Se connecter / S'enregistrer
Votre question

[résolu] Ouverture intempestive de fenêtres

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
10 Décembre 2008 20:08:39

Bonjour à tous,

Depuis peu de nombreuses fenêtres s'ouvrent sans que je le demande. Avast m'a trouvé des fichiers infectés et les a mis en quarantaine. Malheureusement mon problème persiste.

Merci de bien vouloir m'aider !

Autres pages sur : resolu ouverture intempestive fenetres

12 Décembre 2008 20:51:35

Un petit up car j'ai vraiment besoin d'aide s'il vous plait :( 
12 Décembre 2008 21:48:39

bonsoir :) 

1
Télécharger Rooter.exe sur ton bureau
Double clique dessus et poster le rapport ( %Systemdrive%\Rooter.txt )

2
Télécharge puis installe Hijackthis (Trend Micro)
Poste ensuite un rapport dans ta prochaine réponse.
AIDE : Comment utiliser Hijackthis v2.0.2
Contenus similaires
12 Décembre 2008 22:17:55

Bonsoir Sham_Rock,

Je te remercie de ton aide.

1 - rapport Rooter

12/12/2008|21:55

----------------------\\ Search..

C:\WINDOWS\system32\kTqru.ini
C:\WINDOWS\system32\kTqru.ini2
==> VUNDO <==

----------------------\\ ROOTKIT !!

Rootkit TDSS ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV.SYS]
Rootkit TDSS ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TDSSSERV.SYS]
Rootkit TDSS ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS]

----------------------\\ Registry

[HKEY_LOCAL_MACHINE\Software\TDSS]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\tdssdata]


----------------------\\ Cracks & Keygens..

C:\DOCUME~1\ALLUSE~1\Documents\logiciels\photoshop + crack
C:\DOCUME~1\ALLUSE~1\Documents\logiciels\photoshop + crack\crack_PhotoshopCS.rar
C:\DOCUME~1\ALLUSE~1\Documents\logiciels\photoshop + crack\PhotoshopCS.rar


1 - "C:\Rooter$\Rooter_1.txt" - 12/12/2008|21:57

----------------------\\ Scan completed at 21:57




2 - rapport Hijackthis (je n'ai pas réussi à télécharger la dernière version)

Logfile of HijackThis v1.99.1
Scan saved at 22:14:18, on 12/12/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Retrospect\Retrospect 7.5\retrorun.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\rs32net.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\LVComS.exe
C:\Documents and Settings\\Application Data\gadcom\gadcom.exe
C:\WINDOWS\System32\rs32net.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [advap32] c:\gywtb.exe/r
O4 - HKLM\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKLM\..\Run: [xsjfn83jkemfofght] C:\DOCUME~1\~1.\LOCALS~1\Temp\winlogin.exe
O4 - HKLM\..\Run: [10192d73] rundll32.exe "C:\WINDOWS\System32\svkcichf.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [gadcom] "C:\Documents and Settings\\Application Data\gadcom\gadcom.exe" 61A847B5BBF72810379D38466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKCU\..\Run: [xsjfn83jkemfofght] C:\DOCUME~1\~1.\LOCALS~1\Temp\winlogin.exe
O4 - HKCU\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKCU\..\Run: [SfKg6wIP] C:\Documents and Settings\\Application Data\Microsoft\Windows\vkdlmrs.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
O15 - Trusted Zone: http://*.mappy.com
O15 - Trusted Zone: http://*.orange.fr
O15 - Trusted Zone: http://rw.search.ke.voila.fr
O15 - Trusted Zone: http://orange.weborama.fr
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267....
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: obqhch.dll xraxbt.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PsExec (PSEXESVC) - Sysinternals - C:\WINDOWS\PSEXESVC.EXE
O23 - Service: Retrospect Launcher (RetroLauncher) - EMC Corporation - C:\Program Files\Retrospect\Retrospect 7.5\retrorun.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
12 Décembre 2008 22:56:40

re

1
désactive le module self defense d'avast avant de faire ce qui suit:

Clic-droit sur l'icône d'Avast! près de l'horloge >> "Réglages du programme..."

- Option "Dépannage" (au bas à gauche)

- Cocher "Désactiver le module self-defense d'avast!" >> "Ok"

2
Télécharge ComboFix de sUBs :
ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur ComboFix, Il va te poser une question, suis les invites puis attends que combofix ait terminé, il est possible que ton PC reboot, c’est normal, un rapport sera créé.Poste le rapport:C:\Combofix.txt
clique dessus pour l'ouvrir, puis édition "sélectionner tout", édition "copier"

viens sur le forum et édition "coller"

AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
* le nom de la partition peut changer
12 Décembre 2008 23:31:47

Je n'arrive pas à télécharger ComboFix. Il m'est même impossible d'ouvrir le tutoriel ! Voici le message d'erreur que j'obtiens :

La connexion a échoué

Firefox ne peut établir de connexion avec le serveur à l'adresse download.bleepingcomputer.com.

Bien que le site semble valide, le navigateur n'a pas pu établir de connexion.

* Le site est peut-être temporairement indisponible ? Réessayez plus tard.
* D'autres sites sont aussi inaccessibles ? Vérifiez la connexion au réseau de votre ordinateur.
* Votre ordinateur ou votre réseau est-il protégé par un pare-feu ou un proxy ? Des paramètres incorrects peuvent interférer avec la navigation sur le Web.
* Vous avez toujours des problèmes ? Consultez votre administrateur réseau ou votre fournisseur d'accès à Internet pour obtenir de l'aide.
13 Décembre 2008 14:16:42

Bonjour,

Décidément j'ai du mal avec Combofix !
Je l'ai installé grâce à ton lien, malheureusement il ne s'exécute pas. Pourtant j'ai bien désactivé ce que tu m'as demandé sur Avast.
15 Décembre 2008 17:42:07

Bonsoir
on essaye un autre outil
Télécharge MalwareByte's Anti-Malware sur ton Bureau.

  • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
    Une fois l'installation et la mise à jour effectuées :
  • Fais redémarrer ton ordinateur en mode sans échec
    - Au démarrage, après le chargement du bios, appuie successivement sur la touche F8 (ou F5) de ton clavier jusqu'à l'apparition d'un menu sur fond noir. Une fois arrivé à ce stade, sélectionne à l'aide du clavier Mode sans Echec.
    -- Dans ce mode, tu n'as pas accès à Internet, et tu te retrouves avec une configuration visuelle différente (pas de fond d'écran, icônes très grosses). Ne sois donc pas étonné.
    --- C'est pour ces différentes raisons que je t'invite à imprimer, noter, ou enregistrer dans un document texte les informations suivantes afin de ne pas être perdu.
    ---- ! Ne fais pas démarrer ton ordinateur en mode sans échec via MSConfig ! Pourquoi ? Certaines infections cassent les clefs du mode sans échec, ce qui ferait crasher ton ordinateur.

  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche, clic sur"Rechercher".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :

    ~ Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
    ~~ Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.
    ~~~~ Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.

    REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.[/#f]

    Note : Si tu ne parviens à télécharger MBAM à partir de MajorGeeks, tu peux le télécharger ici!

    [#FF0000]Aide
    :
  • Comment utiliser MBAM.
  • Comment faire démarrer son ordinateur en mode sans échec.

    ++++++++++++++++
    15 Décembre 2008 19:19:41

    Bonsoir,

    Encore un programme qui ne s'exécute pas. Je n'arrive pas à l'installer même en "coupant" mon antivirus.
    15 Décembre 2008 23:10:05

    re
    on va trouver une solution...
    essayons encore un outil, si ça ne marche pas, je préparerais un script.
    Cette procédure doit être imprimée pour que tu puisses l’avoir sous les yeux quand tu seras en mode sans échec.

    Télécharge SDFix(créé par AndyManchesta) et sauvegarde le sur ton Bureau.
    ***Si le lien ne fonctionne pas, essaie celui-ci : http://download.bleepingcomputer.com/andymanchesta/SDFi... ***

    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.
    Déroule la liste des instructions ci-dessous :
  • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !


    +++++++++++++++++++
    16 Décembre 2008 01:13:57

    Re,

    Tout a fonctionné cette fois-ci...donc voilà les rapports tant attendus !

    1 - SDFix


    SDFix: Version 1.240
    Run by on 16/12/2008 at 00:28

    Microsoft Windows XP [version 5.1.2600]
    Running From: C:\DOCUME~1\~1.\Bureau\SDFix

    Checking Services :

    Rootkit Found :
    C:\WINDOWS\system32\drivers\ATI6VDXX.sys - Rootkit Pandex/Cutwail - Protect.sys

    Name :
    restore
    ATI6VDXX

    Path :
    \??\C:\WINDOWS\system32\drivers\restore.sys
    System32\Drivers\ati6vdxx.sys

    restore - Deleted
    ATI6VDXX - Deleted



    Restoring Default Security Values
    Restoring Default Hosts File

    Rebooting

    Service ATI6VDXX - Deleted after Reboot

    Checking Files :

    Trojan Files Found:

    C:\270085~1 - Deleted
    C:\Program Files\Mjcore\Mjcore.dll - Deleted
    C:\Program Files\Webtools\webtools.dll - Deleted
    C:\WINDOWS\services.exe - Deleted
    C:\WINDOWS\system32\rs32net.exe - Deleted
    C:\WINDOWS\system32\TDSSlxwp.dll - Deleted
    C:\WINDOWS\system32\TDSSosvd.dat - Deleted
    C:\WINDOWS\system32\TDSStkdu.log - Deleted
    C:\WINDOWS\system32\drivers\ATI6VDXX.sys - Deleted


    Could Not Remove C:\WINDOWS\system32\TDSSoixh.dll
    Could Not Remove C:\WINDOWS\system32\TDSSbrsr.dll
    Could Not Remove C:\WINDOWS\system32\TDSSriqp.dll
    Could Not Remove C:\WINDOWS\system32\TDSSxfum.dll

    Folder C:\Documents and Settings\\Application Data\gadcom - Removed
    Folder C:\Program Files\Mjcore - Removed
    Folder C:\Program Files\Webtools - Removed


    Removing Temp Files

    ADS Check :



    Final Check :

    catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-12-16 01:08:19
    Windows 5.1.2600 Service Pack 1 NTFS

    scanning hidden processes ...

    scanning hidden services & system hive ...

    disk error: C:\WINDOWS\system32\config\system, 0
    scanning hidden registry entries ...

    disk error: C:\WINDOWS\system32\config\software, 0
    disk error: C:\Documents and Settings\\ntuser.dat, 0
    scanning hidden files ...

    disk error: C:\WINDOWS\

    please note that you need administrator rights to perform deep scan

    Remaining Services :




    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "C:\\Program Files\\OrangeHSS\\Connectivity\\ConnectivityManager.exe"="C:\\Program Files\\OrangeHSS\\Connectivity\\ConnectivityManager.exe:*:enabled:CSS"

    Remaining Files :

    C:\WINDOWS\system32\TDSSoixh.dll Found
    C:\WINDOWS\system32\TDSSbrsr.dll Found
    C:\WINDOWS\system32\TDSSriqp.dll Found
    C:\WINDOWS\system32\TDSSxfum.dll Found

    File Backups: - C:\DOCUME~1\~1.\Bureau\SDFix\backups\backups.zip

    Files with Hidden Attributes :

    Thu 24 Apr 2003 57,856 A.SH. --- "C:\Program Files\Outlook Express\MSIMN.EXE"
    Mon 8 Aug 2005 8 ..SHR --- "C:\WINDOWS\system32\397614D6F6.sys"
    Thu 30 Dec 2004 56 ..SHR --- "C:\WINDOWS\system32\64F25BD62A.sys"
    Sun 5 Feb 2006 952 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
    Sat 25 Dec 2004 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
    Wed 1 Nov 2006 44,544 A..H. --- "C:\Documents and Settings\\Bureau\~WRL0001.tmp"
    Wed 8 Nov 2006 184,320 A..H. --- "C:\Documents and Settings\\Bureau\~WRL0003.tmp"
    Wed 10 Jan 2007 1,138,688 A..H. --- "C:\Documents and Settings\\Bureau\~WRL0004.tmp"
    Thu 9 Nov 2006 184,832 A..H. --- "C:\Documents and Settings\\Bureau\~WRL0005.tmp"
    Thu 9 Nov 2006 184,832 A..H. --- "C:\Documents and Settings\\Bureau\~WRL0079.tmp"
    Thu 9 Nov 2006 195,072 A..H. --- "C:\Documents and Settings\\Bureau\~WRL0447.tmp"
    Thu 9 Nov 2006 183,808 A..H. --- "C:\Documents and Settings\\Bureau\~WRL0651.tmp"
    Mon 28 May 2007 39,424 A..H. --- "C:\Documents and Settings\\Bureau\~WRL0923.tmp"
    Mon 28 May 2007 35,328 A..H. --- "C:\Documents and Settings\\Bureau\~WRL1081.tmp"
    Thu 9 Nov 2006 184,832 A..H. --- "C:\Documents and Settings\\Bureau\~WRL1580.tmp"
    Thu 9 Nov 2006 184,832 A..H. --- "C:\Documents and Settings\\Bureau\~WRL1659.tmp"
    Fri 3 Nov 2006 62,976 A..H. --- "C:\Documents and Settings\\Bureau\~WRL1724.tmp"
    Thu 9 Nov 2006 184,832 A..H. --- "C:\Documents and Settings\\Bureau\~WRL2127.tmp"
    Thu 9 Nov 2006 195,072 A..H. --- "C:\Documents and Settings\\Bureau\~WRL2182.tmp"
    Thu 9 Nov 2006 195,584 A..H. --- "C:\Documents and Settings\\Bureau\~WRL2665.tmp"
    Thu 9 Nov 2006 184,832 A..H. --- "C:\Documents and Settings\\Bureau\~WRL2737.tmp"
    Thu 9 Nov 2006 184,832 A..H. --- "C:\Documents and Settings\\Bureau\~WRL2884.tmp"
    Thu 9 Nov 2006 184,832 A..H. --- "C:\Documents and Settings\\Bureau\~WRL3522.tmp"
    Thu 9 Nov 2006 184,832 A..H. --- "C:\Documents and Settings\\Bureau\~WRL3587.tmp"
    Thu 9 Nov 2006 184,832 A..H. --- "C:\Documents and Settings\\Bureau\~WRL3597.tmp"
    Thu 9 Nov 2006 184,832 A..H. --- "C:\Documents and Settings\\Bureau\~WRL3756.tmp"
    Thu 9 Nov 2006 184,832 A..H. --- "C:\Documents and Settings\\Bureau\~WRL3776.tmp"
    Sat 25 Dec 2004 4,348 A..H. --- "C:\Documents and Settings\\Mes documents\Ma musique\Sauvegarde de la licence\drmv1key.bak"
    Sun 9 Jan 2005 20 A..H. --- "C:\Documents and Settings\\Mes documents\Ma musique\Sauvegarde de la licence\drmv1lic.bak"
    Sat 25 Dec 2004 312 A..H. --- "C:\Documents and Settings\\Mes documents\Ma musique\Sauvegarde de la licence\drmv2key.bak"
    Sun 9 Jan 2005 1,536 A..H. --- "C:\Documents and Settings\\Mes documents\Ma musique\Sauvegarde de la licence\drmv2lic.bak"

    Finished!


    2 - Hijackthis

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 01:12:02, on 16/12/2008
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Program Files\Retrospect\Retrospect 7.5\retrorun.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\notepad.exe
    C:\Program Files\Apoint2K\Apoint.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
    C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe
    C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\Apoint2K\Apntex.exe
    C:\WINDOWS\System32\hphmon05.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Logitech\Video\LogiTray.exe
    C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
    C:\WINDOWS\System32\rundll32.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\WINDOWS\System32\LVComS.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
    O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
    O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
    O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
    O4 - HKLM\..\Run: [xsjfn83jkemfofght] C:\DOCUME~1\~1.\LOCALS~1\Temp\winlogin.exe
    O4 - HKLM\..\Run: [10192d73] rundll32.exe "C:\WINDOWS\System32\svkcichf.dll",b
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
    O4 - HKCU\..\Run: [xsjfn83jkemfofght] C:\DOCUME~1\~1.\LOCALS~1\Temp\winlogin.exe
    O4 - HKCU\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
    O15 - Trusted Zone: http://*.mappy.com
    O15 - Trusted Zone: http://*.orange.fr
    O15 - Trusted Zone: http://rw.search.ke.voila.fr
    O15 - Trusted Zone: http://orange.weborama.fr
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267....
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://.spaces.live.com//PhotoUpload/MsnPUpld.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
    O20 - AppInit_DLLs: obqhch.dll yabqtl.dll
    O22 - SharedTaskScheduler: characterizing - {b292ec9f-a074-4115-8342-1f459702d8d2} - (no file)
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: PsExec (PSEXESVC) - Sysinternals - C:\WINDOWS\PSEXESVC.EXE
    O23 - Service: Retrospect Launcher (RetroLauncher) - EMC Corporation - C:\Program Files\Retrospect\Retrospect 7.5\retrorun.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

    --
    End of file - 9025 bytes
    16 Décembre 2008 20:56:11

    Bonsoir
    fais maintenant un passage avec combofix en mode sans echec stp :) 
    poste le rapport.
    16 Décembre 2008 21:43:52

    Bonsoir,

    Combofix ne s'exécute toujours pas. Mais je tiens à dire qu'apparemment je n'ai plus de fenêtres qui s'ouvrent sans que je le demande.
    17 Décembre 2008 15:15:36

    Euuhh en fait non le problème persiste :( 
    17 Décembre 2008 23:22:30

    Bonsoir,

    J'ai pu lancer Combofix ! Je l'ai fait en mode sans échec et au redémarrage je suis passée au mode "normal" pensant que Combofix allait seulement poster son rapport...au final je crois qu'il s'est réellement exécuté en mode normal.
    Veux-tu qu'au redémarrage je reste en mode sans échec ?

    En attendant ta réponse, voilà le rapport que j'ai obtenu :

    ComboFix 08-12-16.03 - 2008-12-17 23:03:43.1 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.1.1252.1.1036.18.511.292 [GMT 1:00]
    Lancé depuis: c:\documents and settings\\Bureau\comboidn.exe

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
    c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
    c:\windows\bobsaver.exe
    c:\windows\bobsaver.scr
    c:\windows\system32\busuqsmh.dll
    c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\CPV.stt
    c:\windows\system32\drivers\TDSSmqlt.sys
    c:\windows\system32\eraxzy.dll
    c:\windows\system32\erchxe.dll
    c:\windows\system32\fqblls.dll
    c:\windows\system32\hcvucxyk.dll
    c:\windows\system32\hcxqto.dll
    c:\windows\system32\icwgbv.dll
    c:\windows\system32\kdkfwiyi.dll
    c:\windows\system32\kTAGOqru.ini
    c:\windows\system32\kTAGOqru.ini2
    c:\windows\system32\ktbytjip.dll
    c:\windows\system32\ldvqvrwk.dll
    c:\windows\system32\MabryObj.dll
    c:\windows\system32\mlJCrrRK.dll
    c:\windows\system32\mvhyxsnh.dll
    c:\windows\system32\obqhch.dll
    c:\windows\system32\qfwtjx.dll
    c:\windows\system32\qgrvwrwq.dll
    c:\windows\system32\rmqwcswa.dll
    c:\windows\system32\svkcichf.dll
    c:\windows\system32\TDSSbrsr.dll
    c:\windows\system32\TDSSlxwp.dll
    c:\windows\system32\TDSSnmxh.log
    c:\windows\system32\TDSSoixh.dll
    c:\windows\system32\TDSSosvd.dat
    c:\windows\system32\TDSSrhym.log
    c:\windows\system32\TDSSriqp.dll
    c:\windows\system32\TDSSsihc.dll
    c:\windows\system32\TDSStkdu.log
    c:\windows\system32\TDSSxfum.dll
    c:\windows\system32\tmp.reg
    c:\windows\system32\ucptktcl.dll
    c:\windows\System32\urqOGATk.dll
    c:\windows\system32\xraxbt.dll
    c:\windows\system32\yabqtl.dll
    c:\windows\system32\yunbdneh.dll
    c:\windows\system32\zqowwp.dll
    c:\windows\Tasks\unfqvnmp.job

    ----- BITS: Il y a peut-être des sites infectés -----

    hxxp://childhe.com
    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Service_TDSSSERV.SYS
    -------\Legacy_TDSSSERV.SYS


    ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-17 au 2008-12-17 ))))))))))))))))))))))))))))))))))))
    .

    2008-12-16 01:11 . 2008-12-16 01:11 <REP> d-------- c:\program files\Trend Micro
    2008-12-16 00:16 . 2008-12-16 00:17 <REP> d-------- c:\windows\ERUNT
    2008-12-13 19:49 . 2004-05-31 23:48 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage r‚seau
    2008-12-13 19:49 . 2004-05-31 23:48 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
    2008-12-13 19:49 . 2004-05-31 23:48 <REP> d--h----- c:\documents and settings\Administrateur\ModŠles
    2008-12-13 19:49 . 2004-05-31 23:48 <REP> dr------- c:\documents and settings\Administrateur\Mes documents
    2008-12-13 19:49 . 2004-05-31 23:48 <REP> dr------- c:\documents and settings\Administrateur\Menu D‚marrer
    2008-12-13 19:49 . 2004-05-31 23:48 <REP> dr------- c:\documents and settings\Administrateur\Favoris
    2008-12-13 19:49 . 2004-05-31 23:48 <REP> d-------- c:\documents and settings\Administrateur\Bureau
    2008-12-13 19:49 . 2008-12-13 19:49 <REP> d-------- c:\documents and settings\Administrateur
    2008-12-13 19:39 . 2008-12-13 19:39 268 --ah----- C:\sqmdata09.sqm
    2008-12-13 19:39 . 2008-12-13 19:39 244 --ah----- C:\sqmnoopt09.sqm
    2008-12-12 21:55 . 2008-12-12 21:57 <REP> d-------- C:\Rooter$
    2008-12-11 23:06 . 2008-12-16 23:12 1,658,219 ---hs---- c:\windows\system32\fhcickvs.ini
    2008-12-11 17:56 . 2008-12-12 00:15 <REP> d-------- c:\documents and settings\\Application Data\Twain
    2008-12-11 17:44 . 2008-12-11 17:44 1,624,451 ---hs---- c:\windows\system32\bwvxeapq.ini
    2008-12-10 22:31 . 2008-12-10 22:31 <REP> d-------- c:\program files\CCleaner
    2008-12-10 19:48 . 2008-12-12 20:46 <REP> d-------- c:\program files\Navilog1
    2008-12-10 17:41 . 2008-12-11 17:43 1,624,451 ---hs---- c:\windows\system32\clcmjesj.ini
    2008-12-10 17:35 . 2008-12-10 17:35 <REP> d-------- c:\windows\Setup
    2008-12-10 17:35 . 2008-12-10 17:35 <REP> d-------- c:\windows\HDTVPlayer v3.5
    2008-12-10 17:35 . 2008-12-09 03:10 176 --a------ c:\windows\eower.vbs
    2008-12-10 17:35 . 2008-12-09 03:18 45 --a------ c:\windows\sys.bat
    2008-12-04 13:57 . 2008-12-04 13:57 8,192 --a------ c:\windows\REGLOCS.OLD
    2008-12-04 13:55 . 2008-12-04 13:55 <REP> d-------- c:\program files\Securitoo
    2008-12-04 13:54 . 2008-12-04 14:23 <REP> d-------- c:\program files\OrangeHSS
    2008-12-04 13:54 . 2006-03-01 18:53 94,208 --a------ c:\windows\system32\w32n50.dll
    2008-12-04 13:54 . 2007-12-11 20:22 65,536 --a------ c:\windows\system32\Autodial2000.dll
    2008-12-04 13:54 . 2003-09-23 10:38 34,688 --a------ c:\windows\system32\pcampr5.sys
    2008-12-04 13:54 . 2006-03-01 18:53 32,128 --a------ c:\windows\system32\pcandis5.sys
    2008-12-04 13:53 . 2008-12-04 13:53 <REP> d-------- c:\program files\Fichiers communs\France Telecom
    2008-12-04 13:52 . 2008-12-04 13:52 2,516 --a------ C:\FT_Splash.img
    2008-11-27 04:01 . 2006-11-02 15:34 547,840 --a------ c:\windows\system32\wiaaut.dll
    2008-11-27 04:01 . 2007-06-04 23:10 132,880 --a------ c:\windows\system32\MSINET.OCX
    2008-11-27 04:01 . 2005-06-06 20:31 108,336 --a------ c:\windows\system32\Mswinsck.ocx
    2008-11-27 04:01 . 2008-01-31 12:15 102,400 --a------ c:\windows\system32\DinkITXPUIMenus.ocx
    2008-11-27 04:01 . 2003-04-05 19:19 65,536 --a------ c:\windows\system32\EnhSliderOcx.ocx
    2008-11-27 04:01 . 2008-02-04 04:55 64,000 --a------ c:\windows\system32\wiaaut.oca
    2008-11-20 22:17 . 2008-11-20 22:17 <REP> d-------- c:\program files\Smart Projects

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-12-17 20:32 --------- d-----w c:\program files\Mozilla Thunderbird
    2008-12-17 17:00 --------- d-----w c:\documents and settings\\Application Data\Azureus
    2008-12-16 20:12 --------- d-----w c:\program files\Messenger Plus! Live
    2008-12-16 20:11 --------- d-----w c:\program files\MSN Messenger
    2008-12-10 21:39 --------- d-----w c:\program files\Java
    2008-12-08 18:30 --------- d-----w c:\documents and settings\\Application Data\Thunderbird
    2008-11-20 21:20 --------- d-----w c:\program files\Quantum (Student)
    2008-11-20 21:20 --------- d-----w c:\program files\Microsoft Works
    2008-11-20 21:20 --------- d-----w c:\program files\eMule
    2008-11-20 21:20 --------- d-----w c:\program files\Easy Internet signup
    2008-11-20 21:20 --------- d-----w c:\program files\DivX
    2008-11-20 21:20 --------- d-----w c:\program files\Apoint2K
    2007-06-11 14:29 68 ----a-w c:\documents and settings\\getfile.dat
    2007-05-18 08:24 31 ----a-w c:\documents and settings\\getfile.dat
    2008-12-11 17:03 211,456 ----a-w c:\program files\mozilla firefox\components\srff.dll
    2005-08-08 09:32 8 --sh--r c:\windows\system32\397614D6F6.sys
    2004-12-30 20:36 56 --sh--r c:\windows\system32\64F25BD62A.sys
    2006-02-05 22:13 952 --sha-w c:\windows\system32\KGyGaAvL.sys
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2003-04-24 13312]
    "MessengerPlus3"="c:\program files\MessengerPlus! 3\MsgPlus.exe" [2006-04-18 190024]
    "msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
    "MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-11-15 1670144]
    "updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Apoint"="c:\program files\Apoint2K\Apoint.exe" [2003-10-08 159744]
    "NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2004-04-07 4730880]
    "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
    "UpdateManager"="c:\program files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2005-12-27 114688]
    "Cpqset"="c:\program files\HPQ\Default Settings\cpqset.exe" [2005-12-27 204800]
    "HP Software Update"="c:\program files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2005-12-20 278528]
    "HPHUPD05"="c:\program files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe" [2005-12-27 53248]
    "HPHmon05"="c:\windows\System32\hphmon05.exe" [2003-05-22 483328]
    "LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2004-02-12 188416]
    "LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2004-02-12 77824]
    "Share-to-Web Namespace Daemon"="c:\program files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-11 69632]
    "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
    "ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2007-12-12 107248]
    "AGRSMMSG"="AGRSMMSG.exe" [2004-01-30 c:\windows\AGRSMMSG.exe]
    "nwiz"="nwiz.exe" [2004-04-07 c:\windows\system32\nwiz.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2003-04-24 13312]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=obqhch.dll zqowwp.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "VIDC.I420"= i420vfw.dll
    "MSACM.G723"= g723.acm
    "vidc.I263"= I263_32.drv
    "msacm.enc"= ITIG726.acm

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winxg63.sys]
    @="Driver"

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "c:\\Program Files\\OrangeHSS\\Connectivity\\ConnectivityManager.exe"=

    R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [2008-06-20 111184]
    S0 Winxg63;Winxg63;c:\windows\System32\Drivers\Winxg63.sys []
    S3 2e9dfcdd-2a9c-4626-b4d1-e66405e22eed;2e9dfcdd-2a9c-4626-b4d1-e66405e22eed;\??\d:\player\cds300.dll []
    S3 a705a503-08d2-40bc-87d7-0e75b386a465;a705a503-08d2-40bc-87d7-0e75b386a465;\??\d:\player\cds300.dll []
    S3 fbxusb;FreeBox USB Network Adapter;c:\windows\System32\DRIVERS\fbxusb.sys [2005-01-02 18848]
    S3 ICAM8USB;Intel(r) PC Camera CS120;c:\windows\System32\Drivers\Icm8D2.SYS [2005-09-06 237504]
    S4 Parrdekwa;Parrdekwa; []
    .
    Contenu du dossier 'Tâches planifiées'

    2008-08-28 c:\windows\Tasks\Lecteur Windows Media.job
    - c:\progra~1\WINDOW~1\wmplayer.exe [2005-01-28 13:44]
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    BHO-{9a6d088a-0164-402d-bd69-a72bdb2c852f} - c:\windows\System32\zqowwp.dll
    BHO-{B241C010-20C2-4674-839C-F9D25D4170BA} - c:\windows\System32\urqOGATk.dll
    HKCU-Run-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
    HKCU-Run-rs32net - c:\windows\System32\rs32net.exe
    HKCU-Run-RecordNow! - (no file)
    SharedTaskScheduler-{b292ec9f-a074-4115-8342-1f459702d8d2} - (no file)


    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://google.fr/
    uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q304&bd=presario&pf=laptop
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    FF - ProfilePath - c:\documents and settings\\Application Data\Mozilla\Firefox\Profiles\nzcrjhst.default\
    FF - prefs.js: browser.search.selectedEngine - Wikipédia (fr)
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.Fr
    FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\npmozax.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\npvlc.dll
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-12-17 23:10:06
    Windows 5.1.2600 Service Pack 1 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe????????)?)w?????????? ???B???????????????B? ??????

    Recherche de fichiers cachés ...


    c:\windows\system32\wuapi.dll.mui_fr 27672 bytes executable
    c:\windows\system32\wuauclt.exe.wusetup.244843.bak 125720 bytes executable
    c:\windows\system32\wuaucpl.cpl.mui_fr 27672 bytes executable
    c:\windows\system32\wuaucpl.cpl.wusetup.246593.bak 175896 bytes executable
    c:\windows\system32\wuaueng.dll.mui_fr 19992 bytes executable
    c:\windows\system32\wuaueng.dll.wusetup.249031.bak 1343768 bytes executable
    c:\windows\system32\wucltui.dll.mui_fr 35864 bytes executable

    Scan terminé avec succès
    Fichiers cachés: 7

    **************************************************************************
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(716)
    c:\windows\System32\ODBC32.dll

    - - - - - - - > 'lsass.exe'(772)
    c:\windows\System32\dssenh.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Alwil Software\Avast4\aswUpdSv.exe
    c:\program files\Alwil Software\Avast4\ashServ.exe
    c:\windows\system32\drivers\CDAC11BA.EXE
    c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
    c:\windows\system32\nvsvc32.exe
    c:\program files\Retrospect\Retrospect 7.5\retrorun.exe
    c:\program files\Analog Devices\SoundMAX\SMAgent.exe
    c:\windows\system32\wdfmgr.exe
    c:\program files\Alwil Software\Avast4\ashWebSv.exe
    c:\program files\Alwil Software\Avast4\ashMaiSv.exe
    c:\program files\Apoint2K\ApntEx.exe
    c:\program files\iPod\bin\iPodService.exe
    c:\program files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
    c:\windows\system32\LVComS.exe
    c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    .
    **************************************************************************
    .
    Heure de fin: 2008-12-17 23:14:34 - La machine a redémarré
    ComboFix-quarantined-files.txt 2008-12-17 22:14:06

    Avant-CF: 28,739,280,896 octets libres
    AprÞs-CF: 28,860,530,688 octets libres

    244
    18 Décembre 2008 22:07:50

    re

    Citation :
    Veux-tu qu'au redémarrage je reste en mode sans échec ?

    non, ce n'est pas la peine ;) 

    HDTVPlayer v3.5 semble être un truc de warez pas trop clean.... je le vire car je pense que ton infection est partie de là...




    Copie (Ctrl+C) le texte ci-dessous :
    Driver::
    Winxg63
    2e9dfcdd-2a9c-4626-b4d1-e66405e22eed
    a705a503-08d2-40bc-87d7-0e75b386a465
    Parrdekwa

    File::
    c:\windows\system32\fhcickvs.ini
    c:\windows\system32\bwvxeapq.ini
    c:\windows\system32\clcmjesj.ini
    c:\windows\eower.vbs
    c:\windows\sys.bat

    Folder::
    C:\Rooter$
    c:\windows\Setup
    c:\windows\HDTVPlayer v3.5

    Registry::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=""
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Winxg63.sys]



    Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
    Sauvegarde ce fichier sous le nom de CFScript.txt

    Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture


  • Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  • Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    18 Décembre 2008 22:58:15

    Bonsoir,

    Effectivement c'est un player que j'ai installé peu de temps avant le début de mes problèmes...mais je pensais avoir réussi à le désinstaller ! :ange: 

    Voici le rapport :

    ComboFix 08-12-16.03 - 2008-12-18 22:42:57.2 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.1.1252.1.1036.18.511.320 [GMT 1:00]
    Lancé depuis: c:\documents and settings\\Bureau\comboidn.exe
    Commutateurs utilisés :: c:\documents and settings\\Bureau\CFScript.txt
    * Un nouveau point de restauration a été créé

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

    FILE ::
    c:\windows\eower.vbs
    c:\windows\sys.bat
    c:\windows\system32\bwvxeapq.ini
    c:\windows\system32\clcmjesj.ini
    c:\windows\system32\fhcickvs.ini
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Rooter$
    c:\rooter$\Crack.txt
    c:\rooter$\iNv.exe
    c:\rooter$\kill.reg
    c:\rooter$\KillF.txt
    c:\rooter$\lsTasks.exe
    c:\rooter$\Orph.egd
    c:\rooter$\OsV.exe
    c:\rooter$\paths.bat
    c:\rooter$\RegI.txt
    c:\rooter$\RK.txt
    c:\rooter$\Rkeys.txt
    c:\rooter$\RKit.lsd
    c:\rooter$\RoGUeS.lsd
    c:\rooter$\Rooter.txt
    c:\rooter$\Rooter_1.txt
    c:\rooter$\RooterT.cmd
    c:\rooter$\RunTool.txt
    c:\rooter$\sed.exe
    c:\rooter$\setpath.exe
    c:\rooter$\VUN.txt
    c:\windows\eower.vbs
    c:\windows\HDTVPlayer v3.5
    c:\windows\HDTVPlayer v3.5\uninstall.exe
    c:\windows\Setup
    c:\windows\Setup\uninstall.exe
    c:\windows\sys.bat
    c:\windows\system32\bwvxeapq.ini
    c:\windows\system32\clcmjesj.ini
    c:\windows\system32\fhcickvs.ini

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_WINXG63
    -------\Service_2e9dfcdd-2a9c-4626-b4d1-e66405e22eed
    -------\Service_a705a503-08d2-40bc-87d7-0e75b386a465
    -------\Service_Parrdekwa
    -------\Service_Winxg63


    ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-18 au 2008-12-18 ))))))))))))))))))))))))))))))))))))
    .

    2008-12-17 23:13 . 2008-10-16 14:09 35,864 --a------ c:\windows\system32\wucltui.dll.mui
    2008-12-17 23:13 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuaucpl.cpl.mui
    2008-12-17 23:13 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
    2008-12-17 23:13 . 2008-10-16 14:07 19,992 --a------ c:\windows\system32\wuaueng.dll.mui
    2008-12-16 01:11 . 2008-12-16 01:11 <REP> d-------- c:\program files\Trend Micro
    2008-12-16 00:16 . 2008-12-16 00:17 <REP> d-------- c:\windows\ERUNT
    2008-12-13 19:49 . 2004-05-31 23:48 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage r‚seau
    2008-12-13 19:49 . 2004-05-31 23:48 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
    2008-12-13 19:49 . 2004-05-31 23:48 <REP> d--h----- c:\documents and settings\Administrateur\ModŠles
    2008-12-13 19:49 . 2004-05-31 23:48 <REP> dr------- c:\documents and settings\Administrateur\Mes documents
    2008-12-13 19:49 . 2004-05-31 23:48 <REP> dr------- c:\documents and settings\Administrateur\Menu D‚marrer
    2008-12-13 19:49 . 2004-05-31 23:48 <REP> dr------- c:\documents and settings\Administrateur\Favoris
    2008-12-13 19:49 . 2004-05-31 23:48 <REP> d-------- c:\documents and settings\Administrateur\Bureau
    2008-12-13 19:49 . 2008-12-13 19:49 <REP> d-------- c:\documents and settings\Administrateur
    2008-12-13 19:39 . 2008-12-13 19:39 268 --ah----- C:\sqmdata09.sqm
    2008-12-13 19:39 . 2008-12-13 19:39 244 --ah----- C:\sqmnoopt09.sqm
    2008-12-11 17:56 . 2008-12-12 00:15 <REP> d-------- c:\documents and settings\\Application Data\Twain
    2008-12-10 22:31 . 2008-12-10 22:31 <REP> d-------- c:\program files\CCleaner
    2008-12-10 19:48 . 2008-12-12 20:46 <REP> d-------- c:\program files\Navilog1
    2008-12-04 13:57 . 2008-12-04 13:57 8,192 --a------ c:\windows\REGLOCS.OLD
    2008-12-04 13:55 . 2008-12-04 13:55 <REP> d-------- c:\program files\Securitoo
    2008-12-04 13:54 . 2008-12-04 14:23 <REP> d-------- c:\program files\OrangeHSS
    2008-12-04 13:54 . 2006-03-01 18:53 94,208 --a------ c:\windows\system32\w32n50.dll
    2008-12-04 13:54 . 2007-12-11 20:22 65,536 --a------ c:\windows\system32\Autodial2000.dll
    2008-12-04 13:54 . 2003-09-23 10:38 34,688 --a------ c:\windows\system32\pcampr5.sys
    2008-12-04 13:54 . 2006-03-01 18:53 32,128 --a------ c:\windows\system32\pcandis5.sys
    2008-12-04 13:53 . 2008-12-04 13:53 <REP> d-------- c:\program files\Fichiers communs\France Telecom
    2008-12-04 13:52 . 2008-12-04 13:52 2,516 --a------ C:\FT_Splash.img
    2008-11-27 04:01 . 2006-11-02 15:34 547,840 --a------ c:\windows\system32\wiaaut.dll
    2008-11-27 04:01 . 2007-06-04 23:10 132,880 --a------ c:\windows\system32\MSINET.OCX
    2008-11-27 04:01 . 2005-06-06 20:31 108,336 --a------ c:\windows\system32\Mswinsck.ocx
    2008-11-27 04:01 . 2008-01-31 12:15 102,400 --a------ c:\windows\system32\DinkITXPUIMenus.ocx
    2008-11-27 04:01 . 2003-04-05 19:19 65,536 --a------ c:\windows\system32\EnhSliderOcx.ocx
    2008-11-27 04:01 . 2008-02-04 04:55 64,000 --a------ c:\windows\system32\wiaaut.oca
    2008-11-20 22:17 . 2008-11-20 22:17 <REP> d-------- c:\program files\Smart Projects

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-12-18 21:40 --------- d-----w c:\documents and settings\\Application Data\Azureus
    2008-12-18 15:38 --------- d-----w c:\program files\Mozilla Thunderbird
    2008-12-16 20:12 --------- d-----w c:\program files\Messenger Plus! Live
    2008-12-16 20:11 --------- d-----w c:\program files\MSN Messenger
    2008-12-10 21:39 --------- d-----w c:\program files\Java
    2008-12-08 18:30 --------- d-----w c:\documents and settings\\Application Data\Thunderbird
    2008-11-20 21:20 --------- d-----w c:\program files\Quantum (Student)
    2008-11-20 21:20 --------- d-----w c:\program files\Microsoft Works
    2008-11-20 21:20 --------- d-----w c:\program files\eMule
    2008-11-20 21:20 --------- d-----w c:\program files\Easy Internet signup
    2008-11-20 21:20 --------- d-----w c:\program files\DivX
    2008-11-20 21:20 --------- d-----w c:\program files\Apoint2K
    2007-06-11 14:29 68 ----a-w c:\documents and settings\\getfile.dat
    2007-05-18 08:24 31 ----a-w c:\documents and settings\\getfile.dat
    2008-12-11 17:03 211,456 ----a-w c:\program files\mozilla firefox\components\srff.dll
    2005-08-08 09:32 8 --sh--r c:\windows\system32\397614D6F6.sys
    2004-12-30 20:36 56 --sh--r c:\windows\system32\64F25BD62A.sys
    2006-02-05 22:13 952 --sha-w c:\windows\system32\KGyGaAvL.sys
    .

    ((((((((((((((((((((((((((((( snapshot@2008-12-17_23.13.16.82 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2005-05-26 02:16:30 18,200 ----a-w c:\windows\LastGood\System32\wups2.dll
    - 2005-05-26 02:16:24 75,544 ----a-w c:\windows\system32\cdm.dll
    + 2008-10-16 13:09:44 92,696 ----a-w c:\windows\system32\cdm.dll
    - 2005-05-26 02:16:24 75,544 ----a-w c:\windows\system32\dllcache\cdm.dll
    + 2008-10-16 13:09:44 92,696 ----a-w c:\windows\system32\dllcache\cdm.dll
    - 2005-05-26 02:16:30 125,720 ----a-w c:\windows\system32\dllcache\wuauclt.exe
    + 2008-10-16 13:09:44 51,224 ----a-w c:\windows\system32\dllcache\wuauclt.exe
    - 2005-05-26 02:16:30 1,343,768 ----a-w c:\windows\system32\dllcache\wuaueng.dll
    + 2008-10-16 13:13:40 1,809,944 ----a-w c:\windows\system32\dllcache\wuaueng.dll
    + 2008-10-16 13:08:58 34,328 ----a-w c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.2.6001.788\wups.dll
    + 2008-10-16 13:09:44 43,544 ----a-w c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups2.dll\7.2.6001.788\wups2.dll
    - 2005-05-26 02:16:30 467,224 ----a-w c:\windows\system32\wuapi.dll
    + 2008-10-16 13:12:20 561,688 ----a-w c:\windows\system32\wuapi.dll
    - 2005-05-26 02:16:30 125,720 ----a-w c:\windows\system32\wuauclt.exe
    + 2008-10-16 13:09:44 51,224 ----a-w c:\windows\system32\wuauclt.exe
    - 2005-05-26 02:16:30 1,343,768 ----a-w c:\windows\system32\wuaueng.dll
    + 2008-10-16 13:13:40 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
    - 2005-05-26 02:16:32 128,792 ----a-w c:\windows\system32\wucltui.dll
    + 2008-10-16 13:12:22 323,608 ----a-w c:\windows\system32\wucltui.dll
    - 2005-05-26 02:16:30 41,240 ----a-w c:\windows\system32\wups.dll
    + 2008-10-16 13:08:58 34,328 ----a-w c:\windows\system32\wups.dll
    - 2005-05-26 02:16:30 18,200 ----a-w c:\windows\system32\wups2.dll
    + 2008-10-16 13:09:44 43,544 ----a-w c:\windows\system32\wups2.dll
    - 2005-05-26 02:16:30 173,536 ----a-w c:\windows\system32\wuweb.dll
    + 2008-10-16 13:13:40 202,776 ----a-w c:\windows\system32\wuweb.dll
    + 2008-12-18 21:47:32 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_5bc.dat
    .
    -- Instantané actualisé --
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2003-04-24 13312]
    "MessengerPlus3"="c:\program files\MessengerPlus! 3\MsgPlus.exe" [2006-04-18 190024]
    "msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
    "MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-11-15 1670144]
    "updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Apoint"="c:\program files\Apoint2K\Apoint.exe" [2003-10-08 159744]
    "NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2004-04-07 4730880]
    "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
    "UpdateManager"="c:\program files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2005-12-27 114688]
    "Cpqset"="c:\program files\HPQ\Default Settings\cpqset.exe" [2005-12-27 204800]
    "HP Software Update"="c:\program files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2005-12-20 278528]
    "HPHUPD05"="c:\program files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe" [2005-12-27 53248]
    "HPHmon05"="c:\windows\System32\hphmon05.exe" [2003-05-22 483328]
    "LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2004-02-12 188416]
    "LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2004-02-12 77824]
    "Share-to-Web Namespace Daemon"="c:\program files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-11 69632]
    "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
    "ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2007-12-12 107248]
    "AGRSMMSG"="AGRSMMSG.exe" [2004-01-30 c:\windows\AGRSMMSG.exe]
    "nwiz"="nwiz.exe" [2004-04-07 c:\windows\system32\nwiz.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2003-04-24 13312]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "VIDC.I420"= i420vfw.dll
    "MSACM.G723"= g723.acm
    "vidc.I263"= I263_32.drv
    "msacm.enc"= ITIG726.acm

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "c:\\Program Files\\OrangeHSS\\Connectivity\\ConnectivityManager.exe"=

    R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [2008-06-20 111184]
    S3 fbxusb;FreeBox USB Network Adapter;c:\windows\System32\DRIVERS\fbxusb.sys [2005-01-02 18848]
    S3 ICAM8USB;Intel(r) PC Camera CS120;c:\windows\System32\Drivers\Icm8D2.SYS [2005-09-06 237504]
    .
    Contenu du dossier 'Tâches planifiées'

    2008-08-28 c:\windows\Tasks\Lecteur Windows Media.job
    - c:\progra~1\WINDOW~1\wmplayer.exe [2005-01-28 13:44]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://google.fr/
    uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=Q304&bd=presario&pf=laptop
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    FF - ProfilePath - c:\documents and settings\\Application Data\Mozilla\Firefox\Profiles\nzcrjhst.default\
    FF - prefs.js: browser.search.selectedEngine - Wikipédia (fr)
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.Fr
    FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\npmozax.dll
    FF - plugin: c:\program files\Mozilla Firefox\plugins\npvlc.dll
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-12-18 22:47:49
    Windows 5.1.2600 Service Pack 1 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe????????)?)w?????????? ???B???????????????B? ??????

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(716)
    c:\windows\System32\ODBC32.dll

    - - - - - - - > 'lsass.exe'(772)
    c:\windows\System32\dssenh.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Alwil Software\Avast4\aswUpdSv.exe
    c:\program files\Alwil Software\Avast4\ashServ.exe
    c:\windows\system32\drivers\CDAC11BA.EXE
    c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
    c:\windows\system32\nvsvc32.exe
    c:\program files\Retrospect\Retrospect 7.5\retrorun.exe
    c:\program files\Analog Devices\SoundMAX\SMAgent.exe
    c:\windows\system32\wdfmgr.exe
    c:\program files\Alwil Software\Avast4\ashWebSv.exe
    c:\program files\Alwil Software\Avast4\ashMaiSv.exe
    c:\program files\iPod\bin\iPodService.exe
    c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    c:\windows\system32\LVComS.exe
    c:\program files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
    c:\program files\Apoint2K\ApntEx.exe
    .
    **************************************************************************
    .
    Heure de fin: 2008-12-18 22:51:24 - La machine a redémarré
    ComboFix-quarantined-files.txt 2008-12-18 21:50:56
    ComboFix2.txt 2008-12-17 22:14:36

    Avant-CF: 35ÿ584ÿ819ÿ200 octets libres
    AprÞs-CF: 35,567,702,016 octets libres

    245
    19 Décembre 2008 22:58:52

    bonsoir
    Fais une analyse antivirus en ligne sur Kaspersky avec Internet Explorer.

  • Autorise les Active x.
  • Clique sur Démarrer Online Scanner.
  • Sélectionne le poste de travail comme analyse. Enregistres sous le rapport en format .txt.
  • Colle son rapport ici.
  • Poste un nouveau rapport Hijackthis.

    Aide : Comment faire un scan en ligne avec Kaspersky .
    20 Décembre 2008 17:19:44

    Bonjour,

    Voici les rapports :

    1- Kaspersky

    --------------------------------------------------------------------------------
    KASPERSKY ONLINE SCANNER 7 REPORT
    Saturday, December 20, 2008
    Operating System: Microsoft Windows XP Home Edition Service Pack 1 (build 2600)
    Kaspersky Online Scanner 7 version: 7.0.25.0
    Program database last update: Saturday, December 20, 2008 09:55:07
    Records in database: 1491041
    --------------------------------------------------------------------------------

    Scan settings:
    Scan using the following database: extended
    Scan archives: yes
    Scan mail databases: yes

    Scan area - My Computer:
    C:\
    D:\

    Scan statistics:
    Files scanned: 56029
    Threat name: 15
    Infected objects: 25
    Suspicious objects: 0
    Duration of the scan: 01:37:46


    File name / Threat name / Threats count
    C:\Documents and Settings\\Bureau\SDFix\backups\backups.zip Infected: Trojan-Spy.Win32.Agent.fmi 1
    C:\Documents and Settings\\Bureau\SDFix\backups\backups.zip Infected: Trojan-Downloader.Win32.Injecter.bcg 1
    C:\Documents and Settings\\Bureau\SDFix\backups\catchme.zip Infected: Rootkit.Win32.Protector.bd 1
    C:\Documents and Settings\\Bureau\SDFix\backups\catchme.zip Infected: Backdoor.Win32.TDSS.blh 1
    C:\Documents and Settings\\Bureau\SDFix\backups\catchme.zip Infected: Backdoor.Win32.TDSS.asz 1
    C:\Documents and Settings\\Bureau\SDFix\backups\catchme.zip Infected: Backdoor.Win32.TDSS.atb 1
    C:\Documents and Settings\\Bureau\SDFix\backups\catchme.zip Infected: Trojan.Win32.Agent.arvz 1
    C:\Documents and Settings\\Local Settings\Application Data\Mozilla\Firefox\Profiles\nzcrjhst.default\Cache(2)\3CD27B45d01 Infected: not-a-virus:RiskTool.Win32.PsKill.k 1
    C:\Qoobox\Quarantine\C\WINDOWS\system32\busuqsmh.dll.vir Infected: not-a-virus:AdWare.Win32.SuperJuan.exp 1
    C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\TDSSmqlt.sys.vir Infected: Backdoor.Win32.TDSS.bkw 1
    C:\Qoobox\Quarantine\C\WINDOWS\system32\erchxe.dll.vir Infected: not-a-virus:AdWare.Win32.SuperJuan.ezg 1
    C:\Qoobox\Quarantine\C\WINDOWS\system32\icwgbv.dll.vir Infected: Trojan.Win32.Agent.avwp 1
    C:\Qoobox\Quarantine\C\WINDOWS\system32\ktbytjip.dll.vir Infected: Trojan.Win32.Agent.avwp 1
    C:\Qoobox\Quarantine\C\WINDOWS\system32\mlJCrrRK.dll.vir Infected: Trojan.Win32.Agent.auhr 1
    C:\Qoobox\Quarantine\C\WINDOWS\system32\obqhch.dll.vir Infected: not-a-virus:AdWare.Win32.SuperJuan.exp 1
    C:\Qoobox\Quarantine\C\WINDOWS\system32\rmqwcswa.dll.vir Infected: not-a-virus:AdWare.Win32.SuperJuan.ezg 1
    C:\Qoobox\Quarantine\C\WINDOWS\system32\svkcichf.dll.vir Infected: Trojan.Win32.Agent.aulw 1
    C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSbrsr.dll.vir Infected: Backdoor.Win32.TDSS.asz 1
    C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSoixh.dll.vir Infected: Backdoor.Win32.TDSS.blh 1
    C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSriqp.dll.vir Infected: Backdoor.Win32.TDSS.atb 1
    C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSxfum.dll.vir Infected: Trojan.Win32.Agent.arvz 1
    C:\Qoobox\Quarantine\C\WINDOWS\system32\ucptktcl.dll.vir Infected: not-a-virus:AdWare.Win32.SuperJuan.ezg 1
    C:\Qoobox\Quarantine\C\WINDOWS\system32\xraxbt.dll.vir Infected: Trojan-Downloader.Win32.Agent.auch 1
    C:\Qoobox\Quarantine\C\WINDOWS\system32\yabqtl.dll.vir Infected: not-a-virus:AdWare.Win32.SuperJuan.ezg 1
    C:\Qoobox\Quarantine\C\WINDOWS\system32\yunbdneh.dll.vir Infected: Trojan-Downloader.Win32.Agent.auch 1

    The selected area was scanned.

    2- Hijackthis

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:17:26, on 20/12/2008
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
    C:\WINDOWS\System32\nvsvc32.exe

    C:\Program Files\Retrospect\Retrospect 7.5\retrorun.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Apoint2K\Apoint.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
    C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\WINDOWS\System32\hphmon05.exe
    C:\Program Files\Logitech\Video\LogiTray.exe
    C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\WINDOWS\System32\LVComS.exe
    C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
    C:\Program Files\Apoint2K\Apntex.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\Program Files\internet explorer\iexplore.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
    O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
    O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
    O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
    O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
    O15 - Trusted Zone: http://*.mappy.com
    O15 - Trusted Zone: http://*.orange.fr
    O15 - Trusted Zone: http://rw.search.ke.voila.fr
    O15 - Trusted Zone: http://orange.weborama.fr
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267....
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://.spaces.live.com//PhotoUpload/MsnPUpld.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Retrospect Launcher (RetroLauncher) - EMC Corporation - C:\Program Files\Retrospect\Retrospect 7.5\retrorun.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

    --
    End of file - 7964 bytes
    20 Décembre 2008 23:02:51

    re

    1

    Désinstalle combofix en suivant cette procédure:

  • Menu démarrer puis exécuter
  • Tape maintenant Combofix /u dans la fenêtre que apparaît puis valide par OK. Veille à bien laisser un espace entre le X et le /U, car cela est nécessaire ici.


    2

    mets à jour xp (règle 1)
    Sécuriser son PC

    3
    Voilà ce que je te propose, tu vas remplacer Avast! par Antivir, qui est gratuit aussi mais beaucoup plus efficace, tu vas faire un scan avec et poster le rapport. :) 


    Désinstalle correctement Avast!


    Pour le remplacer par Antivir.

    -->Tuto<--


    Pourquoi changer ? : Avast! vs Antivir
    mais aussi:
    14 antivirus au banc d'essai
    Citation :
    Antivir : le plus efficace des gratuits
    22 Décembre 2008 15:33:44

    Bonjour,

    Tout a été fait dont le scan Antivir !



    Avira AntiVir Personal
    Date de création du fichier de rapport : lundi 22 décembre 2008 14:39

    La recherche porte sur 1107347 souches de virus.

    Détenteur de la licence :Avira AntiVir PersonalEdition Classic
    Numéro de série : 0000149996-ADJIE-0001
    Plateforme : Windows XP
    Version de Windows :( Service Pack 1) [5.1.2600]
    Mode Boot : Démarré normalement
    Identifiant : SYSTEM
    Nom de l'ordinateur :

    Informations de version :
    BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00
    AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00
    AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27
    LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16
    LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27
    ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
    ANTIVIR1.VDF : 7.1.0.197 1170432 Bytes 07/12/2008 22:52:59
    ANTIVIR2.VDF : 7.1.0.250 342528 Bytes 18/12/2008 22:53:01
    ANTIVIR3.VDF : 7.1.1.15 107520 Bytes 21/12/2008 22:53:03
    Version du moteur: 8.2.0.45
    AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/2008 10:05:56
    AESCRIPT.DLL : 8.1.1.19 336252 Bytes 21/12/2008 22:53:12
    AESCN.DLL : 8.1.1.5 123251 Bytes 07/11/2008 15:06:41
    AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38
    AEPACK.DLL : 8.1.3.4 393591 Bytes 11/11/2008 09:41:39
    AEOFFICE.DLL : 8.1.0.33 196987 Bytes 21/12/2008 22:53:11
    AEHEUR.DLL : 8.1.0.75 1524087 Bytes 21/12/2008 22:53:10
    AEHELP.DLL : 8.1.2.0 119159 Bytes 21/12/2008 22:53:06
    AEGEN.DLL : 8.1.1.8 323956 Bytes 21/12/2008 22:53:05
    AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56
    AECORE.DLL : 8.1.5.2 172405 Bytes 21/12/2008 22:53:04
    AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56
    AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02
    AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58
    AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15
    AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37
    AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19
    AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46
    SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
    SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36
    NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07
    RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16
    RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43

    Configuration pour la recherche actuelle :
    Nom de la tâche..................: Contrôle intégral du système
    Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp
    Documentation....................: bas
    Action principale................: interactif
    Action secondaire................: ignorer
    Recherche sur les secteurs d'amorçage maître: marche
    Recherche sur les secteurs d'amorçage: marche
    Secteurs d'amorçage..............: C:,
    Recherche dans les programmes actifs: marche
    Recherche en cours sur l'enregistrement: marche
    Recherche de Rootkits............: arrêt
    Fichier mode de recherche........: Sélection de fichiers intelligente
    Recherche sur les archives.......: marche
    Limiter la profondeur de récursivité: 20
    Archive Smart Extensions.........: marche
    Heuristique de macrovirus........: marche
    Heuristique fichier..............: moyen

    Début de la recherche : lundi 22 décembre 2008 14:39

    La recherche sur les processus démarrés commence :
    Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'update.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'usnsvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'msmsgs.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'LVComS.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ApntEx.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'hpgs2wnf.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'hpgs2wnd.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'LogiTray.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'hphmon05.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'hpwuSchd2.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'AGRSMMSG.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'Apoint.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wdfmgr.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SMAgent.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'retrorun.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'FTRTSVC.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'CDAC11BA.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
    '44' processus ont été contrôlés avec '44' modules

    La recherche sur les secteurs d'amorçage maître commence :
    Secteur d'amorçage maître HD0
    [INFO] Aucun virus trouvé !

    La recherche sur les secteurs d'amorçage commence :
    Secteur d'amorçage 'C:\'
    [INFO] Aucun virus trouvé !

    La recherche sur les renvois aux fichiers exécutables (registre) commence.
    Le registre a été contrôlé ( '60' fichiers).


    La recherche sur les fichiers sélectionnés commence :

    Recherche débutant dans 'C:\'
    C:\hiberfil.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !


    Fin de la recherche : lundi 22 décembre 2008 15:29
    Temps nécessaire: 50:23 Minute(s)

    La recherche a été effectuée intégralement

    6240 Les répertoires ont été contrôlés
    450708 Des fichiers ont été contrôlés
    0 Des virus ou programmes indésirables ont été trouvés
    0 Des fichiers ont été classés comme suspects
    0 Des fichiers ont été supprimés
    0 Des virus ou programmes indésirables ont été réparés
    0 Les fichiers ont été déplacés dans la quarantaine
    0 Les fichiers ont été renommés
    2 Impossible de contrôler des fichiers
    450706 Fichiers non infectés
    7964 Les archives ont été contrôlées
    2 Avertissements
    0 Consignes
    22 Décembre 2008 18:30:36

    re
    d'autres soucis?
    22 Décembre 2008 19:37:40

    Non je n'ai plus de problèmes...
    Je te remercie de ton aide, grâce à toi j'ai pu éviter le formatage !
    22 Décembre 2008 20:11:04

    Personnellement, télécharges Hitman pro, installe le, scan avec celui-ci, supprime spywares, et plus aucune pub imtempestives! c'est ce que j'ai fais quand j'en avais
    22 Décembre 2008 21:33:12

    re

    Supprime tous les programmes installés pour la désinfection.


    Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.



    Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.

    Si tu en as assez d'être assailli de publicités durant ta navigation, installe Firefox sécurisé avec les extensions noscript et AdBlock Plus.

    ~Edite ton premier message (en cliquant sur la gomme) et marque [résolu] dans le titre.
    Si ton nom de session correspond à ton véritable nom, tu as la possibilité de le changer en éditant tes posts.

    :hello: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS