Votre question

Pages internet intempestives [Resolu]

Tags :
  • Windows
  • Sécurité
Dernière réponse : dans Sécurité et virus
Anonyme
7 Août 2008 21:22:56

Bonjour,


Alors voici mon problème : depuis 1ou deux mois , j'ai des problèmes avec des pages internet qui s'ouvre d'elle même j'ai beau couper le processus en question ( du moins je pense que c'est celui-ci 0ekmjbv2.exe qui ce met directement dans les processus System et qui m'ouvre également comme processus System IEXPLORE.exe ) le problème revient a chaque fois en l'espace d'une heure j'ai environ une dizaines de pages qui s'ouvrent


Pour plus de précision je dispose d'un Pentium 4 dual core 3.20 ghz
2048 de ram
Avec Windows xP pro service pack 2


Voici le rapport Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:20:03, on 07/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Lexmark 2500 Series\lxddmon.exe
C:\Program Files\Lexmark 2500 Series\lxddamon.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Valve\Steam\Steam.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Windows Live\FolderShare\FolderShare.exe
C:\Program Files\Hamachi\hamachi.exe
C:\WINDOWS\system32\lxddcoms.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Java\jre1.6.0_05\bin\jucheck.exe
C:\WINDOWS\system32\0eKmJbv2.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Documents and Settings\julien\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: solution Class - {99C6D1BB-7555-474C-91DA-D8FB62A9CC75} - C:\WINDOWS\system32\wE5M8BVt.dll (file missing)
O3 - Toolbar: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [lxddmon.exe] "C:\Program Files\Lexmark 2500 Series\lxddmon.exe"
O4 - HKLM\..\Run: [lxddamon] "C:\Program Files\Lexmark 2500 Series\lxddamon.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Valve\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Windows Live FolderShare] "C:\Program Files\Windows Live\FolderShare\FolderShare.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: lxddCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxddserv.exe
O23 - Service: lxdd_device - - C:\WINDOWS\system32\lxddcoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--

En espérant trouver une petite âme charitable pour m'aider (hors formatage si possible ^^ )
Merci :) 

Autres pages sur : pages internet intempestives resolu

7 Août 2008 22:08:03

bonsoir

on va déjà voir à qui on a affaire :) 

Rends toi sur ce lien : Virus Total
  • Clique sur Parcourir
  • Rends toi jusque sur ce fichier si tu le trouves :

    C:\WINDOWS\system32\0eKmJbv2.exe

  • Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  • Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  • Une nouvelle fenêtre de ton navigateur va apparaître
  • Clique alors sur cette image :
  • Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  • Enfin colle le résultat dans ta prochaine réponse.
    Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
    Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.
    Anonyme
    7 Août 2008 23:40:52

    Bonsoir et merci de ton aide

    Alors voici ce que me donne Virus Total


    Fichier DaD1GKOG.exe reçu le 2008.08.07 01:17:22 (CET)
    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.8.7.0 2008.08.06 Win32/NSAnti.suspicious
    AntiVir 7.8.1.19 2008.08.06 TR/Crypt.ULPM.Gen
    Authentium 5.1.0.4 2008.08.07 -
    Avast 4.8.1195.0 2008.08.06 Win32:Trojan-gen {Other}
    AVG 8.0.0.156 2008.08.06 Clicker.PAE
    BitDefender 7.2 2008.08.06 Trojan.Adclicker.HB
    CAT-QuickHeal 9.50 2008.08.06 -
    ClamAV 0.93.1 2008.08.06 -
    DrWeb 4.44.0.09170 2008.08.06 -
    eSafe 7.0.17.0 2008.08.06 Suspicious File
    eTrust-Vet 31.6.6016 2008.08.06 Win32/Vxidl!generic
    Ewido 4.0 2008.08.06 -
    F-Prot 4.4.4.56 2008.08.06 -
    F-Secure 7.60.13501.0 2008.08.06 -
    Fortinet 3.14.0.0 2008.08.06 -
    GData 2.0.7306.1023 2008.08.06 Win32:Trojan-gen
    Ikarus T3.1.1.34.0 2008.08.06 Trojan-Downloader.Win32.Agent.vvi
    K7AntiVirus 7.10.405 2008.08.06 -
    Kaspersky 7.0.0.125 2008.08.07 -
    McAfee 5355 2008.08.06 New Malware.bj
    Microsoft 1.3807 2008.08.07 -
    NOD32v2 3333 2008.08.06 a variant of Win32/TrojanClicker.Agent.NEB
    Norman 5.80.02 2008.08.06 W32/Adclicker.ENX
    Panda 9.0.0.4 2008.08.06 Suspicious file
    PCTools 4.4.2.0 2008.08.06 -
    Prevx1 V2 2008.08.07 Cloaked Malware
    Rising 20.56.22.00 2008.08.06 Trojan.Win32.Undef.jrw
    Sophos 4.31.0 2008.08.07 Mal/HckPk-A
    Sunbelt 3.1.1537.1 2008.08.06 Malware.Win32.CodeAnalyzer!cobra (v)
    Symantec 10 2008.08.07 -
    TheHacker 6.2.96.393 2008.08.04 -
    TrendMicro 8.700.0.1004 2008.08.06 PAK_Generic.001
    VBA32 3.12.8.2 2008.08.06 -
    ViRobot 2008.8.6.1326 2008.08.06 -
    VirusBuster 4.5.11.0 2008.08.06 -
    Webwasher-Gateway 6.6.2 2008.08.06 Trojan.Crypt.ULPM.Gen
    Information additionnelle
    File size: 83458 bytes
    MD5...: b4d4f3d99e7d884ab2e45600ea736d95
    SHA1..: 2ae8e74ee7b321dc5d0f57e3eb0712a9bd4b2d49
    SHA256: 3e0d49d074adc258612a3ed055bfd17e2edbb5f62c21c1fa2f3c7c1742bfaef8
    SHA512: 655c1fed57cdaf49c070bf5ecba2bcbea5ee3af4fde03af12e8d979f2a8f32a9<br>d6b97593e29522e2c8bf32dc9df35cbdf57a7ba64d122bd583290b740aa1983d
    PEiD..: -
    PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x421bf9<br>timedatestamp.....: 0x48983aa1 (Tue Aug 05 11:33:53 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 3 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>UPX0 0x1000 0xd000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>UPX1 0xe000 0x14000 0x13e00 8.00 de6e2991f5dcd6132d53493b512f5435<br>.rsrc 0x22000 0x1000 0x400 2.91 2240354e83db79919b4fa4ba7e6476c3<br><br>( 9 imports ) <br>> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess<br>> ADVAPI32.dll: RegCloseKey<br>> NETAPI32.dll: NetScheduleJobAdd<br>> ole32.dll: CoInitialize<br>> OLEAUT32.dll: -<br>> SHELL32.dll: StrChrA<br>> SHLWAPI.dll: StrDupA<br>> USER32.dll: wsprintfA<br>> WININET.dll: InternetOpenA<br><br>( 0 exports ) <br>
    Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=6F0FE50E...
    ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=b4d4f3d99e7...

    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.8.7.0 2008.08.06 Win32/NSAnti.suspicious
    AntiVir 7.8.1.19 2008.08.06 TR/Crypt.ULPM.Gen
    Authentium 5.1.0.4 2008.08.07 -
    Avast 4.8.1195.0 2008.08.06 Win32:Trojan-gen {Other}
    AVG 8.0.0.156 2008.08.06 Clicker.PAE
    BitDefender 7.2 2008.08.06 Trojan.Adclicker.HB
    CAT-QuickHeal 9.50 2008.08.06 -
    ClamAV 0.93.1 2008.08.06 -
    DrWeb 4.44.0.09170 2008.08.06 -
    eSafe 7.0.17.0 2008.08.06 Suspicious File
    eTrust-Vet 31.6.6016 2008.08.06 Win32/Vxidl!generic
    Ewido 4.0 2008.08.06 -
    F-Prot 4.4.4.56 2008.08.06 -
    F-Secure 7.60.13501.0 2008.08.06 -
    Fortinet 3.14.0.0 2008.08.06 -
    GData 2.0.7306.1023 2008.08.06 Win32:Trojan-gen
    Ikarus T3.1.1.34.0 2008.08.06 Trojan-Downloader.Win32.Agent.vvi
    K7AntiVirus 7.10.405 2008.08.06 -
    Kaspersky 7.0.0.125 2008.08.07 -
    McAfee 5355 2008.08.06 New Malware.bj
    Microsoft 1.3807 2008.08.07 -
    NOD32v2 3333 2008.08.06 a variant of Win32/TrojanClicker.Agent.NEB
    Norman 5.80.02 2008.08.06 W32/Adclicker.ENX
    Panda 9.0.0.4 2008.08.06 Suspicious file
    PCTools 4.4.2.0 2008.08.06 -
    Prevx1 V2 2008.08.07 Cloaked Malware
    Rising 20.56.22.00 2008.08.06 Trojan.Win32.Undef.jrw
    Sophos 4.31.0 2008.08.07 Mal/HckPk-A
    Sunbelt 3.1.1537.1 2008.08.06 Malware.Win32.CodeAnalyzer!cobra (v)
    Symantec 10 2008.08.07 -
    TheHacker 6.2.96.393 2008.08.04 -
    TrendMicro 8.700.0.1004 2008.08.06 PAK_Generic.001
    VBA32 3.12.8.2 2008.08.06 -
    ViRobot 2008.8.6.1326 2008.08.06 -
    VirusBuster 4.5.11.0 2008.08.06 -
    Webwasher-Gateway 6.6.2 2008.08.06 Trojan.Crypt.ULPM.Gen

    Information additionnelle
    File size: 83458 bytes
    MD5...: b4d4f3d99e7d884ab2e45600ea736d95
    SHA1..: 2ae8e74ee7b321dc5d0f57e3eb0712a9bd4b2d49
    SHA256: 3e0d49d074adc258612a3ed055bfd17e2edbb5f62c21c1fa2f3c7c1742bfaef8
    SHA512: 655c1fed57cdaf49c070bf5ecba2bcbea5ee3af4fde03af12e8d979f2a8f32a9<br>d6b97593e29522e2c8bf32dc9df35cbdf57a7ba64d122bd583290b740aa1983d
    PEiD..: -
    PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x421bf9<br>timedatestamp.....: 0x48983aa1 (Tue Aug 05 11:33:53 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 3 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>UPX0 0x1000 0xd000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>UPX1 0xe000 0x14000 0x13e00 8.00 de6e2991f5dcd6132d53493b512f5435<br>.rsrc 0x22000 0x1000 0x400 2.91 2240354e83db79919b4fa4ba7e6476c3<br><br>( 9 imports ) <br>> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess<br>> ADVAPI32.dll: RegCloseKey<br>> NETAPI32.dll: NetScheduleJobAdd<br>> ole32.dll: CoInitialize<br>> OLEAUT32.dll: -<br>> SHELL32.dll: StrChrA<br>> SHLWAPI.dll: StrDupA<br>> USER32.dll: wsprintfA<br>> WININET.dll: InternetOpenA<br><br>( 0 exports ) <br>
    Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=6F0FE50E...
    ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=b4d4f3d99e7...
    Contenus similaires
    8 Août 2008 00:42:53

    re

    1

    ~Télécharge OTMoveIt (d'OldTimer). Sauvegarde-le sur ton Bureau.

    ~Lance Hijackthis “Do a system scan only”.
    Coche les lignes qui suivent si encore présentes et uniquement celles-là.

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: solution Class - {99C6D1BB-7555-474C-91DA-D8FB62A9CC75} - C:\WINDOWS\system32\wE5M8BVt.dll (file missing)


    Clique sur Fix checked (en bas à gauche)

    2

    Sélectionne TOUS les emplacements en gras ci-dessous :

    C:\WINDOWS\system32\0eKmJbv2.exe

    ---> Clique-droit puis Copier (ou Ctrl+C)

    Double-clique sur OTMoveIt.exe afin de le lancer.
    Fais un Clique-droit sur le cadre de gauche puis choisis Coller (ou Ctrl+V).
    Clique maintenant sur MoveIt![/#f]

    [#ff0e00]Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.

    Accepte en cliquant sur YES.

    Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
    Le nom du rapport correspond au moment de sa création : date_heure.log

    3

    Télécharge MalwareByte's Anti-Malware sur ton Bureau.
    Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.

    Une fois l'installation et la mise à jour effectuées, redémarre en mode sans échec.
    AIDE : Redémarrer en mode sans échec

  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche, clic sur"Rechercher".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
    -- si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
    -- si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau afin de le poster dans ta prochaine réponse.
    [#ff0000]REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.[/#f]

    AIDE : Tuto en images sur MBAM





    Anonyme
    8 Août 2008 15:03:37

    voici tout d'abords le rapport de Malwarebyte's anti-Malware

    Malwarebytes' Anti-Malware 1.24
    Version de la base de données: 1032
    Windows 5.1.2600 Service Pack 2

    15:01:20 08/08/2008
    mbam-log-8-8-2008 (15-01-20).txt

    Type de recherche: Examen complet (C:\|)
    Eléments examinés: 91719
    Temps écoulé: 35 minute(s), 30 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 18

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP227\A0138749.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP227\A0138769.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP228\A0138792.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP228\A0139786.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP229\A0139816.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP229\A0139843.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP229\A0140842.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP230\A0140843.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP239\A0154252.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP239\A0155259.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP239\A0156253.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP239\A0157250.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP240\A0157251.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP240\A0159249.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP240\A0160352.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP241\A0160357.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP241\A0161252.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP250\A0162977.exe (Trojan.Clicker) -> Quarantined and deleted successfully.


    et voici le rapport de OTMoveIt
    C:\WINDOWS\system32\0eKmJbv2.exe moved successfully.

    OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08082008_124856
    8 Août 2008 22:14:45

    bien :) 
    reposte un log hijackthis stp
    Anonyme
    9 Août 2008 00:24:11

    hop :) 

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 11:35:11, on 09/08/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Analog Devices\Core\smax4pnp.exe
    C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\DAEMON Tools Lite\daemon.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxddserv.exe
    C:\WINDOWS\system32\lxddcoms.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\PROGRA~1\Mozilla Firefox\firefox.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\WINDOWS\system32\0eKmJbv2.exe
    C:\Documents and Settings\julien\Bureau\HiJackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
    O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
    O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
    O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKLM\..\Run: [lxddmon.exe] "C:\Program Files\Lexmark 2500 Series\lxddmon.exe"
    O4 - HKLM\..\Run: [lxddamon] "C:\Program Files\Lexmark 2500 Series\lxddamon.exe"
    O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [Steam] "C:\Program Files\Valve\Steam\Steam.exe" -silent
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe
    O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: lxddCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxddserv.exe
    O23 - Service: lxdd_device - - C:\WINDOWS\system32\lxddcoms.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

    Le .exe en question est toujours la :-(
    9 Août 2008 12:03:11

    bonjour

    ne t'inquiète pas, on va l'avoir ;) 

    Désactive ton antivirus et tout autre type de protection.
    Télécharge ComboFix de sUBs :
    ComboFix.exe
    et sauvegarde le sur ton bureau et pas ailleurs!

    Double-clic sur ComboFix, Il va te poser une question, suis les invites puis attends que combofix ait terminé, il est possible que ton PC reboot, c’est normal, un rapport sera créé.Poste le rapport:C:\Combofix.txt
    clique dessus pour l'ouvrir, puis édition "sélectionner tout", édition "copier"

    viens sur le forum et édition "coller"

    ajoute un nouveau rapport Hijackthis.

    Anonyme
    9 Août 2008 12:45:49

    ComboFix 08-08-08.07 - julien 2008-08-09 12:35:48.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1105 [GMT 2:00]
    Endroit: C:\Documents and Settings\julien\Mes documents\ComboFix.exe
    * Création d'un nouveau point de restauration

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Documents and Settings\julien\Application Data\macromedia\Flash Player\#SharedObjects\96GH2RJM\iforex.com
    C:\Documents and Settings\julien\Application Data\macromedia\Flash Player\#SharedObjects\96GH2RJM\iforex.com\Emerp\Events\flash_object.swf\user_data.sol
    C:\Documents and Settings\julien\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#iforex.com
    C:\Documents and Settings\julien\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#iforex.com\settings.sol
    C:\Documents and Settings\NetworkService\Application Data\macromedia\Flash Player\#SharedObjects\2BXKN7UK\iforex.com
    C:\Documents and Settings\NetworkService\Application Data\macromedia\Flash Player\#SharedObjects\2BXKN7UK\iforex.com\Emerp\Events\flash_object.swf\user_data.sol
    C:\Documents and Settings\NetworkService\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#iforex.com
    C:\Documents and Settings\NetworkService\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#iforex.com\settings.sol

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2008-07-09 to 2008-08-09 ))))))))))))))))))))))))))))))))))))
    .

    2008-08-08 15:13 . 2008-08-08 15:13 80,384 --a------ C:\WINDOWS\system32\0eKmJbv2.exe
    2008-08-08 12:55 . 2008-08-08 12:55 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
    2008-08-08 12:55 . 2008-08-08 12:55 <REP> d-------- C:\Documents and Settings\julien\Application Data\Malwarebytes
    2008-08-08 12:55 . 2008-08-08 12:55 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-08-08 12:55 . 2008-07-30 20:15 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
    2008-08-08 12:55 . 2008-07-30 20:15 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
    2008-08-08 12:44 . 2008-08-08 12:44 <REP> d-------- C:\_OTMoveIt
    2008-08-07 22:20 . 2008-08-07 22:20 <REP> d-------- C:\Sierra
    2008-08-07 22:19 . 2008-08-07 22:19 <REP> d-------- C:\Program Files\Realtek
    2008-08-07 22:19 . 2008-08-07 22:19 <REP> d-------- C:\Program Files\Fichiers communs\Acronis
    2008-08-07 22:19 . 2008-08-07 22:19 <REP> d-------- C:\Program Files\EPSON
    2008-08-07 22:19 . 2008-08-07 22:19 <REP> d-------- C:\Program Files\Common Files
    2008-08-06 18:50 . 2008-08-06 18:50 <REP> d-------- C:\Program Files\Winamp
    2008-08-06 18:50 . 2008-08-06 21:08 <REP> d-------- C:\Documents and Settings\julien\Application Data\Winamp
    2008-07-21 21:31 . 2008-08-07 22:00 <REP> d-------- C:\Program Files\Navilog1
    2008-07-18 11:26 . 2008-07-18 11:26 0 --a------ C:\WINDOWS\system32\0eKmJbv2.exe.a_a
    2008-07-18 09:26 . 2008-07-18 09:26 <REP> dr------- C:\Documents and Settings\LocalService\Favoris
    2008-07-18 09:00 . 2008-07-18 09:00 <REP> dr------- C:\Documents and Settings\NetworkService\Favoris
    2008-07-16 20:23 . 2008-07-16 20:23 29,760 --a------ C:\WINDOWS\system32\o8HI5be3.exe
    2008-07-16 20:23 . 2008-07-16 20:23 0 --a------ C:\WINDOWS\system32\o8HI5be3.exe.a_a
    2008-07-16 18:34 . 1999-12-17 09:13 86,016 --a------ C:\WINDOWS\unvise32.exe
    2008-07-11 19:35 . 2008-07-11 19:35 <REP> d-------- C:\Program Files\Hamachi
    2008-07-10 06:39 . 2008-07-10 06:39 <REP> d-------- C:\Program Files\Fichiers communs\Skype
    2008-07-10 06:39 . 2008-07-10 06:39 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-08-08 22:06 --------- d-----w C:\Documents and Settings\julien\Application Data\skypePM
    2008-08-08 21:57 --------- d-----w C:\Documents and Settings\julien\Application Data\Skype
    2008-08-08 21:46 --------- d-----w C:\Documents and Settings\julien\Application Data\Hamachi
    2008-08-07 20:33 --------- d-----w C:\Documents and Settings\julien\Application Data\OpenOffice.org2
    2008-08-07 20:29 --------- d-----w C:\Program Files\Java
    2008-08-07 20:19 --------- d-----w C:\Program Files\Lexmark Fax Solutions
    2008-08-07 20:02 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-08-05 19:40 --------- d-----w C:\Documents and Settings\julien\Application Data\LimeWire
    2008-07-16 15:10 --------- d-----w C:\Program Files\World of Warcraft
    2008-07-11 17:35 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
    2008-07-10 04:39 --------- d-----w C:\Program Files\Skype
    2008-07-08 06:59 --------- d---a-w C:\Program Files\QuickTime
    2008-07-08 06:59 --------- d---a-w C:\Documents and Settings\All Users\Application Data\QuickTime
    2008-07-08 06:59 --------- d-----w C:\Program Files\XviD
    2008-07-08 06:59 --------- d-----w C:\Program Files\On2 Technologies
    2008-07-08 06:58 --------- d-----w C:\Program Files\3ivx
    2008-07-08 06:57 --------- d-----w C:\Program Files\DivX
    2008-07-08 06:56 --------- d-----w C:\Program Files\MUSK Codec Pack v5
    2008-06-22 11:04 82,464 ----a-w C:\WINDOWS\system32\drivers\snapman.sys
    2008-06-22 11:04 37,888 ----a-w C:\WINDOWS\system32\setupnt.dll
    2008-06-22 11:04 28,928 ----a-w C:\WINDOWS\system32\drivers\tifsfilt.sys
    2008-06-22 11:04 212,288 ----a-w C:\WINDOWS\system32\drivers\timntr.sys
    2008-06-22 07:02 --------- d-----w C:\Program Files\WinISO
    2008-06-21 22:10 --------- d-----w C:\Program Files\DAEMON Tools Lite
    2008-06-21 22:08 717,296 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
    2008-06-21 22:08 --------- d-----w C:\Documents and Settings\julien\Application Data\DAEMON Tools
    2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
    2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
    2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
    2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
    2008-06-19 18:48 --------- d-----w C:\Documents and Settings\julien\Application Data\teamspeak2
    2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
    2007-12-22 21:17 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat
    2007-12-25 12:26 56 --sh--r C:\WINDOWS\system32\8D7A58AC7A.sys
    2007-12-25 12:26 1,682 -csha-w C:\WINDOWS\system32\KGyGaAvL.sys
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]
    "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 13:55 5674352]
    "Steam"="C:\Program Files\Valve\Steam\Steam.exe" [2008-03-28 13:56 1271032]
    "Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2008-05-30 15:54 21718312]
    "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
    "DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2008-04-01 11:39 486856]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 15:34 868352]
    "JMB36X IDE Setup"="C:\WINDOWS\JM\JMInsIDE.exe" [2006-10-30 14:44 36864]
    "JMB36X Configure"="C:\WINDOWS\system32\JMRaidSetup.exe" [2006-10-30 14:44 1953792]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
    "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
    "lxddmon.exe"="C:\Program Files\Lexmark 2500 Series\lxddmon.exe" [2007-05-04 08:38 291760]
    "lxddamon"="C:\Program Files\Lexmark 2500 Series\lxddamon.exe" [2007-03-05 09:40 20480]
    "FaxCenterServer"="C:\Program Files\Lexmark Fax Solutions\fm3032.exe" [2007-05-04 08:40 312240]
    "NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
    "WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2008-04-01 20:49 36352]
    "nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 16:09 15360]

    C:\Documents and Settings\julien\Menu D‚marrer\Programmes\D‚marrage\
    hamachi.lnk - C:\Program Files\Hamachi\hamachi.exe [2008-07-11 19:35:24 624416]

    C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    EPSON Status Monitor 3 Environment Check 2.lnk - C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE [2008-01-15 09:22:28 121856]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "VIDC.ACDV"= ACDV.dll
    "vidc.3IV2"= 3ivxVfWCodec.dll
    "vidc.DIV3"= DivXc32.dll
    "vidc.DIV4"= DivXc32f.dll
    "msacm.divxa32"= DivXa32.acm
    "vidc.VP40"= vp4vfw.dll
    "vidc.VP50"= vp5vfw.dll

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "DisableUnicastResponsesToMulticastBroadcast"= 1 (0x1)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\MSN Messenger\\livecall.exe"=
    "C:\\Program Files\\Valve\\Steam\\SteamApps\\eichizen\\condition zero\\hl.exe"=
    "C:\\Program Files\\Valve\\Steam\\SteamApps\\eichizen\\counter-strike\\hl.exe"=
    "C:\\Program Files\\Messenger\\msmsgs.exe"=
    "C:\\Program Files\\Valve\\Steam\\SteamApps\\maxizback@voila.fr\\counter-strike\\hl.exe"=
    "C:\\Program Files\\Valve\\Steam\\SteamApps\\eichizen\\condition zero deleted scenes\\hl.exe"=
    "C:\\WINDOWS\\system32\\lxddcoms.exe"=
    "C:\\Program Files\\Lexmark 2500 Series\\lxddamon.exe"=
    "C:\\Program Files\\Lexmark 2500 Series\\App4R.exe"=
    "C:\\Program Files\\World of Warcraft\\BackgroundDownloader.exe"=
    "C:\\Program Files\\LimeWire\\LimeWire.exe"=
    "C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
    "C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxddpswx.exe"=
    "C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxddjswx.exe"=
    "C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxddtime.exe"=
    "C:\\Program Files\\Valve\\Steam\\SteamApps\\eichizen\\counter-strike source\\hl2.exe"=
    "C:\\Program Files\\Skype\\Phone\\Skype.exe"=
    "C:\\Program Files\\Lexmark 2500 Series\\lxddmon.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "2799:UDP"= 2799:UDP:Altova License Metering Port (UDP)
    "2799:TCP"= 2799:TCP:Altova License Metering Port (TCP)
    "3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

    R0 sonypvl2;sonypvl2;C:\WINDOWS\system32\drivers\sonypvl2.sys [2003-07-25 15:02]
    R1 sonypvf2;sonypvf2;C:\WINDOWS\system32\drivers\sonypvf2.sys [2003-08-20 10:51]
    R1 sonypvt2;sonypvt2;C:\WINDOWS\system32\drivers\sonypvt2.sys [2003-08-20 10:44]
    R2 lxdd_device;lxdd_device;C:\WINDOWS\system32\lxddcoms.exe [2007-04-26 07:21]
    R2 lxddCATSCustConnectService;lxddCATSCustConnectService;C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxddserv.exe [2007-04-26 07:21]

    *Newly Created Service* - PROCEXP90
    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
    .
    - - - - ORPHANS REMOVED - - - -

    Notify-WgaLogon - (no file)


    .
    ------- Supplementary Scan -------
    .
    FireFox -: Profile - C:\Documents and Settings\julien\Application Data\Mozilla\Firefox\Profiles\01deyt8a.default\
    FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=


    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-08-09 12:37:52
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************
    .
    Temps d'accomplissement: 2008-08-09 12:39:14
    ComboFix-quarantined-files.txt 2008-08-09 10:38:56

    Pre-Run: 23,802,544,128 octets libres
    Post-Run: 23,898,144,768 octets libres

    179 --- E O F --- 2008-07-10 01:00:41


    et voici le rapport hijackthis


    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:45:31, on 09/08/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Analog Devices\Core\smax4pnp.exe
    C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
    C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\DAEMON Tools Lite\daemon.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxddserv.exe
    C:\WINDOWS\system32\lxddcoms.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\WINDOWS\system32\0eKmJbv2.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\WINDOWS\system32\notepad.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\julien\Bureau\HiJackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
    O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
    O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKLM\..\Run: [lxddmon.exe] "C:\Program Files\Lexmark 2500 Series\lxddmon.exe"
    O4 - HKLM\..\Run: [lxddamon] "C:\Program Files\Lexmark 2500 Series\lxddamon.exe"
    O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [Steam] "C:\Program Files\Valve\Steam\Steam.exe" -silent
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe
    O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: lxddCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxddserv.exe
    O23 - Service: lxdd_device - - C:\WINDOWS\system32\lxddcoms.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

    --
    End of file - 4857 bytes
    9 Août 2008 14:21:03

    re

    Copie (Ctrl+C) le texte ci-dessous :
    File::
    C:\WINDOWS\system32\0eKmJbv2.exe
    C:\WINDOWS\system32\0eKmJbv2.exe.a_a
    C:\WINDOWS\system32\o8HI5be3.exe
    C:\WINDOWS\system32\o8HI5be3.exe.a_a



    Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
    Sauvegarde ce fichier sous le nom de CFScript.txt

    Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture


  • Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  • Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    Anonyme
    9 Août 2008 15:06:25

    ComboFix 08-08-08.07 - julien 2008-08-09 14:54:23.2 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1541 [GMT 2:00]
    Endroit: C:\Documents and Settings\julien\Mes documents\ComboFix.exe
    Command switches used :: C:\Documents and Settings\julien\Bureau\CFScript.txt
    * Création d'un nouveau point de restauration

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

    FILE ::
    C:\WINDOWS\system32\0eKmJbv2.exe
    C:\WINDOWS\system32\0eKmJbv2.exe.a_a
    C:\WINDOWS\system32\o8HI5be3.exe
    C:\WINDOWS\system32\o8HI5be3.exe.a_a
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\system32\0eKmJbv2.exe
    C:\WINDOWS\system32\0eKmJbv2.exe.a_a
    C:\WINDOWS\system32\o8HI5be3.exe
    C:\WINDOWS\system32\o8HI5be3.exe.a_a

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2008-07-09 to 2008-08-09 ))))))))))))))))))))))))))))))))))))
    .

    2008-08-08 12:55 . 2008-08-08 12:55 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
    2008-08-08 12:55 . 2008-08-08 12:55 <REP> d-------- C:\Documents and Settings\julien\Application Data\Malwarebytes
    2008-08-08 12:55 . 2008-08-08 12:55 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-08-08 12:55 . 2008-07-30 20:15 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
    2008-08-08 12:55 . 2008-07-30 20:15 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
    2008-08-08 12:44 . 2008-08-08 12:44 <REP> d-------- C:\_OTMoveIt
    2008-08-07 22:20 . 2008-08-07 22:20 <REP> d-------- C:\Sierra
    2008-08-07 22:19 . 2008-08-07 22:19 <REP> d-------- C:\Program Files\Realtek
    2008-08-07 22:19 . 2008-08-07 22:19 <REP> d-------- C:\Program Files\Fichiers communs\Acronis
    2008-08-07 22:19 . 2008-08-07 22:19 <REP> d-------- C:\Program Files\EPSON
    2008-08-07 22:19 . 2008-08-07 22:19 <REP> d-------- C:\Program Files\Common Files
    2008-08-06 18:50 . 2008-08-06 18:50 <REP> d-------- C:\Program Files\Winamp
    2008-08-06 18:50 . 2008-08-06 21:08 <REP> d-------- C:\Documents and Settings\julien\Application Data\Winamp
    2008-07-21 21:31 . 2008-08-07 22:00 <REP> d-------- C:\Program Files\Navilog1
    2008-07-18 09:26 . 2008-07-18 09:26 <REP> dr------- C:\Documents and Settings\LocalService\Favoris
    2008-07-18 09:00 . 2008-07-18 09:00 <REP> dr------- C:\Documents and Settings\NetworkService\Favoris
    2008-07-16 18:34 . 1999-12-17 09:13 86,016 --a------ C:\WINDOWS\unvise32.exe
    2008-07-11 19:35 . 2008-07-11 19:35 <REP> d-------- C:\Program Files\Hamachi
    2008-07-10 06:39 . 2008-07-10 06:39 <REP> d-------- C:\Program Files\Fichiers communs\Skype
    2008-07-10 06:39 . 2008-07-10 06:39 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-08-08 22:06 --------- d-----w C:\Documents and Settings\julien\Application Data\skypePM
    2008-08-08 21:57 --------- d-----w C:\Documents and Settings\julien\Application Data\Skype
    2008-08-08 21:46 --------- d-----w C:\Documents and Settings\julien\Application Data\Hamachi
    2008-08-07 20:33 --------- d-----w C:\Documents and Settings\julien\Application Data\OpenOffice.org2
    2008-08-07 20:29 --------- d-----w C:\Program Files\Java
    2008-08-07 20:19 --------- d-----w C:\Program Files\Lexmark Fax Solutions
    2008-08-07 20:02 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-08-05 19:40 --------- d-----w C:\Documents and Settings\julien\Application Data\LimeWire
    2008-07-16 15:10 --------- d-----w C:\Program Files\World of Warcraft
    2008-07-11 17:35 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
    2008-07-10 04:39 --------- d-----w C:\Program Files\Skype
    2008-07-08 06:59 --------- d---a-w C:\Program Files\QuickTime
    2008-07-08 06:59 --------- d---a-w C:\Documents and Settings\All Users\Application Data\QuickTime
    2008-07-08 06:59 --------- d-----w C:\Program Files\XviD
    2008-07-08 06:59 --------- d-----w C:\Program Files\On2 Technologies
    2008-07-08 06:58 --------- d-----w C:\Program Files\3ivx
    2008-07-08 06:57 --------- d-----w C:\Program Files\DivX
    2008-07-08 06:56 --------- d-----w C:\Program Files\MUSK Codec Pack v5
    2008-06-22 11:04 82,464 ----a-w C:\WINDOWS\system32\drivers\snapman.sys
    2008-06-22 11:04 37,888 ----a-w C:\WINDOWS\system32\setupnt.dll
    2008-06-22 11:04 28,928 ----a-w C:\WINDOWS\system32\drivers\tifsfilt.sys
    2008-06-22 11:04 212,288 ----a-w C:\WINDOWS\system32\drivers\timntr.sys
    2008-06-22 07:02 --------- d-----w C:\Program Files\WinISO
    2008-06-21 22:10 --------- d-----w C:\Program Files\DAEMON Tools Lite
    2008-06-21 22:08 717,296 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
    2008-06-21 22:08 --------- d-----w C:\Documents and Settings\julien\Application Data\DAEMON Tools
    2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
    2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
    2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
    2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
    2008-06-19 18:48 --------- d-----w C:\Documents and Settings\julien\Application Data\teamspeak2
    2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
    2007-12-22 21:17 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat
    2007-12-25 12:26 56 --sh--r C:\WINDOWS\system32\8D7A58AC7A.sys
    2007-12-25 12:26 1,682 -csha-w C:\WINDOWS\system32\KGyGaAvL.sys
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]
    "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 13:55 5674352]
    "Steam"="C:\Program Files\Valve\Steam\Steam.exe" [2008-03-28 13:56 1271032]
    "Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2008-05-30 15:54 21718312]
    "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
    "DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2008-04-01 11:39 486856]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 15:34 868352]
    "JMB36X IDE Setup"="C:\WINDOWS\JM\JMInsIDE.exe" [2006-10-30 14:44 36864]
    "JMB36X Configure"="C:\WINDOWS\system32\JMRaidSetup.exe" [2006-10-30 14:44 1953792]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
    "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
    "lxddmon.exe"="C:\Program Files\Lexmark 2500 Series\lxddmon.exe" [2007-05-04 08:38 291760]
    "lxddamon"="C:\Program Files\Lexmark 2500 Series\lxddamon.exe" [2007-03-05 09:40 20480]
    "FaxCenterServer"="C:\Program Files\Lexmark Fax Solutions\fm3032.exe" [2007-05-04 08:40 312240]
    "NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
    "WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2008-04-01 20:49 36352]
    "nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 16:09 15360]

    C:\Documents and Settings\julien\Menu D‚marrer\Programmes\D‚marrage\
    hamachi.lnk - C:\Program Files\Hamachi\hamachi.exe [2008-07-11 19:35:24 624416]

    C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    EPSON Status Monitor 3 Environment Check 2.lnk - C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE [2008-01-15 09:22:28 121856]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "VIDC.ACDV"= ACDV.dll
    "vidc.3IV2"= 3ivxVfWCodec.dll
    "vidc.DIV3"= DivXc32.dll
    "vidc.DIV4"= DivXc32f.dll
    "msacm.divxa32"= DivXa32.acm
    "vidc.VP40"= vp4vfw.dll
    "vidc.VP50"= vp5vfw.dll

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "DisableUnicastResponsesToMulticastBroadcast"= 1 (0x1)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\MSN Messenger\\livecall.exe"=
    "C:\\Program Files\\Valve\\Steam\\SteamApps\\eichizen\\condition zero\\hl.exe"=
    "C:\\Program Files\\Valve\\Steam\\SteamApps\\eichizen\\counter-strike\\hl.exe"=
    "C:\\Program Files\\Messenger\\msmsgs.exe"=
    "C:\\Program Files\\Valve\\Steam\\SteamApps\\maxizback@voila.fr\\counter-strike\\hl.exe"=
    "C:\\Program Files\\Valve\\Steam\\SteamApps\\eichizen\\condition zero deleted scenes\\hl.exe"=
    "C:\\WINDOWS\\system32\\lxddcoms.exe"=
    "C:\\Program Files\\Lexmark 2500 Series\\lxddamon.exe"=
    "C:\\Program Files\\Lexmark 2500 Series\\App4R.exe"=
    "C:\\Program Files\\World of Warcraft\\BackgroundDownloader.exe"=
    "C:\\Program Files\\LimeWire\\LimeWire.exe"=
    "C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
    "C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxddpswx.exe"=
    "C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxddjswx.exe"=
    "C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\lxddtime.exe"=
    "C:\\Program Files\\Valve\\Steam\\SteamApps\\eichizen\\counter-strike source\\hl2.exe"=
    "C:\\Program Files\\Skype\\Phone\\Skype.exe"=
    "C:\\Program Files\\Lexmark 2500 Series\\lxddmon.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "2799:UDP"= 2799:UDP:Altova License Metering Port (UDP)
    "2799:TCP"= 2799:TCP:Altova License Metering Port (TCP)
    "3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

    R0 sonypvl2;sonypvl2;C:\WINDOWS\system32\drivers\sonypvl2.sys [2003-07-25 15:02]
    R1 sonypvf2;sonypvf2;C:\WINDOWS\system32\drivers\sonypvf2.sys [2003-08-20 10:51]
    R1 sonypvt2;sonypvt2;C:\WINDOWS\system32\drivers\sonypvt2.sys [2003-08-20 10:44]
    R2 lxdd_device;lxdd_device;C:\WINDOWS\system32\lxddcoms.exe [2007-04-26 07:21]
    R2 lxddCATSCustConnectService;lxddCATSCustConnectService;C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxddserv.exe [2007-04-26 07:21]

    *Newly Created Service* - CATCHME
    *Newly Created Service* - PROCEXP90
    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-08-09 14:55:54
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************
    .
    Temps d'accomplissement: 2008-08-09 14:56:57
    ComboFix-quarantined-files.txt 2008-08-09 12:56:49
    ComboFix2.txt 2008-08-09 10:39:15

    Pre-Run: 23,836,262,400 octets libres
    Post-Run: 23,850,369,024 octets libres

    172 --- E O F --- 2008-07-10 01:00:41
    9 Août 2008 22:38:53

    re
    c'est mieux? :) 

    on vérifie un truc:


    Rends toi sur ce lien : Virus Total
  • Clique sur Parcourir
  • Rends toi jusque sur ce fichier si tu le trouves :

    C:\WINDOWS\system32\8D7A58AC7A.sys

  • Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  • Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  • Une nouvelle fenêtre de ton navigateur va apparaître
  • Clique alors sur cette image :
  • Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  • Enfin colle le résultat dans ta prochaine réponse.
    Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
    Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.
    Anonyme
    9 Août 2008 22:52:11

    Je suis désolé mais je ne trouve pas le fichier en question

    "C:\WINDOWS\system32\8D7A58AC7A.sys "

    Cela dit pour le moment ( environ 2heures ) l'ordinateur tourne normalement , sans aucune page intempestives qui s'ouvre , ni que 0ekmjbv2.exe ce retrouve dans les processus System

    Je ne sais pas encore si le problème est résolut , mais en tout cas un TRES GROS MERCI !!!

    9 Août 2008 23:38:04

    ok
    ce fichier semble lié à KGyGaAvL.sys 'selon les dates et heures de création):
    Citation :
    KGyGaAvL.sys is automatically created by Divx video system, particularly Dr. Divx.
    KGyGaAvL.sys is automatically created every time you start Divx software.
    KGyGaAvL.sys is not the system driver. It's collection of used filters.
    Also, related 73AF72B0AE.sys. Related to DIVX registration.

    http://www.softwaretipsandtricks.com/at_your_option_fil...

    si ton pc se comporte bien, on va pas y toucher.

    +++++++++++++++++

    ~Fais une analyse antivirus en ligne sur le site de Kaspersky
    http://webscanner.kaspersky.fr/

    ~ Clique sur Online Scanner.
    ~Accepte l'installation du contrôle ActiveX en cliquant sur le bouton Install.

    ~Sélectionne le poste de travail comme analyse.

    ~Enregistre le rapport en cliquant sur le bouton "Enregistrer rapport sous". Nomme-le, tu feras un copier/coller dans ta prochaine réponse.

    Tuto du scan en ligne
    Anonyme
    10 Août 2008 11:12:50

    Re


    Alors le scan en ligne n'a pas fonctionner pour les raisons suivantes :

    "Veuillez patienter pendant la mise à jour des définitions de virus...
    La licence de Kaspersky On-line Scanner est périmée !"

    Il ne me semble pourtant pas avoir installer Kaspersky un jour sur mon pc... :pt1cable: 
    10 Août 2008 21:16:38

    re

    on fait autrement
    - Fais un nano/total scan avec panda en désactivant ton antivirus pendant le scan!
    - Enregistre-toi sur le site en créant un compte à partir du bouton Register Free à droite.
    - Après avoir indiqué une adresse mail valide et un mot de passe.. tu vas recevoir un mail.. clic sur le lien pour activer ton compte
    - Retourne sur le site et identifie toi dans la partie droite en indiquant ton adresse mail et ton mot de passe
    - Coche au milieu l'option Full Scan puis clic sur le bouton Scan now
    - Le site va te demander d'accepter l'installation du contrôle Activex.. accepte en cliquant sur le bouton Oui.
    - Le programme va télécharger les mises à jour puis le scan va se faire.. Il peut durer une heure.
    - Une fois le scan terminé.. clic en bas de la page de rapport sur le bouton Desinfect
    - Ensuite dans la partie haute, clic sur le petit bouton Save.. Cela va te permettre d'enregistrer un rapport sur ton bureau.
    - Ouvre ce rapport et Copie/colle le rapport panda ici

    AIDE : Si tu es perdu, tu peux suivre cette aide pour les scans en ligne)
    Anonyme
    12 Août 2008 18:06:43

    voici le rapport du scan


    ;***********************************************************************************************************************************************************************************
    ANALYSIS: 2008-08-12 18:05:02
    PROTECTIONS: 0
    MALWARE: 38
    SUSPECTS: 2
    ;***********************************************************************************************************************************************************************************
    PROTECTIONS
    Description Version Active Updated
    ;===================================================================================================================================================================================
    ;===================================================================================================================================================================================
    MALWARE
    Id Description Type Active Severity Disinfectable Disinfected Location
    ;===================================================================================================================================================================================
    00018331 adware/gator Adware No 0 Yes No hkey_classes_root\clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c}
    00018331 adware/gator Adware No 0 Yes No HKEY_LOCAL_MACHINE\software\classes\CLSID\{21FFB6C0-0DA1-11D5-A9D5-00500413153C}
    00018331 adware/gator Adware No 0 Yes No hkey_local_machine\software\gator.com
    00139059 Cookie/Traffic Marketplace TrackingCookie No 0 Yes No C:\Documents and Settings\NetworkService\Cookies\system@trafficmp[2].txt
    00139059 Cookie/Traffic Marketplace TrackingCookie No 0 Yes No C:\Documents and Settings\julien\Cookies\julien@trafficmp[2].txt
    00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Documents and Settings\julien\Cookies\system@doubleclick[1].txt
    00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Documents and Settings\julien\Cookies\julien@doubleclick[1].txt
    00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Documents and Settings\NetworkService\Cookies\system@doubleclick[1].txt
    00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Documents and Settings\NetworkService\Cookies\system@atdmt[2].txt
    00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Documents and Settings\julien\Cookies\julien@atdmt[2].txt
    00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP231\A0141845.exe
    00139535 Application/Processor HackTools No 0 Yes No C:\Program Files\Navilog1\Process.exe
    00145405 Cookie/RealMedia TrackingCookie No 0 Yes No C:\Documents and Settings\julien\Cookies\julien@247realmedia[1].txt
    00145457 Cookie/FastClick TrackingCookie No 0 Yes No C:\Documents and Settings\NetworkService\Cookies\system@fastclick[1].txt
    00145457 Cookie/FastClick TrackingCookie No 0 Yes No C:\Documents and Settings\julien\Cookies\system@fastclick[2].txt
    00145457 Cookie/FastClick TrackingCookie No 0 Yes No C:\Documents and Settings\julien\Cookies\julien@fastclick[2].txt
    00145731 Cookie/Tribalfusion TrackingCookie No 0 Yes No C:\Documents and Settings\julien\Cookies\julien@tribalfusion[2].txt
    00145731 Cookie/Tribalfusion TrackingCookie No 0 Yes No C:\Documents and Settings\NetworkService\Cookies\system@tribalfusion[2].txt
    00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No C:\Documents and Settings\julien\Cookies\julien@mediaplex[1].txt
    00167450 Exploit/ByteVerify HackTools No 0 Yes No C:\Documents and Settings\julien\Application Data\Sun\Java\Deployment\cache\6.0\50\12cedaf2-62cbcc75[VerifierBug.class]
    00167451 Exploit/ByteVerify HackTools No 0 Yes No C:\Documents and Settings\julien\Application Data\Sun\Java\Deployment\cache\6.0\50\12cedaf2-62cbcc75[Dummy.class]
    00167452 Exploit/ByteVerify HackTools No 0 Yes No C:\Documents and Settings\julien\Application Data\Sun\Java\Deployment\cache\6.0\50\12cedaf2-62cbcc75[BlackBox.class]
    00167453 Exploit/ByteVerify HackTools No 0 Yes No C:\Documents and Settings\julien\Application Data\Sun\Java\Deployment\cache\6.0\50\12cedaf2-62cbcc75[Beyond.class]
    00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\NetworkService\Cookies\system@xiti[1].txt
    00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\julien\Cookies\julien@xiti[1].txt
    00167747 Cookie/Azjmp TrackingCookie No 0 Yes No C:\Documents and Settings\NetworkService\Cookies\system@azjmp[1].txt
    00167747 Cookie/Azjmp TrackingCookie No 0 Yes No C:\Documents and Settings\julien\Cookies\julien@azjmp[2].txt
    00167753 Cookie/Statcounter TrackingCookie No 0 Yes No C:\Documents and Settings\julien\Cookies\system@statcounter[1].txt
    00168048 Cookie/Overture TrackingCookie No 0 Yes No C:\Documents and Settings\NetworkService\Cookies\system@perf.overture[1].txt
    00168048 Cookie/Overture TrackingCookie No 0 Yes No C:\Documents and Settings\julien\Cookies\julien@perf.overture[1].txt
    00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Documents and Settings\LocalService\Cookies\service local@ad.yieldmanager[2].txt
    00168061 Cookie/Apmebf TrackingCookie No 0 Yes No C:\Documents and Settings\julien\Cookies\system@apmebf[1].txt
    00168061 Cookie/Apmebf TrackingCookie No 0 Yes No C:\Documents and Settings\julien\Cookies\julien@apmebf[1].txt
    00168061 Cookie/Apmebf TrackingCookie No 0 Yes No C:\Documents and Settings\NetworkService\Cookies\system@apmebf[1].txt
    00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\julien\Cookies\julien@serving-sys[2].txt
    00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\NetworkService\Cookies\system@serving-sys[2].txt
    00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\NetworkService\Cookies\system@bs.serving-sys[1].txt
    00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\julien\Cookies\julien@bs.serving-sys[2].txt
    00168095 Cookie/888 TrackingCookie No 0 Yes No C:\Documents and Settings\NetworkService\Cookies\system@888[1].txt
    00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\julien\Cookies\julien@weborama[1].txt
    00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\NetworkService\Cookies\system@weborama[2].txt
    00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Documents and Settings\julien\Cookies\julien@adtech[1].txt
    00168116 Cookie/Comclick TrackingCookie No 0 Yes No C:\Documents and Settings\julien\Cookies\julien@fl01.ct2.comclick[1].txt
    00172221 Cookie/Zedo TrackingCookie No 0 Yes No C:\Documents and Settings\julien\Cookies\system@zedo[1].txt
    00172221 Cookie/Zedo TrackingCookie No 0 Yes No C:\Documents and Settings\NetworkService\Cookies\system@zedo[2].txt
    00172221 Cookie/Zedo TrackingCookie No 0 Yes No C:\Documents and Settings\julien\Cookies\julien@zedo[1].txt
    00172483 Cookie/888 TrackingCookie No 0 Yes No C:\Documents and Settings\NetworkService\Cookies\system@888[2].txt
    00172484 Cookie/Cassava TrackingCookie No 0 Yes No C:\Documents and Settings\NetworkService\Cookies\system@cassava[1].txt
    00173520 Cookie/Bluestreak TrackingCookie No 0 Yes No C:\Documents and Settings\NetworkService\Cookies\system@bluestreak[2].txt
    00262020 Cookie/Atwola TrackingCookie No 0 Yes No C:\Documents and Settings\julien\Cookies\julien@atwola[1].txt
    00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\julien\Cookies\julien@smartadserver[1].txt
    01606636 Cookie/Adserver TrackingCookie No 0 Yes No C:\Documents and Settings\LocalService\Cookies\service local@adserver.easyad[1].txt
    02197130 Trj/Rebooter.J Virus/Trojan No 1 Yes Yes C:\Program Files\Navilog1\Reboot.exe
    02908816 Cookie/Starware TrackingCookie No 0 Yes No C:\Documents and Settings\NetworkService\Cookies\system@h.starware[1].txt
    03074964 Trj/CI.A Virus/Trojan No 0 Yes Yes C:\QooBox\Quarantine\C\WINDOWS\system32\o8HI5be3.exe.vir
    03363283 W32/Brontok.JT.worm Virus/Worm No 0 Yes Yes C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP231\A0141854.exe
    03363283 W32/Brontok.JT.worm Virus/Worm No 0 Yes Yes C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP232\A0141920.exe
    03363283 W32/Brontok.JT.worm Virus/Worm No 0 Yes Yes C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP232\A0144920.exe
    03363283 W32/Brontok.JT.worm Virus/Worm No 0 Yes Yes C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP233\A0144964.exe
    03363283 W32/Brontok.JT.worm Virus/Worm No 0 Yes Yes C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP233\A0145920.exe
    03363283 W32/Brontok.JT.worm Virus/Worm No 0 Yes Yes C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP233\A0146921.exe
    03363283 W32/Brontok.JT.worm Virus/Worm No 0 Yes Yes C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP234\A0146926.exe
    03363283 W32/Brontok.JT.worm Virus/Worm No 0 Yes Yes C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP235\A0148922.exe
    03363283 W32/Brontok.JT.worm Virus/Worm No 0 Yes Yes C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP231\A0140901.exe
    03363283 W32/Brontok.JT.worm Virus/Worm No 0 Yes Yes C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP235\A0148950.exe
    03363283 W32/Brontok.JT.worm Virus/Worm No 0 Yes Yes C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP236\A0148954.exe
    03363283 W32/Brontok.JT.worm Virus/Worm No 0 Yes Yes C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP236\A0149948.exe
    03363283 W32/Brontok.JT.worm Virus/Worm No 0 Yes Yes C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP236\A0149971.exe
    03363283 W32/Brontok.JT.worm Virus/Worm No 0 Yes Yes C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP236\A0150981.exe
    03363283 W32/Brontok.JT.worm Virus/Worm No 0 Yes Yes C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP237\A0150982.exe
    03363283 W32/Brontok.JT.worm Virus/Worm No 0 Yes Yes C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP237\A0152118.exe
    03363283 W32/Brontok.JT.worm Virus/Worm No 0 Yes Yes C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP238\A0152168.exe
    03363283 W32/Brontok.JT.worm Virus/Worm No 0 Yes Yes C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP238\A0152984.exe
    03363283 W32/Brontok.JT.worm Virus/Worm No 0 Yes Yes C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP239\A0153236.exe
    03363283 W32/Brontok.JT.worm Virus/Worm No 0 Yes Yes C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP235\A0148936.exe
    03469177 Generic Trojan Virus/Trojan No 0 Yes Yes C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP239\A0153251.exe
    03471706 Trj/Clicker.ALP Virus/Trojan No 1 Yes Yes C:\System Volume Information\_restore{17AB3944-7B31-4EE4-9ECB-A06F885F4BE9}\RP247\A0162084.exe
    ;===================================================================================================================================================================================
    SUSPECTS
    Sent Location FA
    ;===================================================================================================================================================================================
    No C:\QooBox\Quarantine\C\WINDOWS\system32\0eKmJbv2.exe.vir FA
    No C:\_OTMoveIt\MovedFiles\08082008_124856\WINDOWS\system32\0eKmJbv2.exe FA
    ;===================================================================================================================================================================================
    VULNERABILITIES
    Id Severity Description FA
    ;===================================================================================================================================================================================
    ;===================================================================================================================================================================================
    12 Août 2008 21:26:50

    bonsoir

    ~Désactive puis réactive la restauration en suivant ce tuto:
    http://service1.symantec.com/SUPPORT/INTER/tsgeninfoint...
    Il faudra désactiver la restauration, redémarrer l'ordinateur et réactiver aussitôt la restauration.

    Supprime tous les programmes installés pour la désinfection.


    Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.



    Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.

    Si tu en as assez d'être assailli de publicités durant ta navigation, installe Firefox sécurisé avec les extensions noscript et AdBlock Plus.

    ~Edite ton premier message (en cliquant sur la gomme) et marque [résolu] dans le titre.
    Anonyme
    12 Août 2008 21:51:43

    En tout cas , merci bcp pour tout ces conseils :)  et de toute cette aide :) 
    12 Août 2008 22:01:30

    de rien
    bon surf
    :hello: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS