Se connecter / S'enregistrer
Votre question

antispyware XP 2009 Que faire du rapport hijackthis.log

Tags :
  • Hijackthis
  • Sécurité
Dernière réponse : dans Sécurité et virus
30 Octobre 2008 21:19:41

Mon ordinateur n'accède plus à Internet suite à une infection par antispyware XP 2009. C'est à partir d'un autre que j'écris.
Suite aux conseils j'ai installé hijackthis. Mais je ne sais pas quoi faire du rapport ci-dessous. Pouvez-vous m'aider?
Merci

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:50:11, on 30/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\AntiSpywareXP2009\AntiSpywareXP2009.exe
C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AntiSpywareXP 2009] "C:\Program Files\AntiSpywareXP2009\AntiSpywareXP2009.exe" /hide
O4 - HKLM\..\Run: [brastk] brastk.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photobox.fr/discount/clients/uploader_v2.2.0...
O17 - HKLM\System\CCS\Services\Tcpip\..\{30D81976-DF70-4F17-BEEF-8CF574D2F63F}: NameServer = 192.168.1.1
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 7037 bytes

Autres pages sur : antispyware 2009 rapport hijackthis log

a c 295 8 Sécurité
30 Octobre 2008 22:28:04

Salut,

  • Télécharge SDFix (créé par AndyManchesta) sur ton Bureau.
  • Double-clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
  • Redémarre ton ordinateur en Mode sans échec.

    Pour redémarrer en mode sans échec :
  • Redémarre ton PC.
  • Au démarrage, tapote sur F8 (F5 sur certains PC) juste après l'affichage du BIOS et juste avant le chargement de Windows.
  • Dans le menu d'options avancées, choisis Mode sans échec.
  • Choisis ton compte.

    Déroule la liste des instructions ci-dessous :
  • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double-clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse.
    30 Octobre 2008 22:34:18

    Bonsoir,

    Merci de ne pas prendre en charge de désinfection tant que tu n'as pas fini ta formation sur SA.
    Contenus similaires
    30 Octobre 2008 22:43:49

    Michou tu pourrais voir mon sujet s'il te plaît on n'a pas fini :D 
    31 Octobre 2008 01:28:43

    Hein ? :D 
    a c 295 8 Sécurité
    31 Octobre 2008 01:33:16

    XmichouX ---> Je t'ai mp ;) 
    31 Octobre 2008 11:21:40

    Bon, Gamosse, pour le moment, fais ce qu'il a dit. Je vais en discuter avec les autres. Je sais déjà pour Egwene.
    31 Octobre 2008 13:27:44

    J'ai utilisé SDfix. Le report est ci-dessous.
    L'ordinateur s'est planté par deux fois au redémarrage. J'ai réussi à ouvrir des fichiers. J'ai supprimé puis réinstallé Avast. Et là de nouveau l'ordinateur se plante. Je le démarre en mode sans échec avec prise en charge réseau. Et là sur Mozilla, un programme nommé quelque chose comme "Mozilla Scan antispyware ?" se lance tout seul. J'arrête tout.
    Je redémarre en mode normal. Et l'assistant de mise à jour de windows signale qu'il enregistre la configuration avant une mise à jour.
    D'autre part dans le menu démarrer apparaît toujours un lien vers "antispywarexp2009" je n'y ai pas touché.
    Conclusion : ce n'est apparemment pas clean.

    Report.txt
    SDFix: Version 1.238
    Run by Fr‚d‚rique on 31/10/2008 at 08:48

    Microsoft Windows XP [version 5.1.2600]
    Running From: C:\SDFix

    Checking Services :


    Restoring Default Security Values
    Restoring Default Hosts File

    Rebooting


    Checking Files :

    Trojan Files Found:

    C:\DOCUME~1\FRDRIQ~1\COOKIES\EKYTIJ~1.SCR - Deleted
    C:\Program Files\AntiSpywareXP2009\AntiSpywareXP2009.cfg - Deleted
    C:\Program Files\AntiSpywareXP2009\AntiSpywareXP2009.exe - Deleted
    C:\Program Files\AntiSpywareXP2009\AVEngn.dll - Deleted
    C:\Program Files\AntiSpywareXP2009\htmlayout.dll - Deleted
    C:\Program Files\AntiSpywareXP2009\pthreadVC2.dll - Deleted
    C:\Program Files\AntiSpywareXP2009\Uninstall.exe - Deleted
    C:\Program Files\AntiSpywareXP2009\wscui.cpl - Deleted
    C:\Program Files\AntiSpywareXP2009\data\daily.cvd - Deleted
    C:\Program Files\AntiSpywareXP2009\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest - Deleted
    C:\Program Files\AntiSpywareXP2009\Microsoft.VC80.CRT\msvcm80.dll - Deleted
    C:\Program Files\AntiSpywareXP2009\Microsoft.VC80.CRT\msvcp80.dll - Deleted
    C:\Program Files\AntiSpywareXP2009\Microsoft.VC80.CRT\msvcr80.dll - Deleted
    C:\DOCUME~1\FRDRIQ~1\LOCALS~1\Temp\wrdwn2 - Deleted
    C:\DOCUME~1\FRDRIQ~1\LOCALS~1\Temp\wrdwn3 - Deleted
    C:\DOCUME~1\FRDRIQ~1\LOCALS~1\Temp\wrdwn4 - Deleted
    C:\DOCUME~1\FRDRIQ~1\LOCALS~1\Temp\wrdwn5 - Deleted
    C:\DOCUME~1\FRDRIQ~1\LOCALS~1\Temp\wrdwn6 - Deleted
    C:\DOCUME~1\FRDRIQ~1\LOCALS~1\Temp\wrdwn7 - Deleted
    C:\WINDOWS\system32\wini10801.exe - Deleted
    C:\Documents and Settings\Fr‚d‚rique\Application Data\Microsoft\Internet Explorer\Quick Launch\AntiSpywareXP2009.lnk - Deleted
    C:\Documents and Settings\Fr‚d‚rique\Bureau\AntiSpywareXP2009.lnk - Deleted
    C:\WINDOWS\brastk.exe - Deleted
    C:\WINDOWS\system32\_scui.cpl - Deleted
    C:\WINDOWS\system32\brastk.exe - Deleted
    C:\WINDOWS\system32\delself.bat - Deleted
    C:\WINDOWS\system32\drivers\svchost.exe - Deleted


    Could Not Remove C:\DOCUME~1\FRDRIQ~1\LOCALS~1\Temp\
    Could Not Remove C:\DOCUME~1\FRDRIQ~1\LOCALS~1\Temp\

    Folder C:\Program Files\AntiSpywareXP2009 - Removed


    Removing Temp Files

    ADS Check :



    Final Check :

    catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-10-31 09:27:41
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden services & system hive ...

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSSserv.sys]
    "start"=dword:00000001
    "type"=dword:00000001
    "imagepath"=str(2):"\systemroot\system32\drivers\TDSSmqlt.sys"
    "group"="file system"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules]
    "TDSSserv"="\systemroot\system32\drivers\TDSSmqlt.sys"
    "TDSSl"="\systemroot\system32\TDSSoiqt.dll"
    "tdssservers"="\systemroot\system32\TDSSmtvd.dat"
    "tdssmain"="\systemroot\system32\TDSShrxm.dll"
    "tdsslog"="\systemroot\system32\TDSSvkql.dll"
    "tdssadw"="\systemroot\system32\TDSSxfum.dll"
    "tdssinit"="\systemroot\system32\TDSSlxwp.dll"
    "tdssurls"="\systemroot\system32\TDSSnmxh.log"
    "tdsspanels"="\systemroot\system32\TDSSsahc.dll"
    "tdssserf"="\systemroot\system32\TDSSrhyp.dll"
    "tdsserrors"="\systemroot\system32\TDSSkkai.log"
    "TDSSproc"="\systemroot\system32\TDSSbubv.log"
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\TDSSserv.sys]
    "start"=dword:00000001
    "type"=dword:00000001
    "imagepath"=str(2):"\systemroot\system32\drivers\TDSSmqlt.sys"
    "group"="file system"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\TDSSserv.sys\modules]
    "TDSSserv"="\systemroot\system32\drivers\TDSSmqlt.sys"
    "TDSSl"="\systemroot\system32\TDSSoiqt.dll"
    "tdssservers"="\systemroot\system32\TDSSmtvd.dat"
    "tdssmain"="\systemroot\system32\TDSShrxm.dll"
    "tdsslog"="\systemroot\system32\TDSSvkql.dll"
    "tdssadw"="\systemroot\system32\TDSSxfum.dll"
    "tdssinit"="\systemroot\system32\TDSSlxwp.dll"
    "tdssurls"="\systemroot\system32\TDSSnmxh.log"
    "tdsspanels"="\systemroot\system32\TDSSsahc.dll"
    "tdssserf"="\systemroot\system32\TDSSrhyp.dll"
    "tdsserrors"="\systemroot\system32\TDSSkkai.log"
    "TDSSproc"="\systemroot\system32\TDSSbubv.log"

    scanning hidden registry entries ...

    scanning hidden files ...

    C:\WINDOWS\system32\drivers\TDSSmqlt.sys 50688 bytes executable
    C:\WINDOWS\system32\TDSSbubv.log 1277 bytes
    C:\WINDOWS\system32\TDSShrxm.dll 29696 bytes executable
    C:\WINDOWS\system32\TDSSlxwp.dll 3727 bytes
    C:\WINDOWS\system32\TDSSmtvd.dat 164 bytes
    C:\WINDOWS\system32\TDSSnmxh.log 3488077 bytes
    C:\WINDOWS\system32\TDSSoiqt.dll 26112 bytes executable
    C:\WINDOWS\system32\TDSSrhyp.dll 30720 bytes executable
    C:\WINDOWS\system32\TDSSvkql.dll 31232 bytes executable
    C:\WINDOWS\system32\TDSSxfum.dll 73728 bytes executable
    C:\Documents and Settings\Frédérique\Local Settings\Temp\TDSS7c17.tmp 118784 bytes executable
    C:\Documents and Settings\Frédérique\Local Settings\Temp\TDSS7c36.tmp 685056 bytes executable

    scan completed successfully
    hidden processes: 0
    hidden services: 1
    hidden files: 12


    Remaining Services :




    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "%ProgramFiles%\\AOL 9.0\\aol.exe"="%ProgramFiles%\\AOL 9.0\\aol.exe:*:Enabled:AOL"
    "%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\logo_ubi.exe"="%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\logo_ubi.exe:*:Enabled:SPLINTER CELL PANDORA"
    "%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\pandora.exe"="%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\pandora.exe:*:Enabled:p ANDORA"
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\APPS\\Inventime\\my.exe"="C:\\APPS\\Inventime\\my.exe:*:Enabled:INVENTIME"
    "C:\\Program Files\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"="C:\\Program Files\\Nero\\Nero 7\\Nero Home\\NeroHome.exe:*:Enabled:Nero Home"
    "C:\\APPS\\skype\\phone\\Skype.exe"="C:\\APPS\\skype\\phone\\Skype.exe:*:Enabled:Skype"
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
    "C:\\Program Files\\Shareaza\\Shareaza.exe"="C:\\Program Files\\Shareaza\\Shareaza.exe:*:Enabled:Shareaza"
    "C:\\Program Files\\DNA\\btdna.exe"="C:\\Program Files\\DNA\\btdna.exe:*:Enabled:D NA"
    "C:\\Program Files\\BitTorrent\\bittorrent.exe"="C:\\Program Files\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"
    "C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
    "C:\\WINDOWS\\system32\\drivers\\svchost.exe"="C:\\WINDOWS\\system32\\drivers\\svchost.exe:*:D isabled:svchost"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

    Remaining Files :

    C:\DOCUME~1\FRDRIQ~1\LOCALS~1\Temp\ Found
    C:\DOCUME~1\FRDRIQ~1\LOCALS~1\Temp\ Found

    File Backups: - C:\SDFix\backups\backups.zip

    Files with Hidden Attributes :

    Tue 23 May 2006 215 A.SHR --- "C:\BOOT.BAK"
    Tue 31 May 2005 54,384 A..H. --- "C:\Program Files\AOL 9.0\aolphx.exe"
    Tue 31 May 2005 156,784 A..H. --- "C:\Program Files\AOL 9.0\aoltray.exe"
    Tue 31 May 2005 31,344 A..H. --- "C:\Program Files\AOL 9.0\RBM.exe"
    Mon 4 Oct 2004 417,792 A..H. --- "C:\Program Files\Canon\Canon Setup Utility 2.0\Maint.exe"
    Thu 27 May 2004 61,440 A..H. --- "C:\Program Files\Canon\Canon Setup Utility 2.0\uinstrsc.dll"
    Wed 28 Feb 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
    Thu 21 Nov 2002 25,088 A..H. --- "C:\Documents and Settings\Fr‚d‚rique\Mes documents\St Aubin\~WRL0001.tmp"
    Tue 31 May 2005 106,496 A..H. --- "C:\Program Files\Fichiers communs\aolshare\shell\fr\shellext.dll"

    Finished!


    a c 295 8 Sécurité
    31 Octobre 2008 17:43:45

    Ok, tu as le rootkit TDSSserv.

    Merci de visiter ce lien pour savoir comment installer et exécuter ComboFix :

    http://www.bleepingcomputer.com/combofix/fr/comment-uti...

    Cela inclut l'installation de la console de récupération windows si jamais elle n'est pas déjà été installée sur le PC. Il est vivement recommandé d'installer la console de récupération windows, car elle permet d'avoir accès à un très grand nombre de fonctionnalités dans le cas où le PC ne redémarrerait plus. C'est une sécurité supplémentaire en quelque sorte.

    Une fois la console de récupération installée, vous aurez le choix au démarrage entre votre windows habituel et la console de récupération. Lancez votre windows habituel, puisque nous n'avons pas besoin d'utiliser la console de récupération, qui ne sert qu'en cas de problèmes. Par défaut, votre OS est sélectionné et il se lance automatiquement au bout de deux secondes. C'est normal :) 

    Merci de me poster dans ta prochaine réponse le rapport de combofix accompagné d'un nouveau rapport HijackThis.
    31 Octobre 2008 17:59:32

    Hello,

    gamosse, tu peux suivre les conseils de Destrio.

    ;) 
    31 Octobre 2008 22:05:46

    Merci Destrio
    Tout semble OK! Je peux me connecter à Internet.
    J'ai réussi à installer Spybot. Je réinstalle Avast.
    Ca fait plaisir de retrouver une machine qui fonctionne.
    Bon WE!
    ---
    Voici le rapport de Combo:
    ComboFix 08-10-30.13 - Frédérique 2008-10-31 21:39:38.1 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.657 [GMT 1:00]
    * Un nouveau point de restauration a été créé
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Documents and Settings\Frédérique\Menu Démarrer\Programmes\SudoPlanet
    C:\Documents and Settings\Frédérique\Menu Démarrer\Programmes\SudoPlanet\SudoPlanet.lnk
    C:\Documents and Settings\Frédérique\Menu Démarrer\Programmes\SudoPlanet\Website.lnk
    C:\Program Files\Dynamic Toolbar
    C:\Program Files\Dynamic Toolbar\batch.bat
    C:\Program Files\Dynamic Toolbar\Cache\go.bmp
    C:\Program Files\Dynamic Toolbar\Cache\home.bmp
    C:\Program Files\Dynamic Toolbar\Cache\logo_pb.bmp
    C:\Program Files\Dynamic Toolbar\Cache\parent_off.bmp
    C:\Program Files\Dynamic Toolbar\Cache\parent_on.bmp
    C:\Program Files\Dynamic Toolbar\Cache\pbfrv2tb0200.cfg
    C:\Program Files\Dynamic Toolbar\Cache\popup_off.bmp
    C:\Program Files\Dynamic Toolbar\Cache\popup_on.bmp
    C:\Program Files\Dynamic Toolbar\Cache\search.bmp
    C:\Program Files\Dynamic Toolbar\Cache\services.bmp
    C:\Program Files\Dynamic Toolbar\Cache\skin.bmp
    C:\Program Files\Dynamic Toolbar\Cache\skin1.bmp
    C:\Program Files\Dynamic Toolbar\Cache\skin2.bmp
    C:\Program Files\Dynamic Toolbar\Cache\skin3.bmp
    C:\Program Files\Dynamic Toolbar\Cache\skin4.bmp
    C:\Program Files\Dynamic Toolbar\Cache\skin5.bmp
    C:\Program Files\Dynamic Toolbar\Cache\store.bmp
    C:\Program Files\Dynamic Toolbar\Cache\style.css
    C:\Program Files\Dynamic Toolbar\Cache\support.bmp
    C:\Program Files\Dynamic Toolbar\Cache\ticker.xml
    C:\Program Files\Dynamic Toolbar\PBFRV2\Cache\go.bmp
    C:\Program Files\Dynamic Toolbar\PBFRV2\Cache\home.bmp
    C:\Program Files\Dynamic Toolbar\PBFRV2\Cache\logo_pb.bmp
    C:\Program Files\Dynamic Toolbar\PBFRV2\Cache\parent_off.bmp
    C:\Program Files\Dynamic Toolbar\PBFRV2\Cache\parent_on.bmp
    C:\Program Files\Dynamic Toolbar\PBFRV2\Cache\PBFRV2TB0200.cfg
    C:\Program Files\Dynamic Toolbar\PBFRV2\Cache\popup_off.bmp
    C:\Program Files\Dynamic Toolbar\PBFRV2\Cache\popup_on.bmp
    C:\Program Files\Dynamic Toolbar\PBFRV2\Cache\search.bmp
    C:\Program Files\Dynamic Toolbar\PBFRV2\Cache\services.bmp
    C:\Program Files\Dynamic Toolbar\PBFRV2\Cache\skin.bmp
    C:\Program Files\Dynamic Toolbar\PBFRV2\Cache\skin1.bmp
    C:\Program Files\Dynamic Toolbar\PBFRV2\Cache\skin2.bmp
    C:\Program Files\Dynamic Toolbar\PBFRV2\Cache\skin3.bmp
    C:\Program Files\Dynamic Toolbar\PBFRV2\Cache\skin4.bmp
    C:\Program Files\Dynamic Toolbar\PBFRV2\Cache\skin5.bmp
    C:\Program Files\Dynamic Toolbar\PBFRV2\Cache\store.bmp
    C:\Program Files\Dynamic Toolbar\PBFRV2\Cache\style.css
    C:\Program Files\Dynamic Toolbar\PBFRV2\Cache\support.bmp
    C:\Program Files\Dynamic Toolbar\PBFRV2\Cache\ticker.xml
    C:\Program Files\Dynamic Toolbar\unins000.dat
    C:\Program Files\Dynamic Toolbar\unins000.exe
    C:\WINDOWS\pack.epk
    C:\WINDOWS\system32\av.dat
    C:\WINDOWS\system32\drivers\TDSSmqlt.sys
    C:\WINDOWS\system32\icdxsnhcfa_navtmp.dat
    C:\WINDOWS\system32\TDSSbubv.log
    C:\WINDOWS\system32\TDSShrxm.dll
    C:\WINDOWS\system32\TDSSkkai.log
    C:\WINDOWS\system32\TDSSlxwp.dll
    C:\WINDOWS\system32\TDSSmtvd.dat
    C:\WINDOWS\system32\TDSSnmxh.log
    C:\WINDOWS\system32\TDSSoiqt.dll
    C:\WINDOWS\system32\TDSSrhyp.dll
    C:\WINDOWS\system32\TDSSsahc.dll
    C:\WINDOWS\system32\TDSSvkql.dll
    C:\WINDOWS\system32\TDSSxfum.dll
    C:\WINDOWS\system32\wuhgugyaab.dat
    C:\WINDOWS\system32\wuhgugyaab_nav.dat
    C:\WINDOWS\system32\wuhgugyaab_navps.dat

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Service_TDSSserv
    -------\Legacy_TDSSserv
    -------\Legacy_TDSSSERV.SYS
    -------\Service_TDSSserv.sys


    ((((((((((((((((((((((((((((( Fichiers créés du 2008-09-28 au 2008-10-31 ))))))))))))))))))))))))))))))))))))
    .

    2008-10-31 21:12 . 2008-10-31 21:14 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
    2008-10-31 21:12 . 2008-10-31 21:45 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2008-10-31 20:45 . 2008-10-31 20:59 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
    2008-10-31 20:11 . 2008-10-31 20:11 <REP> d-------- C:\Program Files\Lavasoft
    2008-10-31 20:11 . 2008-10-31 20:13 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
    2008-10-31 20:05 . 2006-05-23 06:25 <REP> d-------- C:\Documents and Settings\Administrateur\WINDOWS
    2008-10-31 20:05 . 2004-08-16 16:55 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
    2008-10-31 20:05 . 2004-08-16 16:55 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
    2008-10-31 20:05 . 2004-08-16 16:55 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
    2008-10-31 20:05 . 2006-05-23 06:51 <REP> dr------- C:\Documents and Settings\Administrateur\Mes documents
    2008-10-31 20:05 . 2004-08-16 16:55 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
    2008-10-31 20:05 . 2006-05-23 06:36 <REP> dr------- C:\Documents and Settings\Administrateur\Favoris
    2008-10-31 20:05 . 2008-10-31 20:07 <REP> dr------- C:\Documents and Settings\Administrateur\Bureau
    2008-10-31 20:05 . 2006-05-23 06:36 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\You've Got Pictures Screensaver
    2008-10-31 20:05 . 2006-05-23 06:39 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Symantec
    2008-10-31 20:05 . 2006-05-23 06:50 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\AOL
    2008-10-31 20:05 . 2008-10-31 20:05 <REP> d-------- C:\Documents and Settings\Administrateur
    2008-10-31 20:04 . 2008-10-31 20:04 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
    2008-10-31 18:53 . 2008-10-31 18:53 <REP> d-------- C:\Program Files\Avira
    2008-10-31 18:53 . 2008-10-31 18:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
    2008-10-31 17:12 . 2008-10-31 17:12 579,584 --a------ C:\WINDOWS\system32\dllcache\user32.dll
    2008-10-31 13:19 . 2008-10-31 13:19 <REP> d-------- C:\WINDOWS\system32\fr
    2008-10-31 13:19 . 2008-10-31 13:19 <REP> d-------- C:\WINDOWS\system32\bits
    2008-10-31 13:19 . 2008-10-31 13:19 <REP> d-------- C:\WINDOWS\l2schemas
    2008-10-31 13:18 . 2008-10-31 13:18 <REP> d-------- C:\WINDOWS\ServicePackFiles
    2008-10-31 13:12 . 2008-10-31 13:12 <REP> d-------- C:\WINDOWS\EHome
    2008-10-31 08:37 . 2008-10-31 08:37 <REP> d-------- C:\WINDOWS\ERUNT
    2008-10-31 08:26 . 2008-10-31 17:31 <REP> d-------- C:\SDFix
    2008-10-30 20:49 . 2008-10-30 20:49 <REP> d-------- C:\Program Files\Trend Micro
    2008-10-28 07:55 . 2008-10-28 07:55 14,980 --a------ C:\Program Files\Fichiers communs\zodyvynaq.sys
    2008-10-27 21:17 . 2008-10-27 21:17 19,399 --a------ C:\WINDOWS\apivonyt.bat
    2008-10-27 21:17 . 2008-10-27 21:17 18,427 --a------ C:\Documents and Settings\All Users\Application Data\jumaqyli.pif
    2008-10-27 21:17 . 2008-10-27 21:17 16,114 --a------ C:\WINDOWS\kanylitec.exe
    2008-10-27 21:17 . 2008-10-27 21:17 15,818 --a------ C:\WINDOWS\ynif.sys
    2008-10-27 21:17 . 2008-10-27 21:17 15,224 --a------ C:\WINDOWS\fewasevy.scr
    2008-10-27 21:17 . 2008-10-27 21:17 14,747 --a------ C:\WINDOWS\system32\tifu.db
    2008-10-27 21:17 . 2008-10-27 21:17 14,482 --a------ C:\eneh.bin
    2008-10-27 21:17 . 2008-10-27 21:17 13,975 --a------ C:\WINDOWS\ovej.inf
    2008-10-27 21:17 . 2008-10-27 21:17 13,461 --a------ C:\WINDOWS\system32\rewexova.reg
    2008-10-27 21:17 . 2008-10-27 21:17 12,870 --a------ C:\WINDOWS\azusu._dl
    2008-10-27 21:17 . 2008-10-27 21:17 11,923 --a------ C:\Documents and Settings\All Users\Application Data\ituw.vbs
    2008-10-27 21:17 . 2008-10-27 21:17 10,814 --a------ C:\WINDOWS\usilefano.pif
    2008-10-27 21:17 . 2008-10-27 21:17 10,602 --a------ C:\Documents and Settings\All Users\Application Data\adehavor.bat
    2008-10-27 21:17 . 2008-10-27 21:17 10,213 --a------ C:\Program Files\Fichiers communs\asezufim.dat
    2008-10-24 16:26 . 2008-10-15 17:35 337,408 --------- C:\WINDOWS\system32\dllcache\netapi32.dll
    2008-10-15 15:11 . 2008-08-14 14:23 2,147,328 --------- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
    2008-10-15 15:11 . 2008-09-15 16:26 1,846,528 --------- C:\WINDOWS\system32\dllcache\win32k.sys
    2008-10-15 15:11 . 2008-09-08 11:41 333,824 --------- C:\WINDOWS\system32\dllcache\srv.sys
    2008-10-15 15:10 . 2008-08-14 14:23 2,191,232 --------- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
    2008-10-15 15:10 . 2008-08-14 14:23 2,068,096 --------- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
    2008-10-15 15:10 . 2008-08-14 14:23 2,025,984 --------- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
    2008-10-05 12:34 . 2008-10-05 12:34 <REP> d-------- C:\Documents and Settings\Frédérique\Application Data\MSNInstaller
    2008-09-22 21:40 . 2004-08-03 23:38 701,440 --------- C:\WINDOWS\system32\drivers\ati2mtag.sys
    2008-09-11 16:17 . 2008-09-11 16:17 <REP> d-------- C:\PROGRAMF
    2008-09-11 16:17 . 1996-07-25 09:41 255,488 --a------ C:\WINDOWS\UN16040C.EXE
    2008-09-11 16:17 . 1995-07-13 18:43 26,768 --a------ C:\WINDOWS\system\CTL3D.DLL
    2008-09-06 16:07 . 2008-09-08 21:31 1,440,054 --a------ C:\screenshot.bmp
    2008-09-06 16:04 . 2008-09-30 21:13 <REP> d-------- C:\Program Files\Bobble Puzzle
    2008-09-06 16:00 . 1999-03-23 08:12 299,520 --a------ C:\WINDOWS\uninst.exe
    2008-09-06 15:20 . 2008-09-06 15:21 <REP> d-------- C:\Program Files\CCleaner

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-10-09 08:21 --------- d-----w C:\Documents and Settings\Frédérique\Application Data\OpenOffice.org2
    2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys
    2008-08-30 11:45 --------- d-----w C:\Documents and Settings\Frédérique\Application Data\DNA
    2008-08-30 11:41 --------- d-----w C:\Program Files\DNA
    2008-07-10 14:28 796,672 ----a-w C:\WINDOWS\GPInstall.exe
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
    "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2008-04-14 1695232]
    "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-20 68856]
    "updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
    "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-03-17 185896]
    "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "msacm.dvacm"= C:\PROGRA~1\FICHIE~1\ULEADS~1\Vio\Dvacm.acm
    "msacm.ulmp3acm"= C:\PROGRA~1\FICHIE~1\ULEADS~1\MPEG\ulmp3acm.acm
    "msacm.mpegacm "= C:\PROGRA~1\FICHIE~1\ULEADS~1\MPEG\mpegacm.acm

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
    backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^LE COMPAGNON CLUB.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\LE COMPAGNON CLUB.lnk
    backup=C:\WINDOWS\pss\LE COMPAGNON CLUB.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^Frédérique^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.3.lnk]
    path=C:\Documents and Settings\Frédérique\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.3.lnk
    backup=C:\WINDOWS\pss\OpenOffice.org 2.3.lnkStartup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
    --a------ 2006-04-21 16:03 94208 C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Club-Internet_McciTrayApp]
    --a------ 2005-11-15 17:46 543232 C:\Program Files\Club-Internet\Agent Wi-Fi V2.1\McciTrayApp.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
    --a------ 2008-04-14 03:33 15360 C:\WINDOWS\system32\ctfmon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Easy-PrintToolBox]
    --a------ 2004-01-14 02:10 409600 C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxhkcmd]
    --a------ 2006-03-23 11:13 77824 C:\WINDOWS\system32\hkcmd.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxpers]
    --a------ 2006-03-23 11:17 118784 C:\WINDOWS\system32\igfxpers.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxtray]
    --a------ 2006-03-23 11:17 94208 C:\WINDOWS\system32\igfxtray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
    --a------ 2004-08-05 13:00 208952 C:\WINDOWS\ime\IMJP8_1\imjpmig.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Motive SmartBridge]
    --a------ 2006-04-21 14:41 438359 C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
    --a------ 2008-04-14 03:34 1695232 C:\Program Files\Messenger\msmsgs.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    --a------ 2006-01-12 15:40 155648 C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
    --a------ 2005-05-11 12:48 127118 c:\APPS\Powercinema\PCMService.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
    --a------ 2004-08-05 13:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
    --a------ 2004-08-05 13:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    --a------ 2006-05-23 06:36 98304 C:\Program Files\QuickTime\qttask.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmpcSys]
    --------- 2005-11-17 08:51 975360 C:\APPS\SMP\SMPSYS.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
    --a------ 2007-09-25 01:11 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
    --a------ 2007-06-20 13:00 68856 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
    --a------ 2005-03-10 17:43 688218 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
    --a------ 2005-03-10 17:44 98394 C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
    --a------ 2008-03-17 15:07 185896 C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector v2]
    --a------ 2004-11-26 10:43 90112 C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\Monitor.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
    --a------ 2006-03-30 15:45 313472 C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WLAN]
    --a------ 2005-11-25 07:52 221184 C:\WINDOWS\system32\WLAN.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
    --a------ 2005-05-03 17:43 69632 C:\WINDOWS\Alcmtr.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Raccourci vers la page des propriétés de High Definition Audio]
    --a------ 2005-01-07 16:07 61952 C:\WINDOWS\system32\HdAShCut.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
    --a------ 2005-12-19 14:52 15797248 C:\WINDOWS\RTHDCPL.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%ProgramFiles%\\AOL 9.0\\aol.exe"=
    "%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\logo_ubi.exe"=
    "%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\pandora.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\APPS\\Inventime\\my.exe"=
    "C:\\Program Files\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=
    "C:\\APPS\\skype\\phone\\Skype.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "C:\\Program Files\\Shareaza\\Shareaza.exe"=
    "C:\\Program Files\\DNA\\btdna.exe"=
    "C:\\Program Files\\Messenger\\msmsgs.exe"=

    R0 O2MDRDR;O2MDRDR;C:\WINDOWS\system32\DRIVERS\o2media.sys [2006-02-27 34880]
    R0 O2SDRDR;O2SDRDR;C:\WINDOWS\system32\DRIVERS\o2sd.sys [2006-02-20 29056]
    R1 kioport;kioport Library Driver;C:\WINDOWS\system32\drivers\kioport.sys [2005-04-29 3968]
    R3 kbd;Keyboard;C:\WINDOWS\system32\DRIVERS\kbd.sys [2005-09-30 21504]
    S3 CIR;Hid Device;C:\WINDOWS\system32\DRIVERS\CIR.sys [2005-09-30 5120]
    S3 ICDUSB2;Sony IC Recorder (ST);C:\WINDOWS\system32\Drivers\ICDUSB2.sys [2002-11-28 39048]
    S3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys [2005-11-19 20096]
    .
    Contenu du dossier 'Tâches planifiées'

    2008-10-31 C:\WINDOWS\Tasks\Extension de garantie.job
    - C:\APPS\SMP\PBCARNOT.EXE [2005-11-09 12:55]

    2008-10-31 C:\WINDOWS\Tasks\Master CD_DVD Creator.job
    - C:\Apps\SMP\MCDCHECK.EXE [2005-11-08 14:26]
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKU-Default-Run-brastk - C:\WINDOWS\system32\brastk.exe
    MSConfigStartUp-avast! - C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    MSConfigStartUp-workflow - D:\install\workflow.exe
    MSConfigStartUp-wuhgugyaab - c:\windows\system32\wuhgugyaab.exe


    .
    ------- Examen supplémentaire -------
    .
    FireFox -: Profile - C:\Documents and Settings\Frédérique\Application Data\Mozilla\Firefox\Profiles\l3aashb4.default\
    FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr
    FF -: plugin - C:\Program Files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
    FF -: plugin - C:\Program Files\DNA\plugins\npbtdna.dll
    FF -: plugin - C:\Program Files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-10-31 21:44:17
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySqlInventime]
    "ImagePath"="c:\mysql\bin\mysqld-max-nt MySqlInventime"
    .
    ------------------------ Autres processus actifs ------------------------
    .
    C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
    C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
    C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
    C:\APPS\HIDSERVICE\HidService.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\o2flash.exe
    C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
    C:\APPS\Powercinema\Kernel\TV\CLSched.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\verclsid.exe
    .
    **************************************************************************
    .
    Heure de fin: 2008-10-31 21:47:54 - La machine a redémarré
    ComboFix-quarantined-files.txt 2008-10-31 20:47:50

    Avant-CF: 32,181,850,112 octets libres
    Après-CF: 32,135,405,568 octets libres

    311 --- E O F --- 2008-10-31 15:38:03
    a c 295 8 Sécurité
    1 Novembre 2008 01:02:49

    1/

  • Ouvre Spybot, clique sur l'onglet Mode et choisis Mode Avancé.
  • Ne tiens pas compte de l'avertissement.
  • En bas à gauche , clique sur Outils.
  • Toujours dans la colonne de gauche, clique sur Résident (pas dans la fenêtre centrale).
  • Et décoche l'option Résident "TeaTimer".


    2/

    /!\ Seul gamosse peut suivre cette procédure /!\

    Désactive toute protection résidente (Antivirus...) !

    ---> Copie (CTRL+C) le texte se situant dans le cadre ci-dessous :

    KillAll::

    File::
    C:\Program Files\Fichiers communs\zodyvynaq.sys
    C:\WINDOWS\apivonyt.bat
    C:\Documents and Settings\All Users\Application Data\jumaqyli.pif
    C:\WINDOWS\kanylitec.exe
    C:\WINDOWS\ynif.sys
    C:\WINDOWS\fewasevy.scr
    C:\WINDOWS\system32\tifu.db
    C:\eneh.bin
    C:\WINDOWS\ovej.inf
    C:\WINDOWS\system32\rewexova.reg
    C:\WINDOWS\azusu._dl
    C:\Documents and Settings\All Users\Application Data\ituw.vbs
    C:\WINDOWS\usilefano.pif
    C:\Documents and Settings\All Users\Application Data\adehavor.bat
    C:\Program Files\Fichiers communs\asezufim.dat

    FileLook::
    C:\WINDOWS\GPInstall.exe


    ---> Ouvre le Bloc Notes : Démarrer > Tous les programmes > Accessoires > Bloc notes

    - Colle (CTRL+V) le texte dans le Bloc-notes.
    - Enregistre ce fichier dans : Bureau
    - Nom du fichier : CFScript
    - Type du fichier : tous les fichiers !!
    - Clique sur Enregistrer.
    - Quitte le Bloc-notes.

    ---> Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :



  • Cela va relancer Combofix : au message qui apparaît (Type 1 to continue, or 2 to abort), tape 1 puis valide.
  • Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
  • Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher, copie/colle son contenu sur le forum.
  • Si le fichier ne s'ouvre pas, il se trouve ici : C:\ComboFix.txt
  • Poste un nouveau rapport HijackThis.

    ;) 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS