Se connecter / S'enregistrer
Votre question

HLDRRR.EXE

Tags :
  • Windows
  • Sécurité
Dernière réponse : dans Sécurité et virus
21 Août 2008 04:32:19

Bonjour, voila j'ai un souci : depuis quelque temps je remarque que dès qu'antivir se lance il est aussitôt fermé et impossible de le réouvrir , je n'ai même plus d'icônes dans la barre démarrer...
en regardant sur mon gestionnaire des tâches je regarde application par application et tape sur google pour connaitre leur signification.
Or je tombe sur cette saloperie qu'est hldrrr.exe qui est apparemment un virus.
Je suis très loin d'être calé sur la protection informatique et donc je vous prie de bien vouloir m'aider a éradiquer cette cochonnerie,

merci d'avance :ange: 


voici le scan hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:06:55, on 21/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ASUS\ASUS Remote\RemoteControlAppl.exe
C:\Program Files\CyberLink\PowerCinema\PCMService.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\TP-LINK\TL-WN313G_353G_353GD\RtWLan.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Client\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [GEST] C:\Program Files\GIGABYTE\GEST\RUN.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] C:\Program Files\ASUS\ASUS Remote\RemoteControlAppl.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\FICHIE~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
O4 - Global Startup: ASUS
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O4 - Global Startup: TP-LINK Wireless Utility.lnk = C:\Program Files\TP-LINK\TL-WN313G_353G_353GD\RtWLan.exe
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Adobe Version Cue CS3 {fr_FR} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Program Files\Fichiers communs\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\GEST\GSvr.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

--
End of file - 8726 bytes

Autres pages sur : hldrrr exe

21 Août 2008 12:10:08

Bonjour,

Je vais m'occuper de toi. Merci de prendre en compte que je suis bénévole, que j'ai une vie privée et que j'aide plusieurs internautes à la fois, donc merci d'être patient. Cependant, je ne lâche jamais un internaute tant que son PC n'est pas propre ;

Télécharge ELIBAGLA en bas de cette page:
==> http://www.zonavirus.com/datos/descargas/95/elibagla.as...
Lance Elibagla en double cliquant dessus.
assure toi que le bouton "Eliminar Ficheros Automaticamente" soit coché.
Vérifie que C:\ soit sélectionné dans Unidad (ou la partition contenant ton OS).
Clique sur le bouton Explorar.
à la fin poste le rapport C:\infoSat.txt

N.B : Si ELIBAGLA ne marche pas, reviens me le dire, sinon poste le rapport demandé :) 

;) 
21 Août 2008 13:03:25


Mon Aug 21 12:56:45 2006
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.66
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Renombrado a .VIR
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Mon Aug 21 12:59:23 2006
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"

Mon Aug 21 12:59:51 2006
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Mon Aug 21 13:00:24 2006
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurada Clave: "SafeBoot\Minimal y Network"

Mon Aug 21 13:00:26 2006
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\


voila Merillym :) 
Contenus similaires
21 Août 2008 14:08:59

Re,

Fais un clic droit sur ComboFix (de sUBs) et choisis Enregistrer la cible (du lien) sous.

  • Choisis le Bureau, insère un trait d'union entre Combo et Fix de telle manière à obtenir Combo-Fix.exe, puis choisis Enregistrer.
  • Désactive temporairement toute protection résidente ! (Antivirus, antispywares..)
  • Double clique sur ComboFix.exe.
  • Accepte la licence en cliquant sur Oui.
  • Lorsque l'opération sera terminée, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.

    Le rapport se trouve ici : %systemdrive%\ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C:\ en général)

    Aide : Comment utiliser ComboFix.

    ;) 
    21 Août 2008 17:13:33

    ComboFix 08-08-19.06 - Client 2008-08-21 17:03:53.1 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1447 [GMT 2:00]
    Endroit: C:\Documents and Settings\Client\Bureau\ComboFix.exe
    * Création d'un nouveau point de restauration

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\InfoSat.txt
    C:\WINDOWS\system32\drivers\downld
    C:\WINDOWS\system32\drivers\downld\144593.exe
    C:\WINDOWS\system32\drivers\downld\14673000.exe
    C:\WINDOWS\system32\drivers\downld\14688953.exe
    C:\WINDOWS\system32\drivers\downld\14689843.exe
    C:\WINDOWS\system32\drivers\downld\14692609.exe
    C:\WINDOWS\system32\drivers\downld\14695656.exe
    C:\WINDOWS\system32\drivers\downld\14698750.exe
    C:\WINDOWS\system32\drivers\downld\14710593.exe
    C:\WINDOWS\system32\drivers\downld\14714734.exe
    C:\WINDOWS\system32\drivers\downld\14717515.exe
    C:\WINDOWS\system32\drivers\downld\14720484.exe
    C:\WINDOWS\system32\drivers\downld\14723984.exe
    C:\WINDOWS\system32\drivers\downld\14727843.exe
    C:\WINDOWS\system32\drivers\downld\147531.exe
    C:\WINDOWS\system32\drivers\downld\14761718.exe
    C:\WINDOWS\system32\drivers\downld\14770500.exe
    C:\WINDOWS\system32\drivers\downld\14785937.exe
    C:\WINDOWS\system32\drivers\downld\14796093.exe
    C:\WINDOWS\system32\drivers\downld\14796125.exe
    C:\WINDOWS\system32\drivers\downld\14806781.exe
    C:\WINDOWS\system32\drivers\downld\149031.exe
    C:\WINDOWS\system32\drivers\downld\14903625.exe
    C:\WINDOWS\system32\drivers\downld\14980046.exe
    C:\WINDOWS\system32\drivers\downld\15004781.exe
    C:\WINDOWS\system32\drivers\downld\15024312.exe
    C:\WINDOWS\system32\drivers\downld\152078.exe
    C:\WINDOWS\system32\drivers\downld\15216484.exe
    C:\WINDOWS\system32\drivers\downld\15250093.exe
    C:\WINDOWS\system32\drivers\downld\153562.exe
    C:\WINDOWS\system32\drivers\downld\155062.exe
    C:\WINDOWS\system32\drivers\downld\156500.exe
    C:\WINDOWS\system32\drivers\downld\162921.exe
    C:\WINDOWS\system32\drivers\downld\164312.exe
    C:\WINDOWS\system32\drivers\downld\165937.exe
    C:\WINDOWS\system32\drivers\downld\166687.exe
    C:\WINDOWS\system32\drivers\downld\169843.exe
    C:\WINDOWS\system32\drivers\downld\172093.exe
    C:\WINDOWS\system32\drivers\downld\172359.exe
    C:\WINDOWS\system32\drivers\downld\173046.exe
    C:\WINDOWS\system32\drivers\downld\173765.exe
    C:\WINDOWS\system32\drivers\downld\175296.exe
    C:\WINDOWS\system32\drivers\downld\176953.exe
    C:\WINDOWS\system32\drivers\downld\178250.exe
    C:\WINDOWS\system32\drivers\downld\179484.exe
    C:\WINDOWS\system32\drivers\downld\180562.exe
    C:\WINDOWS\system32\drivers\downld\181375.exe
    C:\WINDOWS\system32\drivers\downld\182062.exe
    C:\WINDOWS\system32\drivers\downld\182765.exe
    C:\WINDOWS\system32\drivers\downld\183640.exe
    C:\WINDOWS\system32\drivers\downld\184703.exe
    C:\WINDOWS\system32\drivers\downld\189031.exe
    C:\WINDOWS\system32\drivers\downld\190906.exe
    C:\WINDOWS\system32\drivers\downld\192140.exe
    C:\WINDOWS\system32\drivers\downld\192890.exe
    C:\WINDOWS\system32\drivers\downld\198312.exe
    C:\WINDOWS\system32\drivers\downld\201156.exe
    C:\WINDOWS\system32\drivers\downld\204515.exe
    C:\WINDOWS\system32\drivers\downld\207703.exe
    C:\WINDOWS\system32\drivers\downld\218593.exe
    C:\WINDOWS\system32\drivers\downld\223546.exe
    C:\WINDOWS\system32\drivers\downld\244078.exe
    C:\WINDOWS\system32\drivers\downld\244890.exe
    C:\WINDOWS\system32\drivers\downld\254296.exe
    C:\WINDOWS\system32\drivers\downld\254343.exe
    C:\WINDOWS\system32\drivers\downld\255125.exe
    C:\WINDOWS\system32\drivers\downld\257531.exe
    C:\WINDOWS\system32\drivers\downld\257953.exe
    C:\WINDOWS\system32\drivers\downld\263515.exe
    C:\WINDOWS\system32\drivers\downld\266656.exe
    C:\WINDOWS\system32\drivers\downld\268906.exe
    C:\WINDOWS\system32\drivers\downld\282625.exe
    C:\WINDOWS\system32\drivers\downld\29195203.exe
    C:\WINDOWS\system32\drivers\downld\29211156.exe
    C:\WINDOWS\system32\drivers\downld\29212296.exe
    C:\WINDOWS\system32\drivers\downld\29220484.exe
    C:\WINDOWS\system32\drivers\downld\29223921.exe
    C:\WINDOWS\system32\drivers\downld\29241343.exe
    C:\WINDOWS\system32\drivers\downld\29241359.exe
    C:\WINDOWS\system32\drivers\downld\29248390.exe
    C:\WINDOWS\system32\drivers\downld\29251812.exe
    C:\WINDOWS\system32\drivers\downld\29263093.exe
    C:\WINDOWS\system32\drivers\downld\29270187.exe
    C:\WINDOWS\system32\drivers\downld\29273640.exe
    C:\WINDOWS\system32\drivers\downld\29311500.exe
    C:\WINDOWS\system32\drivers\downld\29322437.exe
    C:\WINDOWS\system32\drivers\downld\29327312.exe
    C:\WINDOWS\system32\drivers\downld\29336656.exe
    C:\WINDOWS\system32\drivers\downld\29347515.exe
    C:\WINDOWS\system32\drivers\downld\29356750.exe
    C:\WINDOWS\system32\drivers\downld\295546.exe
    C:\WINDOWS\system32\drivers\downld\296875.exe
    C:\WINDOWS\system32\drivers\downld\296968.exe
    C:\WINDOWS\system32\drivers\downld\29796953.exe
    C:\WINDOWS\system32\drivers\downld\29854890.exe
    C:\WINDOWS\system32\drivers\downld\29877000.exe
    C:\WINDOWS\system32\drivers\downld\29891250.exe
    C:\WINDOWS\system32\drivers\downld\30073937.exe
    C:\WINDOWS\system32\drivers\downld\30118265.exe
    C:\WINDOWS\system32\drivers\downld\307140.exe
    C:\WINDOWS\system32\drivers\downld\310812.exe
    C:\WINDOWS\system32\drivers\downld\366281.exe
    C:\WINDOWS\system32\drivers\downld\380562.exe
    C:\WINDOWS\system32\drivers\downld\43738687.exe
    C:\WINDOWS\system32\drivers\downld\43750703.exe
    C:\WINDOWS\system32\drivers\downld\43756359.exe
    C:\WINDOWS\system32\drivers\downld\43765218.exe
    C:\WINDOWS\system32\drivers\downld\43768671.exe
    C:\WINDOWS\system32\drivers\downld\43775828.exe
    C:\WINDOWS\system32\drivers\downld\43790437.exe
    C:\WINDOWS\system32\drivers\downld\43798000.exe
    C:\WINDOWS\system32\drivers\downld\43800453.exe
    C:\WINDOWS\system32\drivers\downld\43815203.exe
    C:\WINDOWS\system32\drivers\downld\43821921.exe
    C:\WINDOWS\system32\drivers\downld\43824546.exe
    C:\WINDOWS\system32\drivers\downld\43843921.exe
    C:\WINDOWS\system32\drivers\downld\43855078.exe
    C:\WINDOWS\system32\drivers\downld\43861812.exe
    C:\WINDOWS\system32\drivers\downld\43869765.exe
    C:\WINDOWS\system32\drivers\downld\43906109.exe
    C:\WINDOWS\system32\drivers\downld\43914046.exe
    C:\WINDOWS\system32\drivers\downld\44557906.exe
    C:\WINDOWS\system32\drivers\downld\44582843.exe
    C:\WINDOWS\system32\drivers\downld\44592609.exe
    C:\WINDOWS\system32\drivers\downld\44596718.exe
    C:\WINDOWS\system32\drivers\downld\44686062.exe
    C:\WINDOWS\system32\drivers\downld\44699453.exe
    C:\WINDOWS\system32\drivers\downld\58262062.exe
    C:\WINDOWS\system32\drivers\downld\58275453.exe
    C:\WINDOWS\system32\drivers\downld\58291328.exe
    C:\WINDOWS\system32\drivers\downld\58305718.exe
    C:\WINDOWS\system32\drivers\downld\58306265.exe
    C:\WINDOWS\system32\drivers\downld\58313203.exe
    C:\WINDOWS\system32\drivers\downld\58313390.exe
    C:\WINDOWS\system32\drivers\downld\58316390.exe
    C:\WINDOWS\system32\drivers\downld\58326296.exe
    C:\WINDOWS\system32\drivers\downld\58381843.exe
    C:\WINDOWS\system32\drivers\downld\58390593.exe
    C:\WINDOWS\system32\drivers\downld\58412609.exe
    C:\WINDOWS\system32\drivers\downld\58426765.exe
    C:\WINDOWS\system32\drivers\mdelk.exe

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2008-07-21 to 2008-08-21 ))))))))))))))))))))))))))))))))))))
    .

    2008-08-21 06:58 . 2008-08-21 06:58 <REP> d---s---- C:\Documents and Settings\Client\UserData
    2008-08-17 16:19 . 2008-08-17 16:19 <REP> d-------- C:\Program Files\iTunes
    2008-08-17 16:19 . 2008-08-17 16:19 <REP> d-------- C:\Program Files\iPod
    2008-08-17 16:18 . 2008-08-17 16:18 <REP> d-------- C:\Program Files\Fichiers communs\Apple
    2008-08-12 20:54 . 2008-08-12 20:54 1,409 --a------ C:\WINDOWS\system32\tmp96C78.FOT
    2008-07-25 10:36 . 2008-07-25 10:36 4,816 --a------ C:\WINDOWS\system32\divxsm.tlb
    2008-07-23 18:50 . 2008-07-23 18:50 9,878 --a------ C:\WINDOWS\system32\dsm_fr.qm
    2008-07-23 18:48 . 2008-07-23 18:48 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
    2008-07-23 18:48 . 2008-07-23 18:48 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
    2008-07-23 18:47 . 2008-07-23 18:47 8,835 --a------ C:\WINDOWS\system32\dpufr.qm
    2008-07-23 18:47 . 2008-07-23 18:47 3,067 --a------ C:\WINDOWS\system32\dtu_fr.qm
    2008-07-23 18:47 . 2008-07-23 18:47 416 --a------ C:\WINDOWS\system32\dtu100.dll.manifest
    2008-07-23 18:47 . 2008-07-23 18:47 416 --a------ C:\WINDOWS\system32\dpl100.dll.manifest
    2008-07-23 18:46 . 2008-07-23 18:46 12,288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
    2008-07-21 13:55 . 2008-07-21 13:55 <REP> d-------- C:\Program Files\Google

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-08-17 14:19 --------- d-----w C:\Program Files\Bonjour
    2008-08-17 14:19 --------- d-----w C:\Documents and Settings\Client\Application Data\Apple Computer
    2008-08-17 14:19 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
    2008-08-05 08:36 --------- d-----w C:\Program Files\DivX
    2008-07-25 08:36 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
    2008-07-23 16:50 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
    2008-07-15 01:45 --------- d-----w C:\Program Files\Tablet
    2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
    2008-07-04 13:16 86,016 ----a-w C:\WINDOWS\system32\OpenAL32.dll
    2008-07-04 13:16 262,144 ----a-w C:\WINDOWS\system32\wrap_oal.dll
    2008-06-30 19:02 --------- d-----w C:\Documents and Settings\Client\Application Data\DivX
    2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
    2008-06-23 15:40 663,552 ----a-w C:\WINDOWS\system32\wininet.dll
    2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
    2008-06-06 22:51 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll
    2008-06-05 21:39 315,392 ----a-w C:\WINDOWS\HideWin.exe
    2008-05-22 22:22 129,784 ------w C:\WINDOWS\system32\pxafs.dll
    2008-05-22 22:22 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
    2008-05-22 22:22 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
    2004-06-12 23:09 36,868 ----a-w C:\Program Files\uninst-Starglow.exe
    2004-06-12 23:09 36,868 ----a-w C:\Program Files\uninst-SoundKeys.exe
    2004-06-12 23:09 36,868 ----a-w C:\Program Files\uninst-shine.exe
    2004-06-12 23:09 36,868 ----a-w C:\Program Files\uninst-Particular.exe
    2004-06-12 23:08 36,868 ----a-w C:\Program Files\uninst-Lux.exe
    2004-06-12 23:08 36,868 ----a-w C:\Program Files\uninst-3DStroke.exe
    2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
    2007-02-21 11:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
    2007-12-17 13:43 27,648 --sh--w C:\WINDOWS\system32\Smab0.dll
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 14:00 15360]
    "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
    "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 09:42 2156368]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "GEST"="C:\Program Files\GIGABYTE\GEST\RUN.exe" [2006-10-16 05:03 704520]
    "JMB36X IDE Setup"="C:\WINDOWS\RaidTool\xInsIDE.exe" [2007-03-20 08:36 36864]
    "36X Raid Configurer"="C:\WINDOWS\system32\xRaidSetup.exe" [2007-08-29 10:55 1966080]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-02-25 10:15 13496320]
    "WinSys2"="C:\WINDOWS\system32\winsys2.exe" [2008-02-25 10:15 208896]
    "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-02-25 10:15 86016]
    "RemoteControl"="C:\Program Files\ASUS\ASUS Remote\RemoteControlAppl.exe" [2007-02-12 19:16 65536]
    "PCMService"="C:\Program Files\CyberLink\PowerCinema\PCMService.exe" [2007-02-09 16:34 159744]
    "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 03:02 266497]
    "Acrobat Assistant 8.0"="C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 23:24 620152]
    "Adobe_ID0EYTHM"="C:\PROGRA~1\FICHIE~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE" [2007-03-20 16:40 1884160]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-05-27 10:50 413696]
    "AppleSyncNotifier"="C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-22 20:42 116040]
    "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-07-30 10:47 289064]
    "RTHDCPL"="RTHDCPL.EXE" [2007-09-19 12:14 16844800 C:\WINDOWS\RTHDCPL.exe]
    "nwiz"="nwiz.exe" [2008-02-25 10:15 1626112 C:\WINDOWS\system32\nwiz.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 14:00 15360]

    C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Adobe Reader Synchronizer.lnk - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe [2006-10-23 00:01:50 734872]
    Lancement rapide d'Adobe Acrobat.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe [2008-06-07 20:42:35 295606]
    TP-LINK Wireless Utility.lnk - C:\Program Files\TP-LINK\TL-WN313G_353G_353GD\RtWLan.exe [2008-06-05 23:48:15 790528]

    C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ASUS\ASUS Splendid
    ASUS Splendid.lnk - C:\Program Files\ASUS\ASUS Splendid\ASUSplendid.exe [2008-06-05 23:50:20 651264]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
    "UIHost"="C:\\WINDOWS\\system32\\logonui.exe"

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\CyberLink\\PowerCinema\\PowerCinema.exe"=
    "C:\\Program Files\\CyberLink\\PowerCinema\\PCMService.exe"=
    "C:\\Program Files\\GIGABYTE\\GEST\\run.exe"=
    "C:\\Program Files\\Fichiers communs\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
    "C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "C:\\Program Files\\iTunes\\iTunes.exe"=
    "C:\\Program Files\\Adobe\\Adobe After Effects CS3\\Support Files\\AfterFX.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
    "3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
    "50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
    "50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

    R2 EAPPkt;Realtek EAPPkt Protocol;C:\WINDOWS\system32\DRIVERS\EAPPkt.sys [2006-11-15 16:23]
    R3 3xHybrid;ASUSTek SAA713x PCI Card;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2007-01-25 20:42]
    R3 wacommousefilter;Wacom Mouse Filter Driver;C:\WINDOWS\system32\DRIVERS\wacommousefilter.sys [2006-02-14 23:18]
    R3 wacomvhid;Wacom Virtual Hid Driver;C:\WINDOWS\system32\DRIVERS\wacomvhid.sys [2006-11-15 21:55]
    S3 GEST Service;GEST Service for program management.;C:\Program Files\GIGABYTE\GEST\GSvr.exe [2007-12-14 11:46]
    S3 UltraMonMirror;UltraMonMirror;C:\WINDOWS\system32\DRIVERS\UltraMonMirror.sys []

    *Newly Created Service* - CATCHME
    *Newly Created Service* - PROCEXP90
    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

    2006-08-09 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
    - C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
    .
    - - - - ORPHANS REMOVED - - - -

    HKCU-Run-DWQueuedReporting - C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe


    .
    ------- Supplementary Scan -------
    .
    FireFox -: Profile - C:\Documents and Settings\Client\Application Data\Mozilla\Firefox\Profiles\8ajvinp4.default\
    FF -: plugin - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\browser\nppdf32.dll
    FF -: plugin - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll
    FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npqtplugin8.dll
    FF -: plugin - C:\Program Files\QuickTime\Plugins\npqtplugin8.dll
    .

    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-08-21 17:05:48
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************
    .
    Temps d'accomplissement: 2008-08-21 17:10:25
    ComboFix-quarantined-files.txt 2008-08-21 15:10:20

    Pre-Run: 63,653,224,448 octets libres
    Post-Run: 63,452,721,152 octets libres

    291 --- E O F --- 2008-08-13 01:01:06
    21 Août 2008 22:05:33

    Re,

    D'abord je veux être sûr que tu puisses voir les fichiers/dossiers cachés :

    [~]Aller dans poste de travail/outils/option des dossiers/affichage/afficher les fichiers et dossiers cachés/Appliquer - - > OK
    [~]Aller dans poste de travail/outils/option des dossiers/affichage/décocher masquer les fichiers protégés du système d'exploitation./Appliquer - - > OK
    Tu recocheras après.

    [~] Poste de travail/outils/option des dossiers/affichage/décocher masquer les extensions dont le type est connu./Appliquer - - > OK

    Rends toi sur ce lien : Virus Total
  • Clique sur Parcourir
  • Rends toi jusque sur ce fichier si tu le trouves :

    C:\WINDOWS\system32\tmp96C78.FOT
    C:\WINDOWS\system32\winsys2.exe

  • Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  • Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  • Une nouvelle fenêtre de ton navigateur va apparaître
  • Clique alors sur cette image :
  • Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  • Enfin colle le résultat dans ta prochaine réponse.
    Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
    Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.

    ;) 
    21 Août 2008 23:55:51


    Fichier tmp96C78.FOT reçu le 2008.08.21 23:52:08 (CET)
    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.8.21.0 2008.08.21 -
    AntiVir 7.8.1.23 2008.08.21 -
    Authentium 5.1.0.4 2008.08.21 -
    Avast 4.8.1195.0 2008.08.21 -
    AVG 8.0.0.161 2008.08.21 -
    BitDefender 7.2 2008.08.21 -
    CAT-QuickHeal 9.50 2008.08.21 -
    ClamAV 0.93.1 2008.08.21 -
    DrWeb 4.44.0.09170 2008.08.21 -
    eSafe 7.0.17.0 2008.08.21 -
    eTrust-Vet 31.6.6039 2008.08.21 -
    Ewido 4.0 2008.08.21 -
    F-Prot 4.4.4.56 2008.08.21 -
    F-Secure 7.60.13501.0 2008.08.21 -
    Fortinet 3.14.0.0 2008.08.21 -
    GData 2.0.7306.1023 2008.08.20 -
    Ikarus T3.1.1.34.0 2008.08.21 -
    K7AntiVirus 7.10.423 2008.08.21 -
    Kaspersky 7.0.0.125 2008.08.21 -
    McAfee 5367 2008.08.21 -
    Microsoft 1.3807 2008.08.21 -
    NOD32v2 3376 2008.08.21 -
    Norman 5.80.02 2008.08.21 -
    Panda 9.0.0.4 2008.08.21 -
    PCTools 4.4.2.0 2008.08.21 -
    Prevx1 V2 2008.08.21 -
    Rising 20.58.32.00 2008.08.21 -
    Sophos 4.32.0 2008.08.21 -
    Sunbelt 3.1.1564.1 2008.08.21 -
    Symantec 10 2008.08.21 -
    TheHacker 6.3.0.6.057 2008.08.21 -
    TrendMicro 8.700.0.1004 2008.08.21 -
    VBA32 3.12.8.4 2008.08.21 -
    ViRobot 2008.8.21.1344 2008.08.21 -
    VirusBuster 4.5.11.0 2008.08.21 -
    Webwasher-Gateway 6.6.2 2008.08.21 -
    Information additionnelle
    File size: 1409 bytes
    MD5...: 3b0df27a24c22c98ae6a47874f664ce0
    SHA1..: 24a8db2a8e9871e3d475d8c42bcd24551d132363
    SHA256: 0319ba775e99842446b17f8643aec29dc582a79fd8625e71f120a5e169b3d904
    SHA512: cbe81f3f48a29d97ad00fc053b0ed6bb92fca0908d8820d42b04de0cf11ea220<br>703410b01a582af610285c3a9c056fdeef47c41cd3a052d8ee6571749e7095d0
    PEiD..: -
    PEInfo: -

    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.8.21.0 2008.08.21 -
    AntiVir 7.8.1.23 2008.08.21 -
    Authentium 5.1.0.4 2008.08.21 -
    Avast 4.8.1195.0 2008.08.21 -
    AVG 8.0.0.161 2008.08.21 -
    BitDefender 7.2 2008.08.21 -
    CAT-QuickHeal 9.50 2008.08.21 -
    ClamAV 0.93.1 2008.08.21 -
    DrWeb 4.44.0.09170 2008.08.21 -
    eSafe 7.0.17.0 2008.08.21 -
    eTrust-Vet 31.6.6039 2008.08.21 -
    Ewido 4.0 2008.08.21 -
    F-Prot 4.4.4.56 2008.08.21 -
    F-Secure 7.60.13501.0 2008.08.21 -
    Fortinet 3.14.0.0 2008.08.21 -
    GData 2.0.7306.1023 2008.08.20 -
    Ikarus T3.1.1.34.0 2008.08.21 -
    K7AntiVirus 7.10.423 2008.08.21 -
    Kaspersky 7.0.0.125 2008.08.21 -
    McAfee 5367 2008.08.21 -
    Microsoft 1.3807 2008.08.21 -
    NOD32v2 3376 2008.08.21 -
    Norman 5.80.02 2008.08.21 -
    Panda 9.0.0.4 2008.08.21 -
    PCTools 4.4.2.0 2008.08.21 -
    Prevx1 V2 2008.08.21 -
    Rising 20.58.32.00 2008.08.21 -
    Sophos 4.32.0 2008.08.21 -
    Sunbelt 3.1.1564.1 2008.08.21 -
    Symantec 10 2008.08.21 -
    TheHacker 6.3.0.6.057 2008.08.21 -
    TrendMicro 8.700.0.1004 2008.08.21 -
    VBA32 3.12.8.4 2008.08.21 -
    ViRobot 2008.8.21.1344 2008.08.21 -
    VirusBuster 4.5.11.0 2008.08.21 -
    Webwasher-Gateway 6.6.2 2008.08.21 -

    Information additionnelle
    File size: 1409 bytes
    MD5...: 3b0df27a24c22c98ae6a47874f664ce0
    SHA1..: 24a8db2a8e9871e3d475d8c42bcd24551d132363
    SHA256: 0319ba775e99842446b17f8643aec29dc582a79fd8625e71f120a5e169b3d904
    SHA512: cbe81f3f48a29d97ad00fc053b0ed6bb92fca0908d8820d42b04de0cf11ea220<br>703410b01a582af610285c3a9c056fdeef47c41cd3a052d8ee6571749e7095d0
    PEiD..: -
    PEInfo: -


    et hop ! au fait j'ai pas fait gaffe je t'ai même pas remercier pour ton aide, c'est cool , c'est vraiment cool de ta part ;) 
    22 Août 2008 12:14:18

    Re,

    Il me faut aussi l'analyse du deuxième fichier :

    C:\WINDOWS\system32\winsys2.exe

    ;) 
    22 Août 2008 13:06:42


    Fichier WinSys2.exe reçu le 2008.08.17 13:39:01 (CET)
    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.8.15.0 2008.08.15 -
    AntiVir 7.8.1.19 2008.08.16 -
    Authentium 5.1.0.4 2008.08.16 -
    Avast 4.8.1195.0 2008.08.15 -
    AVG 8.0.0.161 2008.08.16 -
    BitDefender 7.2 2008.08.17 -
    CAT-QuickHeal 9.50 2008.08.16 -
    ClamAV 0.93.1 2008.08.16 -
    DrWeb 4.44.0.09170 2008.08.17 -
    eSafe 7.0.17.0 2008.08.14 -
    eTrust-Vet 31.6.6035 2008.08.15 -
    Ewido 4.0 2008.08.17 -
    F-Prot 4.4.4.56 2008.08.16 -
    F-Secure 7.60.13501.0 2008.08.17 -
    Fortinet 3.14.0.0 2008.08.17 -
    GData 2.0.7306.1023 2008.08.16 -
    Ikarus T3.1.1.34.0 2008.08.17 -
    K7AntiVirus 7.10.417 2008.08.15 -
    Kaspersky 7.0.0.125 2008.08.17 -
    McAfee 5362 2008.08.15 -
    Microsoft 1.3807 2008.08.17 -
    NOD32v2 3362 2008.08.17 -
    Norman 5.80.02 2008.08.15 -
    Panda 9.0.0.4 2008.08.17 -
    PCTools 4.4.2.0 2008.08.16 -
    Prevx1 V2 2008.08.17 -
    Rising 20.57.62.00 2008.08.17 -
    Sophos 4.32.0 2008.08.17 -
    Sunbelt 3.1.1546.1 2008.08.15 -
    Symantec 10 2008.08.16 -
    TheHacker 6.3.0.3.052 2008.08.17 -
    TrendMicro 8.700.0.1004 2008.08.16 -
    VBA32 3.12.8.3 2008.08.17 -
    ViRobot 2008.8.16.1338 2008.08.16 -
    VirusBuster 4.5.11.0 2008.08.16 -
    Webwasher-Gateway 6.6.2 2008.08.17 -
    Information additionnelle
    File size: 208896 bytes
    MD5...: 27949ccd505a6be082d15547b1dff90d
    SHA1..: 569f27f34d53ec7f3eb0151108f3d4f0b4e54140
    SHA256: 7c47e876766ecd62aad68812a40f30bad56a32d994cc16a116b8d3c4ea30ee82
    SHA512: 9b1675320d9d0d356e6e9a761c54abc56124136e6a970fe832bd7c0842eda69d<br>9f0e34bf6a9713e535e63bafd0dfa59f09486134a2fb23aed2faf7e891cd0c85
    PEiD..: -
    PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x410214<br>timedatestamp.....: 0x478ff7fe (Fri Jan 18 00:51:10 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x20996 0x21000 6.65 2bd762b046ea4317483b547ed7ae2d7f<br>.rdata 0x22000 0x7cfe 0x8000 4.90 1f93dbb50db9c21acda7c7c1888d93e8<br>.data 0x2a000 0x8fd4 0x3000 3.31 2bc8669cfae0847f14f5e0b842c89897<br>CONST 0x33000 0x1f 0x1000 0.09 e1c91d3ead8e57dca21253f563c750c1<br>.rsrc 0x34000 0x48a8 0x5000 4.41 46abb0b06f7f2c3453dea7320e86064f<br><br>( 8 imports ) <br>> MADCHOOK.DLL: InjectLibraryA, UninjectLibraryA<br>> KERNEL32.dll: SetErrorMode, HeapAlloc, HeapFree, HeapReAlloc, VirtualAlloc, RtlUnwind, GetCommandLineA, GetProcessHeap, GetStartupInfoA, RaiseException, ExitProcess, HeapSize, VirtualFree, HeapDestroy, HeapCreate, GetStdHandle, TerminateProcess, SetUnhandledExceptionFilter, IsDebuggerPresent, Sleep, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, GetACP, GetConsoleCP, GetConsoleMode, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GetOEMCP, GetCPInfo, CreateFileA, GetCurrentProcess, GetThreadLocale, FlushFileBuffers, SetFilePointer, WriteFile, ReadFile, GlobalFlags, WritePrivateProfileStringA, InterlockedIncrement, TlsFree, DeleteCriticalSection, LocalReAlloc, TlsSetValue, TlsAlloc, InitializeCriticalSection, GlobalHandle, GlobalReAlloc, EnterCriticalSection, TlsGetValue, LeaveCriticalSection, LocalAlloc, GlobalGetAtomNameA, GlobalFindAtomA, lstrcmpW, FreeResource, GetCurrentProcessId, GlobalAddAtomA, CloseHandle, GetCurrentThread, GetCurrentThreadId, ConvertDefaultLocale, GetModuleFileNameA, EnumResourceLanguagesA, GetLocaleInfoA, lstrcmpA, GlobalDeleteAtom, FreeLibrary, InterlockedDecrement, GetModuleFileNameW, GetModuleHandleA, GlobalFree, GlobalAlloc, GlobalLock, GlobalUnlock, FormatMessageA, LocalFree, FindResourceA, LoadResource, LockResource, SizeofResource, MulDiv, SetLastError, GetProcAddress, LoadLibraryA, lstrlenA, CompareStringA, GetVersionExA, GetVersion, GetLastError, WideCharToMultiByte, MultiByteToWideChar, InterlockedExchange, UnhandledExceptionFilter<br>> USER32.dll: UnregisterClassA, LoadCursorA, GetSysColorBrush, EndPaint, BeginPaint, ReleaseDC, GetDC, ClientToScreen, GrayStringA, DrawTextExA, DrawTextA, TabbedTextOutA, ShowWindow, SetWindowTextA, IsDialogMessageA, RegisterWindowMessageA, SendDlgItemMessageA, WinHelpA, GetCapture, GetClassLongA, GetClassNameA, SetPropA, GetPropA, RemovePropA, SetFocus, GetWindowTextA, GetForegroundWindow, GetTopWindow, GetMessagePos, MapWindowPoints, SetForegroundWindow, UpdateWindow, GetMenu, CreateWindowExA, GetClassInfoExA, GetClassInfoA, RegisterClassA, GetSysColor, AdjustWindowRectEx, CopyRect, PtInRect, GetDlgCtrlID, DefWindowProcA, CallWindowProcA, SetWindowLongA, SetWindowPos, SystemParametersInfoA, GetWindowPlacement, GetWindowRect, GetWindow, GetDesktopWindow, SetActiveWindow, CreateDialogIndirectParamA, DestroyWindow, IsWindow, GetDlgItem, GetNextDlgTabItem, EndDialog, DrawIcon, SendMessageA, GetWindowThreadProcessId, GetWindowLongA, GetLastActivePopup, IsWindowEnabled, MessageBoxA, SetCursor, SetWindowsHookExA, CallNextHookEx, GetMessageA, TranslateMessage, DispatchMessageA, GetActiveWindow, DestroyMenu, GetMessageTime, IsIconic, GetClientRect, SetTimer, KillTimer, LoadIconA, EnableWindow, GetSystemMetrics, GetSubMenu, GetMenuItemCount, GetMenuItemID, GetMenuState, UnhookWindowsHookEx, PostQuitMessage, PostMessageA, IsWindowVisible, GetKeyState, PeekMessageA, GetCursorPos, ValidateRect, SetMenuItemBitmaps, GetMenuCheckMarkDimensions, LoadBitmapA, GetFocus, GetParent, ModifyMenuA, EnableMenuItem, CheckMenuItem<br>> GDI32.dll: SetWindowExtEx, ScaleWindowExtEx, DeleteDC, GetStockObject, PtVisible, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, SetViewportOrgEx, SelectObject, Escape, ExtTextOutA, TextOutA, GetDeviceCaps, DeleteObject, SetMapMode, RestoreDC, SaveDC, GetObjectA, SetBkColor, SetTextColor, GetClipBox, CreateBitmap, RectVisible<br>> WINSPOOL.DRV: ClosePrinter, DocumentPropertiesA, OpenPrinterA<br>> ADVAPI32.dll: RegQueryValueA, RegEnumKeyA, RegDeleteKeyA, RegOpenKeyA, RegOpenKeyExA, RegQueryValueExA, RegCreateKeyExA, RegSetValueExA, RegCloseKey<br>> SHLWAPI.dll: PathFindFileNameA, PathFindExtensionA<br>> OLEAUT32.dll: -, -, -<br><br>( 0 exports ) <br>

    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.8.15.0 2008.08.15 -
    AntiVir 7.8.1.19 2008.08.16 -
    Authentium 5.1.0.4 2008.08.16 -
    Avast 4.8.1195.0 2008.08.15 -
    AVG 8.0.0.161 2008.08.16 -
    BitDefender 7.2 2008.08.17 -
    CAT-QuickHeal 9.50 2008.08.16 -
    ClamAV 0.93.1 2008.08.16 -
    DrWeb 4.44.0.09170 2008.08.17 -
    eSafe 7.0.17.0 2008.08.14 -
    eTrust-Vet 31.6.6035 2008.08.15 -
    Ewido 4.0 2008.08.17 -
    F-Prot 4.4.4.56 2008.08.16 -
    F-Secure 7.60.13501.0 2008.08.17 -
    Fortinet 3.14.0.0 2008.08.17 -
    GData 2.0.7306.1023 2008.08.16 -
    Ikarus T3.1.1.34.0 2008.08.17 -
    K7AntiVirus 7.10.417 2008.08.15 -
    Kaspersky 7.0.0.125 2008.08.17 -
    McAfee 5362 2008.08.15 -
    Microsoft 1.3807 2008.08.17 -
    NOD32v2 3362 2008.08.17 -
    Norman 5.80.02 2008.08.15 -
    Panda 9.0.0.4 2008.08.17 -
    PCTools 4.4.2.0 2008.08.16 -
    Prevx1 V2 2008.08.17 -
    Rising 20.57.62.00 2008.08.17 -
    Sophos 4.32.0 2008.08.17 -
    Sunbelt 3.1.1546.1 2008.08.15 -
    Symantec 10 2008.08.16 -
    TheHacker 6.3.0.3.052 2008.08.17 -
    TrendMicro 8.700.0.1004 2008.08.16 -
    VBA32 3.12.8.3 2008.08.17 -
    ViRobot 2008.8.16.1338 2008.08.16 -
    VirusBuster 4.5.11.0 2008.08.16 -
    Webwasher-Gateway 6.6.2 2008.08.17 -

    Information additionnelle
    File size: 208896 bytes
    MD5...: 27949ccd505a6be082d15547b1dff90d
    SHA1..: 569f27f34d53ec7f3eb0151108f3d4f0b4e54140
    SHA256: 7c47e876766ecd62aad68812a40f30bad56a32d994cc16a116b8d3c4ea30ee82
    SHA512: 9b1675320d9d0d356e6e9a761c54abc56124136e6a970fe832bd7c0842eda69d<br>9f0e34bf6a9713e535e63bafd0dfa59f09486134a2fb23aed2faf7e891cd0c85
    PEiD..: -
    PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x410214<br>timedatestamp.....: 0x478ff7fe (Fri Jan 18 00:51:10 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x20996 0x21000 6.65 2bd762b046ea4317483b547ed7ae2d7f<br>.rdata 0x22000 0x7cfe 0x8000 4.90 1f93dbb50db9c21acda7c7c1888d93e8<br>.data 0x2a000 0x8fd4 0x3000 3.31 2bc8669cfae0847f14f5e0b842c89897<br>CONST 0x33000 0x1f 0x1000 0.09 e1c91d3ead8e57dca21253f563c750c1<br>.rsrc 0x34000 0x48a8 0x5000 4.41 46abb0b06f7f2c3453dea7320e86064f<br><br>( 8 imports ) <br>> MADCHOOK.DLL: InjectLibraryA, UninjectLibraryA<br>> KERNEL32.dll: SetErrorMode, HeapAlloc, HeapFree, HeapReAlloc, VirtualAlloc, RtlUnwind, GetCommandLineA, GetProcessHeap, GetStartupInfoA, RaiseException, ExitProcess, HeapSize, VirtualFree, HeapDestroy, HeapCreate, GetStdHandle, TerminateProcess, SetUnhandledExceptionFilter, IsDebuggerPresent, Sleep, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, GetACP, GetConsoleCP, GetConsoleMode, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GetOEMCP, GetCPInfo, CreateFileA, GetCurrentProcess, GetThreadLocale, FlushFileBuffers, SetFilePointer, WriteFile, ReadFile, GlobalFlags, WritePrivateProfileStringA, InterlockedIncrement, TlsFree, DeleteCriticalSection, LocalReAlloc, TlsSetValue, TlsAlloc, InitializeCriticalSection, GlobalHandle, GlobalReAlloc, EnterCriticalSection, TlsGetValue, LeaveCriticalSection, LocalAlloc, GlobalGetAtomNameA, GlobalFindAtomA, lstrcmpW, FreeResource, GetCurrentProcessId, GlobalAddAtomA, CloseHandle, GetCurrentThread, GetCurrentThreadId, ConvertDefaultLocale, GetModuleFileNameA, EnumResourceLanguagesA, GetLocaleInfoA, lstrcmpA, GlobalDeleteAtom, FreeLibrary, InterlockedDecrement, GetModuleFileNameW, GetModuleHandleA, GlobalFree, GlobalAlloc, GlobalLock, GlobalUnlock, FormatMessageA, LocalFree, FindResourceA, LoadResource, LockResource, SizeofResource, MulDiv, SetLastError, GetProcAddress, LoadLibraryA, lstrlenA, CompareStringA, GetVersionExA, GetVersion, GetLastError, WideCharToMultiByte, MultiByteToWideChar, InterlockedExchange, UnhandledExceptionFilter<br>> USER32.dll: UnregisterClassA, LoadCursorA, GetSysColorBrush, EndPaint, BeginPaint, ReleaseDC, GetDC, ClientToScreen, GrayStringA, DrawTextExA, DrawTextA, TabbedTextOutA, ShowWindow, SetWindowTextA, IsDialogMessageA, RegisterWindowMessageA, SendDlgItemMessageA, WinHelpA, GetCapture, GetClassLongA, GetClassNameA, SetPropA, GetPropA, RemovePropA, SetFocus, GetWindowTextA, GetForegroundWindow, GetTopWindow, GetMessagePos, MapWindowPoints, SetForegroundWindow, UpdateWindow, GetMenu, CreateWindowExA, GetClassInfoExA, GetClassInfoA, RegisterClassA, GetSysColor, AdjustWindowRectEx, CopyRect, PtInRect, GetDlgCtrlID, DefWindowProcA, CallWindowProcA, SetWindowLongA, SetWindowPos, SystemParametersInfoA, GetWindowPlacement, GetWindowRect, GetWindow, GetDesktopWindow, SetActiveWindow, CreateDialogIndirectParamA, DestroyWindow, IsWindow, GetDlgItem, GetNextDlgTabItem, EndDialog, DrawIcon, SendMessageA, GetWindowThreadProcessId, GetWindowLongA, GetLastActivePopup, IsWindowEnabled, MessageBoxA, SetCursor, SetWindowsHookExA, CallNextHookEx, GetMessageA, TranslateMessage, DispatchMessageA, GetActiveWindow, DestroyMenu, GetMessageTime, IsIconic, GetClientRect, SetTimer, KillTimer, LoadIconA, EnableWindow, GetSystemMetrics, GetSubMenu, GetMenuItemCount, GetMenuItemID, GetMenuState, UnhookWindowsHookEx, PostQuitMessage, PostMessageA, IsWindowVisible, GetKeyState, PeekMessageA, GetCursorPos, ValidateRect, SetMenuItemBitmaps, GetMenuCheckMarkDimensions, LoadBitmapA, GetFocus, GetParent, ModifyMenuA, EnableMenuItem, CheckMenuItem<br>> GDI32.dll: SetWindowExtEx, ScaleWindowExtEx, DeleteDC, GetStockObject, PtVisible, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, SetViewportOrgEx, SelectObject, Escape, ExtTextOutA, TextOutA, GetDeviceCaps, DeleteObject, SetMapMode, RestoreDC, SaveDC, GetObjectA, SetBkColor, SetTextColor, GetClipBox, CreateBitmap, RectVisible<br>> WINSPOOL.DRV: ClosePrinter, DocumentPropertiesA, OpenPrinterA<br>> ADVAPI32.dll: RegQueryValueA, RegEnumKeyA, RegDeleteKeyA, RegOpenKeyA, RegOpenKeyExA, RegQueryValueExA, RegCreateKeyExA, RegSetValueExA, RegCloseKey<br>> SHLWAPI.dll: PathFindFileNameA, PathFindExtensionA<br>> OLEAUT32.dll: -, -, -<br><br>( 0 exports ) <br>

    désolé j'avais pas compris :bounce: 
    22 Août 2008 18:37:40

    Re,

    1) Suis ces étapes pour désinstaller proprement combofix et les tools que nous avons utilisés pendant la désinfection

  • Menu démarrer puis exécuter
  • Tape maintenant Combofix /u dans la fenêtre que apparaît puis valide par OK. Veille à bien laisser un espace entre le X et le /U, car cela est nécessaire ici.


    2) Désinstalle/réinstalle TOUS tes logiciels de protection.

    3) Poste un nouveau rapport HijackThis.

    Comment va le PC ? Toujours des problèmes ?

    ;) 
    22 Août 2008 21:15:44

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:12:48, on 22/08/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0013)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\CyberLink\Shared files\RichVideo.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\Tablet.exe
    C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
    C:\WINDOWS\system32\WTablet\TabUserW.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\ASUS\ASUS Remote\RemoteControlAppl.exe
    C:\Program Files\CyberLink\PowerCinema\PCMService.exe
    C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\TP-LINK\TL-WN313G_353G_353GD\RtWLan.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\WINDOWS\system32\Tablet.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\update.exe
    c:\program files\avira\antivir personaledition classic\avcenter.exe
    C:\Documents and Settings\Client\Bureau\HiJackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
    O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [RemoteControl] C:\Program Files\ASUS\ASUS Remote\RemoteControlAppl.exe
    O4 - HKLM\..\Run: [PCMService] "C:\Program Files\CyberLink\PowerCinema\PCMService.exe"
    O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
    O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\FICHIE~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
    O4 - Global Startup: ASUS
    O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
    O4 - Global Startup: TP-LINK Wireless Utility.lnk = C:\Program Files\TP-LINK\TL-WN313G_353G_353GD\RtWLan.exe
    O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O23 - Service: Adobe Version Cue CS3 {fr_FR} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Program Files\Fichiers communs\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
    O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
    O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\GEST\GSvr.exe
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
    O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

    --
    End of file - 9224 bytes



    Merci mille fois, problème résolu ! pc clean !
    23 Août 2008 01:01:08

    Re,

    Bonne nouvelle :super:

    Je te conseille de désinstaller et de supprimer tous tes logiciels de p2p : 50% de ce que tu télécharges via p2p est piégé. Le p2p est le premier vecteur d'infection de nos jours.
    Plus d'informations disponibles en cliquant sur le lien suivant : Cracks / P2P

    ***

    Installe un parefeu :
    Je t'en propose plusieurs (à toi de choisir!) :
    Sygate, Oupost, Kerio, ou encore Zone Alarm, etc ....
    Désactive le parefeu de Windows (tuto) après avoir installé un nouveau parefeu.

    ***

    Prévention :

    - Nettoyage des fichiers temporaires :

    Télécharge Ccleaner sur ton Bureau.

  • Clique sur "download the latest version"
  • Installe-le en laissant seulement les options suivantes cochées :
    - Ajouter un raccourci sur le Bureau
    - Contrôler automatiquement les mises à jour de CCleaner
  • Lance le Nettoyage
  • Clique sur Chercher des erreurs et sauvegarde si tu le souhaites.

    Aide : Comment utiliser CCleaner.


    Telecharge ATFcleaner sur ton Bureau.

  • Double-clique sur l'exécutable téléchargé.
  • Dans l'onglet Main, coche simplement la case Select All (toutes les cases vont se cocher) puis sur le bouton Empty Selected.
  • Si tu possèdes Firefox ou Opera comme navigateur, pense à choisir ton navigateur en haut a gauche avant de sélectionner Select All puis Empty Selected.
  • Puis réponds Non au message qui s'affiche, si tu ne souhaites pas perdre tes mots de passe.

    Aide : Comment utiliser AFTCleaner.

    -- Restauration Système :

    Désactive-Réactive la restauration système.

    Méthode XP :
    Clique sur Démarrer, fais un clique droit sur le Poste de travail puis clique sur Propiétés. Sélectionne l'onglet Restauration du Système.
    Dans cet onglet, coche la case Désactiver la Restauration du système sur tous les lecteurs.
    Un message de confirmation va apparaître. Clique sur Oui, puis OK. Fais redémarrer ton ordinateur pour que les changements soient bien pris en compte.
    Pour réactiver la restauration système, il suffit de décocher cette même case et de faire redémarrer ton ordinateur (en ayant suivi les mêmes étapes).

    Méthode Vista :
    Clique sur Démarrer, fais un clique droit sur Ordinateur, puis clique sur Propriétés. Clique à gauche sur Paramètres système avancés. Sélectionne l'onglet Protection du Système.
    Dans cet onglet, décoche (une par une) tes partitions, un message de confirmation va apparaître, clique sur Désactiver la protection du système, Clique sur Appliquer, puis OK.
    Fais redémarrer ton ordinateur pour que les changements soient bien pris en compte.
    Pour réactiver la restauration système, il suffit de décocher cette même case et de faire redémarrer ton ordinateur (en ayant suivi les mêmes étapes).

    Aide : Comment Désactiver-Réactiver la Restauration Système.

    --- Affichage normal des fichiers :

    Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
    - Décoche Afficher les fichiers et dossiers cachés
    - Coche Masquer les fichiers protégés du système d'exploitation (recommandé)
    clique sur Appliquer, puis OK.

    ---- Suppression des outils installés :

    Télécharge ToolsCleaner2 (de A.Rothstein)

  • Installe le sur ton Bureau.
  • Clique sur Recherche pour lancer le scan.
  • Clique sur Supprimer pour nettoyer les outils utilisés.
  • Clique sur Quitter.
  • Supprime maintenant ToolsCleaner.

    ----- Remise en place des protections, protection du système avec les Mises à Jour ! :

    Je t'invite maintenant à (ré)activer toutes tes protections résidentes (Antivirus, Antispyware, Firewall..).
    Tu dois avoir accès à tes protections dans la zone systray à côté de la barre des tâches. Si tu as des difficultés, n'hésite pas à me questionner !
    Si ce n'est pas fait, assure-toi que les Mises à jour Automatiques Windows soient activées !
    Mets tes Softwares correctement à jour (Java, Adobe, Flash ..) grâce à Sotware Inspector (chez Secunia)

    Un petit mot à propos de Java :

    Une fois la nouvelle version téléchargée, installe-la et fais redémarrer ton ordinateur.
    Hélas, les anciennes version de Java (qui contiennent des failles, donc dangereuses !) sont toujours présentes !
    C'est donc très important que tu désinstalles les anciennes versions de Java.

  • Va dans Démarrer, Panneau de Configuration, Ajout/Suppression de Programmes
  • Déinstalles toutes les versions de Java exceptée la plus récente.

    Aide : Comment utiliser Secunia Software Inspector.

    ------ Ton infection, tu la dénonces ? :

    Tu n'es pas obligé mais ce serait bien que tu rapportes ton infection sur Malware Complaints
  • Ton(tes) infection(s) : Bagle.
  • Si tu ne la trouves pas dans la liste, poste dans Autres infections.

    Aide : Comment dénoncer mon infection sur Malware Complaints.

    Ajoute maintenant [Résolu] au titre. Pour cela :
    * Clique, dans ton premier message, sur le bouton "Editer"
    * Rajoute la mention [Résolu] au titre
    * Clique ensuite sur "Valider votre message"

    Je t'invite maintenant à regarder ces dossiers très instructifs en terme de prévention !

    - Sécurité/Prévention
    - Conséquences de la multi-protection
    - Toolbars : Inutilité et ralentissements

    Bonne journée/soirée :) 

    (Merci à XmichouX pour ce message de fin de désinfection)
    23 Septembre 2008 14:04:31

    Bonjour,
    Je rencontre le meme probleme que Sherno... J'ai fait plusieurs nettoyages avec divers outils, je croyais m'en etre debarrasse, mais les memes problemes sont revenus. J'ai donc besoin d'aide, s'il-te-plait.
    Merci d'avance !
    Ci-dessous les logs successifs d'Heligabale. J'en poste d'autres dans une serie de messages suivants.


    Mon Sep 22 19:29:55 2008
    EliBagle v11.75 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Septiembre del 2008)
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    C:\WINNT\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
    C:\WINNT\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Renombrado a .VIR

    Mon Sep 22 19:41:28 2008
    EliBagle v11.75 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Septiembre del 2008)
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):
    C:\WINNT\SYSTEM32\Drivers\HLDRRR.EXE.VIR --> Eliminado
    Restaurada Clave: "SafeBoot\Minimal y Network"

    Mon Sep 22 19:42:25 2008
    EliBagle v11.75 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Septiembre del 2008)
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\
    C:\Program Files\Spybot - Search & Destroy\TEATIMER.EXE --> Eliminado Bagle.dldr

    Nº Total de Directorios: 5590
    Nº Total de Ficheros: 51718
    Nº de Ficheros Analizados: 9352
    Nº de Ficheros Infectados: 1
    Nº de Ficheros Limpiados: 1

    Mon Sep 22 19:55:49 2008
    EliBagle v11.75 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Septiembre del 2008)
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):

    Mon Sep 22 19:55:53 2008
    EliBagle v11.75 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Septiembre del 2008)
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Nº Total de Directorios: 5590
    Nº Total de Ficheros: 51717
    Nº de Ficheros Analizados: 9351
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    Mon Sep 22 22:31:06 2008
    EliBagle v11.75 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Septiembre del 2008)
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):

    Mon Sep 22 22:31:10 2008
    EliBagle v11.75 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Septiembre del 2008)
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Nº Total de Directorios: 5590
    Nº Total de Ficheros: 51726
    Nº de Ficheros Analizados: 9353
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    Tue Sep 23 11:29:52 2008
    EliBagle v11.75 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Septiembre del 2008)
    ----------------------------------------------
    Lista de Acciones (por Acción Directa):

    Tue Sep 23 11:29:55 2008
    EliBagle v11.75 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Septiembre del 2008)
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Nº Total de Directorios: 4870
    Nº Total de Ficheros: 46235
    Nº de Ficheros Analizados: 9386
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    Tue Sep 23 11:43:40 2008
    EliBagle v11.75 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 22 de Septiembre del 2008)
    ----------------------------------------------
    Lista de Acciones (por Exploración):
    Explorando Unidad C:\

    Nº Total de Directorios: 4870
    Nº Total de Ficheros: 46235
    Nº de Ficheros Analizados: 9386
    Nº de Ficheros Infectados: 0
    Nº de Ficheros Limpiados: 0

    23 Septembre 2008 14:05:53

    1er log d'Hijackthis.

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:46:43, on 22/09/2008
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\WINNT\asuskbservice.exe
    C:\WINNT\system32\stisvc.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\SOUNDMAN.EXE
    C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
    C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
    C:\Program Files\Fichiers communs\Network Associates\TalkBack\tbmon.exe
    C:\Program Files\Multimédia\iTunesHelper.exe
    C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Multimédia\Ulead Photo Express 4.0 SE\CalCheck.exe
    C:\Documents and Settings\Hamir\Bureau\HiJackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [anvshell] anvshell.exe
    O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
    O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
    O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\tbmon.exe"
    O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\Multimédia\iTunesHelper.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime Alternative\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_1_0 -reboot 1
    O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
    O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Startup: Raccourci vers sunbird.exe.lnk = C:\Program Files\Bureautique\sunbird\sunbird.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = ?
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Bureautique\Office\OSA9.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll
    O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
    O15 - Trusted Zone: www.archivio.name
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Cont...
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Co...
    O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: ASUSKeyboardService - ASUSTeK COMPUTER INC. - C:\WINNT\asuskbservice.exe
    O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: NMSAccess - Unknown owner - C:\Program Files\Multimédia\CDBurnerXP Pro 3\Tools\NMSAccess.exe (file missing)
    O23 - Service: %NVSVC.name% (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
    O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

    --
    End of file - 6632 bytes
    23 Septembre 2008 14:06:40

    2e log d'Hijackthis.

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 13:57:12, on 23/09/2008
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Safe mode

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\Explorer.EXE
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Documents and Settings\Hamir\Bureau\HiJackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [anvshell] anvshell.exe
    O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\Multimédia\iTunesHelper.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime Alternative\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
    O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
    O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\tbmon.exe"
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_1_0 -reboot 1
    O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
    O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Startup: Raccourci vers sunbird.exe.lnk = C:\Program Files\Bureautique\sunbird\sunbird.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = ?
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Bureautique\Office\OSA9.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll
    O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
    O15 - Trusted Zone: www.archivio.name
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Cont...
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Co...
    O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: ASUSKeyboardService - ASUSTeK COMPUTER INC. - C:\WINNT\asuskbservice.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
    O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\mcshield.exe
    O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\vstskmgr.exe
    O23 - Service: NMSAccess - Unknown owner - C:\Program Files\Multimédia\CDBurnerXP Pro 3\Tools\NMSAccess.exe (file missing)
    O23 - Service: %NVSVC.name% (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

    --
    End of file - 6204 bytes

    23 Septembre 2008 14:18:55

    2 logs de Malwarebyte's, puis 2 de AVG Antispyware (c'est tout...)

    Malwarebytes' Anti-Malware 1.28
    Version de la base de données: 1134
    Windows 5.0.2195 Service Pack 4

    23/09/2008 00:26:05
    mbam-log-2008-09-23 (00-26-05).txt

    Type de recherche: Examen complet (C:\|)
    Eléments examinés: 86530
    Temps écoulé: 53 minute(s), 16 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 3
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 1
    Dossier(s) infecté(s): 1
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\Interface\{85e06077-c824-43d0-a8dc-5efb17bc348a} (Adware.Zango) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{90b5a95a-afd5-4d11-b9bd-a69d53d22226} (Adware.Hotbar) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8109fd3d-d891-4f80-8339-50a4913ace6f} (Adware.Zango) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    C:\WINNT\system32\drivers\downld (Trojan.Agent) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)









    Malwarebytes' Anti-Malware 1.28
    Version de la base de données: 1134
    Windows 5.0.2195 Service Pack 4

    23/09/2008 13:50:21
    mbam-log-2008-09-23 (13-50-21).txt

    Type de recherche: Examen complet (C:\|)
    Eléments examinés: 80989
    Temps écoulé: 1 hour(s), 4 minute(s), 33 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)






    ---------------------------------------------------------
    AVG Anti-Spyware - Rapport d'analyse
    ---------------------------------------------------------

    + Créé à: 01:24:29 23/09/2008

    + Résultat de l'analyse:



    HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Nettoyé.
    HKU\S-1-5-21-343818398-583907252-839522115-1000\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Nettoyé.
    C:\Program Files\Free.fr\connect.exe -> Dialer.Freefr : Nettoyé.
    C:\Documents and Settings\Hamir\Bureau\ELIBAGLA.%D8BA%D8B%D8%D8H.EXE -> Heuristic.Win32.AVKiller : Nettoyé et sauvegardé (mise en quarantaine).


    Fin du rapport





    ---------------------------------------------------------
    AVG Anti-Spyware - Rapport d'analyse
    ---------------------------------------------------------

    + Créé à: 12:38:28 23/09/2008

    + Résultat de l'analyse:



    C:\Documents and Settings\Hamir\Bureau\ELIBAGLA.ØBAØBØØH.EXE -> Heuristic.Win32.AVKiller : Nettoyé.


    Fin du rapport

    23 Septembre 2008 14:30:49

    J'ai aussi reinstalle McAfee, qui ne marche pas, et Kerio firewall, qui ne marche pas non plus (message au demarrage du systeme : "Kerio HIPS Driver found an incompatible DLL "entapi.dll". The HIPS Driver has been unloaded").
    Merci de ton aide
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS