateKeyExW, RegSetValueExW, GetUserNameW, RegQueryValueExW, RegOpenKeyExW, RegQueryInfoKeyW, RegCloseKey, RegQueryValueExA
    > CRYPT32.dll: CryptProtectData
    > WINSPOOL.DRV: SpoolerInit
    > ntdll.dll: RtlLengthSid, RtlCopySid, _itow, RtlFreeUnicodeString, DbgPrint, wcslen, wcscpy, wcscat, wcscmp, RtlInitUnicodeString, NtOpenKey, NtClose, _wcsicmp, memmove, NtQueryInformationToken, RtlConvertSidToUnicodeString
    > msvcrt.dll: _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, __setusermatherr, __getmainargs, _acmdln, exit, _cexit, _XcptFilter, _exit, _c_exit, _initterm, _adjust_fdiv
    > KERNEL32.dll: GetVersionExW, LocalFree, LocalAlloc, GetEnvironmentVariableW, SetEnvironmentVariableW, lstrlenW, lstrcpyW, FreeLibrary, GetProcAddress, LoadLibraryW, CompareFileTime, CloseHandle, lstrcatW, WaitForSingleObject, DelayLoadFailureHook, GetStartupInfoA, GetModuleHandleA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, LoadLibraryA, InterlockedCompareExchange, LocalReAlloc, GetSystemTime, lstrcmpW, GetCurrentThread, SetThreadPriority, CreateThread, GetFileAttributesExW, GetSystemDirectoryW, SetCurrentDirectoryW, FormatMessageW, lstrcmpiW, GetCurrentProcess, GetUserDefaultLangID, GetCurrentProcessId, ExpandEnvironmentStringsW, SetEvent, OpenEventW, Sleep, GetLastError, SearchPathW, CreateProcessW

    ( 0 exports )

    ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=d6d65ea32b1...' target='_blank'>http://www.threatexpert.com/report.aspx?md5=d6d65ea32b1...;/a>
    CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD...' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD...;/a>
    22 Décembre 2008 15:52:39

    Voici maintenant le rapport ComboFix:
    ComboFix 08-12-18.01 - Benjamin 2008-12-22 15:46:25.4 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1014.594 [GMT 1:00]
    Lancé depuis: c:\documents and settings\Benjamin\Bureau\ComboFix.exe
    Commutateurs utilisés :: c:\documents and settings\Benjamin\Bureau\CFScript.txt
    * Un nouveau point de restauration a été créé

    FILE ::
    c:\windows\system32\tuvVPgGX.dll
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\system32\tuvVPgGX.dll

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-22 au 2008-12-22 ))))))))))))))))))))))))))))))))))))
    .

    2008-12-17 16:17 . 2008-12-17 16:17 <REP> d-------- c:\program files\Trend Micro
    2008-12-17 15:38 . 2008-12-12 00:57 78,336 --a------ c:\windows\system32\Agent.OMZ.Fix.exe

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-12-17 10:35 --------- d-----w c:\program files\eMule
    2008-12-15 20:16 --------- d-----w c:\program files\Everest Poker
    2008-12-13 06:37 3,593,216 ----a-w c:\windows\system32\dllcache\mshtml.dll
    2008-11-19 20:08 --------- d-----w c:\program files\WinamaxPoker
    2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
    2008-10-24 11:10 453,632 ------w c:\windows\system32\dllcache\mrxsmb.sys
    2008-10-23 13:00 283,648 ----a-w c:\windows\system32\gdi32.dll
    2008-10-23 13:00 283,648 ------w c:\windows\system32\dllcache\gdi32.dll
    2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
    2008-10-16 13:13 202,776 ----a-w c:\windows\system32\dllcache\wuweb.dll
    2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
    2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\dllcache\wuaueng.dll
    2008-10-16 13:12 70,656 ------w c:\windows\system32\dllcache\ie4uinit.exe
    2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
    2008-10-16 13:12 561,688 ----a-w c:\windows\system32\dllcache\wuapi.dll
    2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
    2008-10-16 13:12 323,608 ----a-w c:\windows\system32\dllcache\wucltui.dll
    2008-10-16 13:11 13,824 ------w c:\windows\system32\dllcache\ieudinit.exe
    2008-10-16 13:09 92,696 ----a-w c:\windows\system32\dllcache\cdm.dll
    2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
    2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
    2008-10-16 13:09 51,224 ----a-w c:\windows\system32\dllcache\wuauclt.exe
    2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
    2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
    2008-10-16 13:08 34,328 ----a-w c:\windows\system32\dllcache\wups.dll
    2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
    2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
    2008-10-15 16:59 332,800 ------w c:\windows\system32\dllcache\netapi32.dll
    2008-10-15 07:06 633,632 ------w c:\windows\system32\dllcache\iexplore.exe
    2008-10-15 07:04 161,792 ----a-w c:\windows\system32\dllcache\ieakui.dll
    2008-10-03 10:17 247,326 ----a-w c:\windows\system32\strmdll.dll
    2008-10-03 10:17 247,326 ----a-w c:\windows\system32\dllcache\strmdll.dll
    2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
    .

    ((((((((((((((((((((((((((((( snapshot@2008-12-19_ 9.53.58.24 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2008-10-17 00:48:40 3,593,216 -c----w c:\windows\ie7updates\KB960714-IE7\mshtml.dll
    + 2007-03-06 01:34:38 216,800 -c----w c:\windows\ie7updates\KB960714-IE7\spuninst\spuninst.exe
    + 2007-03-06 01:35:47 394,976 -c----w c:\windows\ie7updates\KB960714-IE7\spuninst\updspapi.dll
    - 2008-12-17 10:50:42 111,616 ----a-w c:\windows\system32\dllcache\userinit.exe
    + 2004-08-05 12:00:00 25,088 ----a-w c:\windows\system32\dllcache\userinit.exe
    - 2008-10-17 00:48:40 3,593,216 ----a-w c:\windows\system32\mshtml.dll
    + 2008-12-13 06:37:56 3,593,216 ----a-w c:\windows\system32\mshtml.dll
    - 2008-12-17 10:50:42 111,616 ----a-w c:\windows\system32\userinit.exe
    + 2004-08-05 12:00:00 25,088 ----a-w c:\windows\system32\userinit.exe
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Creative WebCam Tray"="c:\program files\Creative\Shared Files\CamTray.exe" [2005-03-29 258048]
    "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-25 68856]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
    "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
    "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
    "igfxtray"="c:\windows\system32\igfxtray.exe" [2005-11-03 98304]
    "igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-03 77824]
    "igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-03 118784]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-06-20 729178]
    "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
    "PCMService"="c:\apps\Powercinema\PCMService.exe" [2005-05-11 127118]
    "ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2005-08-04 58992]
    "Symantec NetDriver Monitor"="c:\progra~1\SYMNET~1\SNDMon.exe" [2006-07-28 100056]
    "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-04-10 180269]
    "HP Software Update"="c:\program files\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2003-06-25 49152]
    "HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-07-28 188416]
    "DeviceDiscovery"="c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [2003-05-21 229437]
    "WorksFUD"="c:\program files\Microsoft Works\wkfud.exe" [2001-10-09 24576]
    "Microsoft Works Portfolio"="c:\program files\Microsoft Works\WksSb.exe" [2001-10-05 331830]
    "Microsoft Works Update Detection"="c:\program files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [2001-10-05 28738]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-04-10 98304]
    "Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HdAShCut.exe]
    "RTHDCPL"="RTHDCPL.EXE" [2005-05-25 c:\windows\RTHDCPL.EXE]
    "AGRSMMSG"="AGRSMMSG.exe" [2004-10-08 c:\windows\AGRSMMSG.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    LG SyncManager.lnk - c:\program files\LG PC Suite\LG PC Sync\LGSyncManager.exe [2007-03-27 299008]
    Rappels du Calendrier Microsoft Works.lnk - c:\program files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe [2001-10-05 24633]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "vidc.3iv2"= 3ivxVfWCodec.dll
    "msacm.divxa32"= divxa32.acm
    "VIDC.HFYU"= huffyuv.dll
    "VIDC.VP31"= vp31vfw.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusDisableNotify"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%ProgramFiles%\\AOL 9.0\\aol.exe"=
    "%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\logo_ubi.exe"=
    "%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\pandora.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\APPS\\Inventime\\my.exe"=
    "c:\\APPS\\Powercinema\\PowerCinema.exe"=
    "c:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDial.exe"=
    "c:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLacsd.exe"=
    "c:\\APPS\\skype\\phone\\Skype.exe"=
    "c:\\Program Files\\AOL 9.0\\waol.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=

    S3 P1171VID;Creative WebCam Notebook #2;c:\windows\system32\DRIVERS\P1171Vid.sys [2006-11-19 91392]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f0c55210-b63a-11dc-a262-00038a000015}]
    \Shell\AutoRun\command - E:\VMC_PBStarter.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f0c55211-b63a-11dc-a262-00038a000015}]
    \Shell\AutoRun\command - E:\VMC_PBStarter.exe
    .
    Contenu du dossier 'Tâches planifiées'

    2006-05-11 c:\windows\Tasks\Rappel d'enregistrement 1.job
    - c:\windows\system32\OOBE\oobebaln.exe [2004-08-05 13:00]

    2006-05-11 c:\windows\Tasks\Rappel d'enregistrement 2.job
    - c:\windows\system32\OOBE\oobebaln.exe [2004-08-05 13:00]

    2006-05-11 c:\windows\Tasks\Rappel d'enregistrement 3.job
    - c:\windows\system32\OOBE\oobebaln.exe [2004-08-05 13:00]

    2008-12-22 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
    - c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    uInternet Connection Wizard,ShellNext = hxxp://www.google.fr/
    uSearchURL,(Default) = hxxp://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
    IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
    IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

    c:\windows\Downloaded Program Files\zylomgamesplayer.dll - O16 -: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B}
    hxxp://game11.zylom.com/activex/zylomgamesplayer.cab
    c:\windows\Downloaded Program Files\ZylomGamesPlayer.inf
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-12-22 15:48:29
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MySqlInventime]
    "ImagePath"="c:\mysql\bin\mysqld-max-nt MySqlInventime"
    .
    Heure de fin: 2008-12-22 15:49:38
    ComboFix-quarantined-files.txt 2008-12-22 14:49:03
    ComboFix2.txt 2008-12-22 12:26:55
    ComboFix3.txt 2008-12-20 09:18:31
    ComboFix4.txt 2008-12-19 08:54:40

    Avant-CF: 2 162 438 144 octets libres
    Après-CF: 2,153,373,696 octets libres

    176 --- E O F --- 2008-12-21 18:14:10


    suivi du rapport HijackThis:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:50:04, on 22/12/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16762)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Norton Internet Security\ISSVC.exe
    C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
    C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
    c:\APPS\HIDSERVICE\HIDSERVICE.exe
    C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
    C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\system32\svchost.exe
    c:\APPS\Powercinema\Kernel\TV\CLSched.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\AGRSMMSG.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
    C:\Apps\Powercinema\PCMService.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
    C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
    C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
    C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
    C:\WINDOWS\system32\msiexec.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\system32\notepad.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
    O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
    O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKCU\..\Run: [Creative WebCam Tray] "C:\Program Files\Creative\Shared Files\CamTray.exe"
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: LG SyncManager.lnk = C:\Program Files\LG PC Suite\LG PC Sync\LGSyncManager.exe
    O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
    O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)
    O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game11.zylom.com/activex/zylomgamesplayer.cab
    O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
    O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
    O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
    O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
    O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
    O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

    --
    End of file - 11302 bytes



    22 Décembre 2008 17:17:47

    Tu as encore des soucis ?
    22 Décembre 2008 18:55:21

    de peur d'agraver les pbls, je n'utilise plus l'ordi depuis que j'ai été infecté mis à part pour faire les manips que vous demandiez.
    Je ne sais donc pas vraiment si j'ai encore des soucis...
    Mon écran de fond est tjs gris comme je vous l'avais signalé dans un autre message...
    Est-ce que vous pensez que tout est réparé? que je peux l'utiliser sans souci?
    22 Décembre 2008 19:25:22

    j'ai pu remettre mon fond d'écran c'est une bonne chose je crois.
    Par ctre, vers mon horloge en bas à droite de mon pc, j'ai un icone avec une croix rouge, qui m'ouvre une fenetre "Centre de sécurité windows sur laquelle il est noté: "parefeu désactivé, Protection antivirus périmé" alors que j'ai renouvelé et payé mon abonnement à norton en octobre. Donc premier souci.
    Deuxième souci: quand je double clique sur l'icone de Norton pour l'ouvrir il ne se passe rien du tout...
    Troisième souci quand je clique sur "options antivirus" de norton tjs, j'ai une fenetre ou quand j'allume mon PC des fois, j'ai une fenetre "ccCommon" qui s'ouvre sur laquelle est écrit un truc en anglais: "the feature are trying to use is on a network resource that is unavailable." etc...
    est-ce grave?
    merci d'avance pour une nouvelle aide!!
    22 Décembre 2008 21:35:27

    Tu as essayé de réinstaller Norton ?
    25 Décembre 2008 13:18:20

    Bonjour

    et Joyeux Noel.
    Non je n'ai aps essayé de réinstaller Norton.
    En fait, j'ai renouvellé mon abonnement Norton avant qu'il expire comme d'hab. Mais là ça a l'air d'être un peu bizarre...
    Que dois-je faire?
    Mon ordi est-il réparé?

    Pour Noel, j'ai eu un disque dur multimédia que je peux brancher sur mon pc et sur ma télé. J'aimerai bien l'utiliser mais je n'ose pas trop avec cette histoire de virus sur mon pc... puis-je l'utiliser sans risque ou pas?

    Merci d'avance.
    26 Décembre 2008 13:33:59

    Bah pour Norton, tu désinstalles/réinstalles alors :/ 
    Pour ton disque, il ne devrait pas y avoir de prob.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS