Se connecter / S'enregistrer
Votre question

[Résolu] Infection Virtumonde

Tags :
  • Windows
  • Sécurité
Dernière réponse : dans Sécurité et virus
5 Août 2008 22:55:20

Bonjour, bonsoir,

Après que Spybot m'ait détecté Virtumonde, j'ai tenté de l'éradiquer avec Vundofix, VirtumundoBeGone et Combofix ; sans succès visiblement puisque Spybot continue de me le détecter et que je reçois toujours des publicités intempestives.

Voici donc mon rapport Hijackthis si quelqu'un peu m'aider, merci beaucoup d'avance :D 

Citation :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:46:46, on 05/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CA\SharedComponents\Alert\ALERT.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
C:\Program Files\CA\eTrust Antivirus\InoRT.exe
C:\Program Files\CA\eTrust Antivirus\InoTask.exe
C:\Program Files\CA\eTrust Antivirus\inoweb.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\CA\eTrust Antivirus\InocIT.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Trend Micro\chre\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {39FFF97A-90EA-4BA8-A602-66A869D3E06E} - C:\WINDOWS\system32\xxywXnlJ.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: {14419914-fa79-6288-7c24-b192ee1bfc35} - {53cfb1ee-291b-42c7-8826-97af41991441} - C:\WINDOWS\system32\zeeyhe.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [AXIS TONS THE MP3] C:\Documents and Settings\All Users\Application Data\Readme Live Axis Tons\Bags Settings.exe
O4 - HKLM\..\Run: [BM0f204667] Rundll32.exe "C:\WINDOWS\system32\wlxdirmc.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Eroca] C:\Program Files\Eroca\Eroca.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15031/CTSUEng.cab
O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) - http://download.gigabyte.com.tw/object/Dldrv.ocx
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavweb...
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.ca...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15033/CTPID.cab
O20 - AppInit_DLLs: zeeyhe.dll
O23 - Service: Alert Notification Server - Computer Associates International, Inc. - C:\Program Files\CA\SharedComponents\Alert\ALERT.EXE
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Serveur RPC eTrust Antivirus (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: Serveur eTrust Antivirus Temps réel (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRT.exe
O23 - Service: Serveur de jobs eTrust Antivirus (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoTask.exe
O23 - Service: eTrust Antivirus Web Access Server (Inoweb) - Unknown owner - C:\Program Files\CA\eTrust Antivirus\inoweb.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 8198 bytes

Autres pages sur : resolu infection virtumonde

5 Août 2008 23:01:06

:hello:  Bonjour,

1) Suis ces étapes pour désinstaller proprement combofix

  • Menu démarrer puis exécuter
  • Tape maintenant Combofix /u dans la fenêtre que apparaît puis valide par OK. Veille à bien laisser un espace entre le X et le /U, car cela est nécessaire ici.


    2) Télécharge Combofix à partir d'**ICI** ou bien **ICI** et enregistre-le sur ton bureau.

    **Note 1 : Dans le cas où tu aurais déjà une version de combofix, il faudra que tu en télécharges une autre, la toute dernière. De plus il est très important de le sauvegarder directement sur ton bureau.**

  • Merci de ne jamais renommer Combofix, sauf si cela t'es expressément demandé.
  • Ferme toutes les fenêtres en cours, sans exception.
  • Désactive toutes les protections résidentes de tous tes logiciels antivirus, antispyware etc. afin que ces derniers n'interfèrent pas avec le bonfonctionnement de Combofix.
    Très important : Désactive temporairement toutes tes protections résidentes de tous tes logiciels de sécurité avant de lancer un scan avec Combofix. Ils risqueraient d'altérer le bon déroulement du scan de Combofix, ce qui pourrait avoir des conséquences imprévues et désastreuses.
  • Clique sur ce lien pour voir une liste de programmes qui devraient systématiquement être désactivés avant l'utilisation de combofix. A noter que la liste n'est pas exhaustive. Si ton logiciel de sécurité n'est pas dans cette liste et que tu ne sais pas comment le désactiver, ou que tu ne comprends pas l'anglais :p  , merci de me poser la question.
  • ATTENTION : Combofix va automatiquement te déconnecter d'internet dès que le scan débute.
  • Merci ne pas essayer de reconnecter ta machine à internet tant que combofix n'a pas fini son travail.
  • Si jamais tu n'arrives plus à te connecter à internet après l'utilisation de combofix, redémarre ton PC pour restaurer la connexion à internet.
  • Double clique sur combofix.exe et suis les instructions qui s'affichent.
  • Quand le scan sera fini, un rapport devrait normalement s'afficher à l'écran.
  • Merci de poster le rapport suivant, "C:\ComboFix.txt" , dans votre prochaine réponse, accompagné d'un nouveau rapport HiJackThis.

    **Note 2 : Ne pas cliquer dans la fenêtre de combofix pendant qu'il travaille. Tu risquerais de planter le PC et de causer d'importants dommages.**

    ;) 
    5 Août 2008 23:17:55

    Bonsoir Merillym ;) 

    Rapport c:\combofix.txt :
    ComboFix 08-08-04.08 - compte test 2008-08-05 23:10:37.3 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.647 [GMT 2:00]
    Endroit: C:\Documents and Settings\compte test\Bureau\ComboFix.exe
    * Création d'un nouveau point de restauration

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    ((((((((((((((((((((((((((((( Fichiers créés 2008-07-05 to 2008-08-05 ))))))))))))))))))))))))))))))))))))
    .

    2008-08-05 20:55 . 2008-08-05 20:55 <REP> d-------- C:\Program Files\Trend Micro
    2008-08-03 16:10 . 2008-08-03 16:10 114,176 --a------ C:\WINDOWS\system32\zeeyhe.dll
    2008-08-03 16:10 . 2008-08-03 16:10 114,176 --a------ C:\WINDOWS\system32\kxyqgtxl.dll
    2008-08-03 16:07 . 2008-08-03 16:07 83,456 --a------ C:\WINDOWS\system32\iltrmfnv.dll
    2008-08-03 16:05 . 2008-08-03 16:05 91,648 --a------ C:\WINDOWS\system32\glmjfqaj.dll
    2008-08-01 19:09 . 2008-08-01 19:09 <REP> d-------- C:\Program Files\directx
    2008-08-01 19:09 . 2008-08-01 19:09 0 --a------ C:\WINDOWS\DXT3E.tmp
    2008-08-01 19:09 . 2008-08-01 19:09 0 --a------ C:\WINDOWS\DXT3D.tmp
    2008-08-01 19:09 . 2008-08-01 19:09 0 --a------ C:\WINDOWS\DXT3C.tmp
    2008-08-01 19:09 . 2008-08-01 19:09 0 --a------ C:\WINDOWS\DXT3B.tmp
    2008-08-01 19:09 . 2008-08-01 19:09 0 --a------ C:\WINDOWS\DXT3A.tmp
    2008-08-01 19:09 . 2008-08-01 19:09 0 --a------ C:\WINDOWS\DXT39.tmp
    2008-08-01 19:09 . 2008-08-01 19:09 0 --a------ C:\WINDOWS\DXT38.tmp
    2008-08-01 19:09 . 2008-08-01 19:09 0 --a------ C:\WINDOWS\DXT37.tmp
    2008-08-01 17:52 . 2008-08-01 17:52 114,176 --a------ C:\WINDOWS\system32\liuckmhv.dll
    2008-08-01 17:47 . 2008-08-01 17:47 91,648 --a------ C:\WINDOWS\system32\wlxdirmc.dll
    2008-08-01 14:13 . 2008-08-01 14:13 105,472 --a------ C:\WINDOWS\system32\eslkmkwb.dll
    2008-08-01 14:12 . 2008-08-01 14:12 91,648 --a------ C:\WINDOWS\system32\pmlgxvkp.dll
    2008-08-01 13:38 . 2008-08-01 13:38 105,472 --a------ C:\WINDOWS\system32\rjomcqga.dll
    2008-08-01 13:33 . 2008-08-01 13:33 91,648 --a------ C:\WINDOWS\system32\wrwpewwk.dll
    2008-07-30 21:22 . 2008-07-30 21:22 294 ---hs---- C:\WINDOWS\system32\qanjwbxy.ini
    2008-07-22 20:27 . 2008-07-22 20:44 <REP> d-------- C:\Documents and Settings\compte test\Application Data\Pro Cycling Manager 2008 - Demo

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-08-05 18:13 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
    2008-08-03 15:49 --------- d-----w C:\Program Files\OpenOffice.org1.1.4
    2008-08-02 10:52 --------- d-----w C:\Documents and Settings\jean-jean et kikel\Application Data\OpenOffice.org2
    2008-08-02 09:28 --------- d-----w C:\Program Files\Windows Live Safety Center
    2008-08-01 12:37 --------- d-----w C:\Program Files\Adverts
    2008-08-01 12:17 --------- d-----w C:\Program Files\Google
    2008-08-01 12:13 --------- d-----w C:\Documents and Settings\All Users\Application Data\vgaroadmixtons
    2008-08-01 11:35 --------- d-----w C:\Documents and Settings\All Users\Application Data\Readme Live Axis Tons
    2008-07-30 16:48 162,008 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
    2008-07-30 16:48 111,928 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
    2008-07-26 16:55 --------- d-----w C:\Program Files\WarRock
    2008-07-22 18:18 --------- d-----w C:\Program Files\Cyanide
    2008-07-22 18:05 --------- d-----w C:\Documents and Settings\compte test\Application Data\LimeWire
    2008-06-28 11:54 --------- d-----w C:\Documents and Settings\compte test\Application Data\OpenOffice.org2
    2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
    2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
    2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
    2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
    2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
    2008-06-12 16:31 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-06-12 16:31 --------- d-----w C:\Documents and Settings\compte test\Application Data\InstallShield
    2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
    2004-07-22 08:51 3,432,656 ----a-w C:\Program Files\ManagedDX.CAB
    2004-07-19 20:58 1,156,363 ----a-w C:\Program Files\BDANT.cab
    2004-07-19 20:53 976,020 ----a-w C:\Program Files\BDAXP.cab
    2004-07-09 12:17 13,265,040 ----a-w C:\Program Files\dxnt.cab
    2004-07-09 07:13 703,080 ----a-w C:\Program Files\BDA.cab
    2004-07-09 07:13 15,493,481 ----a-w C:\Program Files\DirectX.cab
    2004-07-09 02:08 472,576 ----a-w C:\Program Files\dxsetup.exe
    2004-07-09 02:08 2,242,560 ----a-w C:\Program Files\dsetup32.dll
    2004-07-09 01:03 62,976 ----a-w C:\Program Files\DSETUP.dll
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{53cfb1ee-291b-42c7-8826-97af41991441}]
    2008-08-03 16:10 114176 --a------ C:\WINDOWS\system32\zeeyhe.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
    "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352]
    "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-05-12 11:03 68856]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-02-01 00:13 385024]
    "AXIS TONS THE MP3"="C:\Documents and Settings\All Users\Application Data\Readme Live Axis Tons\Bags Settings.exe" [2008-08-05 23:03 12582912]
    "BM0f204667"="C:\WINDOWS\system32\wlxdirmc.dll" [2008-08-01 17:47 91648]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

    C:\Documents and Settings\jean-jean et kikel\Menu D‚marrer\Programmes\D‚marrage\
    OpenOffice.org 2.3.lnk - C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 23:57:56 393216]

    C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26 29696]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=zeeyhe.dll

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\CA\\eTrust Antivirus\\InocIT.exe"=
    "C:\\Program Files\\America's Army\\System\\Server.exe"=
    "C:\\Program Files\\America's Army\\System\\ArmyOps.exe"=
    "C:\\Program Files\\CA\\eTrust Antivirus\\Shellscn.exe"=
    "C:\\StubInstaller.exe"=
    "C:\\Program Files\\LimeWire\\LimeWire.exe"=
    "C:\\WINDOWS\\system32\\rtcshare.exe"=
    "C:\\Program Files\\CA\\eTrust Antivirus\\Realmon.exe"=
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\MSN Messenger\\livecall.exe"=
    "C:\\Program Files\\Messenger\\msmsgs.exe"=
    "C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "C:\\Program Files\\iTunes\\iTunes.exe"=
    "<NO NAME>"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "C:\\Program Files\\Mozilla Firefox\\firefox.exe"=

    R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);C:\WINDOWS\system32\drivers\sfdrv01a.sys [2006-07-05 14:46]
    R2 Alert Notification Server;Alert Notification Server;C:\Program Files\CA\SharedComponents\Alert\ALERT.EXE [2004-06-29 09:50]
    R2 Inoweb;eTrust Antivirus Web Access Server;C:\Program Files\CA\eTrust Antivirus\inoweb.exe [2004-06-26 00:18]
    S3 Boonty Games;Boonty Games;C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe [2007-03-21 10:18]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e2ec6e2-428e-11dd-9c83-000fea0e979a}]
    \Shell\AutoRun\command - E:\setupSNK.exe

    *Newly Created Service* - CATCHME
    *Newly Created Service* - PROCEXP90
    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

    2008-08-05 C:\WINDOWS\Tasks\A8475DBA91C4CF8E.job
    - c:\docume~1\antoine\applic~1\fastba~1\heck view frag.exe []

    2008-07-31 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
    - C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 15:57]
    .
    - - - - ORPHANS REMOVED - - - -

    BHO-{39FFF97A-90EA-4BA8-A602-66A869D3E06E} - C:\WINDOWS\system32\xxywXnlJ.dll
    HKCU-Run-Eroca - C:\Program Files\Eroca\Eroca.exe


    .
    ------- Supplementary Scan -------
    .
    FireFox -: Profile - C:\Documents and Settings\compte test\Application Data\Mozilla\Firefox\Profiles\np6aml8y.default\
    FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
    FireFox -: prefs.js - STARTUP.HOMEPAGE - www.lequipe.fr
    FF -: plugin - C:\Program Files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
    FF -: plugin - C:\Program Files\DivX\DivX Content Uploader\npUpload.dll
    FF -: plugin - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll
    FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npqtplugin8.dll
    FF -: plugin - C:\Program Files\QuickTime\Plugins\npqtplugin8.dll


    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-08-05 23:12:53
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************
    .
    --------------------- DLLs a chargé sous des processus courants ---------------------

    PROCESS: C:\WINDOWS\system32\winlogon.exe
    -> C:\WINDOWS\system32\zeeyhe.dll

    PROCESS: C:\WINDOWS\system32\lsass.exe
    -> C:\WINDOWS\system32\zeeyhe.dll
    .
    Temps d'accomplissement: 2008-08-05 23:14:15
    ComboFix-quarantined-files.txt 2008-08-05 21:13:55
    ComboFix2.txt 2008-08-05 20:06:05

    Pre-Run: 71,140,933,632 octets libres
    Post-Run: 71,131,226,112 octets libres

    157 --- E O F --- 2008-07-10 19:07:36


    Rapport Hijackthis :
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 23:17:26, on 05/08/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16674)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\CA\SharedComponents\Alert\ALERT.EXE
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\CTsvcCDA.EXE
    C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
    C:\Program Files\CA\eTrust Antivirus\InoRT.exe
    C:\Program Files\CA\eTrust Antivirus\InoTask.exe
    C:\Program Files\CA\eTrust Antivirus\inoweb.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Trend Micro\chre\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: {14419914-fa79-6288-7c24-b192ee1bfc35} - {53cfb1ee-291b-42c7-8826-97af41991441} - C:\WINDOWS\system32\zeeyhe.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [AXIS TONS THE MP3] C:\Documents and Settings\All Users\Application Data\Readme Live Axis Tons\Bags Settings.exe
    O4 - HKLM\..\Run: [BM0f204667] Rundll32.exe "C:\WINDOWS\system32\wlxdirmc.dll",s
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15031/CTSUEng.cab
    O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) - http://download.gigabyte.com.tw/object/Dldrv.ocx
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavweb...
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.ca...
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
    O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15033/CTPID.cab
    O20 - AppInit_DLLs: zeeyhe.dll
    O23 - Service: Alert Notification Server - Computer Associates International, Inc. - C:\Program Files\CA\SharedComponents\Alert\ALERT.EXE
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Serveur RPC eTrust Antivirus (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
    O23 - Service: Serveur eTrust Antivirus Temps réel (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRT.exe
    O23 - Service: Serveur de jobs eTrust Antivirus (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoTask.exe
    O23 - Service: eTrust Antivirus Web Access Server (Inoweb) - Unknown owner - C:\Program Files\CA\eTrust Antivirus\inoweb.exe
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

    --
    End of file - 7842 bytes
    Contenus similaires
    6 Août 2008 11:40:08

    :hello: 

    Désactive toute protection résidente ( antivirus…) ! <------- Pense-y !

    Copie le texte se situant dans le cadre ci-dessous : ( Ctrl + C )

    Citation :
    Driver::
    Boonty Games

    File::
    C:\WINDOWS\system32\zeeyhe.dll
    C:\WINDOWS\system32\kxyqgtxl.dll
    C:\WINDOWS\system32\iltrmfnv.dll
    C:\WINDOWS\system32\glmjfqaj.dll
    C:\WINDOWS\system32\liuckmhv.dll
    C:\WINDOWS\system32\wlxdirmc.dll
    C:\WINDOWS\system32\eslkmkwb.dll
    C:\WINDOWS\system32\pmlgxvkp.dll
    C:\WINDOWS\system32\rjomcqga.dll
    C:\WINDOWS\system32\wrwpewwk.dll
    C:\WINDOWS\system32\qanjwbxy.ini
    C:\WINDOWS\Tasks\A8475DBA91C4CF8E.job

    Folder::
    C:\Documents and Settings\All Users\Application Data\Readme Live Axis Tons
    C:\Program Files\Fichiers communs\BOONTY Shared
    c:\docume~1\antoine\applic~1\fastba~1

    Registry::
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{53cfb1ee-291b-42c7-8826-97af41991441}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "AXIS TONS THE MP3"=-
    "BM0f204667"=-
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=""
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e2ec6e2-428e-11dd-9c83-000fea0e979a}]


    => Ouvre le Bloc Notes : Démarrer > Tous les programmes > Accessoires > Bloc notes

    - Colles y le texte (CTRL + V)
    - Enregistre ce fichier dans : Bureau
    - Nom du fichier : CFScript
    - Type du fichier : tous les fichiers !!
    - Clique sur Enregistrer
    - Quitte le Bloc Notes

    Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :



    * Cela va relancer Combofix : au message qui apparaît ( Type 1 to continue, or 2 to abort), tape 1 puis valide.
    * Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
    * Ne touche à rien tant que le scan n'est pas terminé.
    * Une fois le scan achevé, un rapport va s'afficher : Copie/Colle son contenue sur le forum.
    Si le fichier ne s'ouvre pas, il se trouve ici : C:\ComboFix.txt
    * Poste un nouveau rapport hijackthis.

    ;) 
    6 Août 2008 20:01:02

    Bonsoir Merillym,

    Désolé pour l'oubli concernant l'antivirus. Il s'agit d'eTrust, et je n'avais pas trouvé d'options de "déchargement" ou d'arrêt. J'ai donc "tué" les processus correspondants avant de lancer cette nouvelle manip'. Cependant, après le reboot, l'antivirus s'est relancé automatiquement. J'espère que cela ira.

    Rapport Combofix :
    ComboFix 08-08-04.08 - compte test 2008-08-06 19:50:36.4 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.683 [GMT 2:00]
    Endroit: C:\Documents and Settings\compte test\Bureau\ComboFix.exe
    Command switches used :: C:\Documents and Settings\compte test\Bureau\CFScript.txt
    * Création d'un nouveau point de restauration

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

    FILE ::
    C:\WINDOWS\system32\eslkmkwb.dll
    C:\WINDOWS\system32\glmjfqaj.dll
    C:\WINDOWS\system32\iltrmfnv.dll
    C:\WINDOWS\system32\kxyqgtxl.dll
    C:\WINDOWS\system32\liuckmhv.dll
    C:\WINDOWS\system32\pmlgxvkp.dll
    C:\WINDOWS\system32\qanjwbxy.ini
    C:\WINDOWS\system32\rjomcqga.dll
    C:\WINDOWS\system32\wlxdirmc.dll
    C:\WINDOWS\system32\wrwpewwk.dll
    C:\WINDOWS\system32\zeeyhe.dll
    C:\WINDOWS\Tasks\A8475DBA91C4CF8E.job
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Documents and Settings\All Users\Application Data\Readme Live Axis Tons
    C:\Documents and Settings\All Users\Application Data\Readme Live Axis Tons\Bags Settings.exe
    C:\Documents and Settings\All Users\Application Data\Readme Live Axis Tons\keep open.exe
    C:\Program Files\Fichiers communs\BOONTY Shared
    C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
    C:\WINDOWS\system32\qanjwbxy.ini
    C:\WINDOWS\Tasks\A8475DBA91C4CF8E.job

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_BOONTY_GAMES
    -------\Service_Boonty Games


    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-06 to 2008-08-06 ))))))))))))))))))))))))))))))))))))
    .

    2008-08-06 00:10 . 2008-08-06 00:12 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
    2008-08-06 00:06 . 2008-08-06 00:06 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
    2008-08-05 20:55 . 2008-08-05 20:55 <REP> d-------- C:\Program Files\Trend Micro
    2008-08-01 19:09 . 2008-08-01 19:09 <REP> d-------- C:\Program Files\directx
    2008-08-01 19:09 . 2008-08-01 19:09 0 --a------ C:\WINDOWS\DXT3E.tmp
    2008-08-01 19:09 . 2008-08-01 19:09 0 --a------ C:\WINDOWS\DXT3D.tmp
    2008-08-01 19:09 . 2008-08-01 19:09 0 --a------ C:\WINDOWS\DXT3C.tmp
    2008-08-01 19:09 . 2008-08-01 19:09 0 --a------ C:\WINDOWS\DXT3B.tmp
    2008-08-01 19:09 . 2008-08-01 19:09 0 --a------ C:\WINDOWS\DXT3A.tmp
    2008-08-01 19:09 . 2008-08-01 19:09 0 --a------ C:\WINDOWS\DXT39.tmp
    2008-08-01 19:09 . 2008-08-01 19:09 0 --a------ C:\WINDOWS\DXT38.tmp
    2008-08-01 19:09 . 2008-08-01 19:09 0 --a------ C:\WINDOWS\DXT37.tmp
    2008-07-22 20:27 . 2008-07-22 20:44 <REP> d-------- C:\Documents and Settings\compte test\Application Data\Pro Cycling Manager 2008 - Demo

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-08-05 22:10 --------- d-----w C:\Program Files\Lavasoft
    2008-08-05 18:13 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
    2008-08-03 15:49 --------- d-----w C:\Program Files\OpenOffice.org1.1.4
    2008-08-02 10:52 --------- d-----w C:\Documents and Settings\jean-jean et kikel\Application Data\OpenOffice.org2
    2008-08-02 09:28 --------- d-----w C:\Program Files\Windows Live Safety Center
    2008-08-01 12:37 --------- d-----w C:\Program Files\Adverts
    2008-08-01 12:17 --------- d-----w C:\Program Files\Google
    2008-08-01 12:13 --------- d-----w C:\Documents and Settings\All Users\Application Data\vgaroadmixtons
    2008-07-30 16:48 162,008 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
    2008-07-26 16:55 --------- d-----w C:\Program Files\WarRock
    2008-07-22 18:18 --------- d-----w C:\Program Files\Cyanide
    2008-07-22 18:05 --------- d-----w C:\Documents and Settings\compte test\Application Data\LimeWire
    2008-06-28 11:54 --------- d-----w C:\Documents and Settings\compte test\Application Data\OpenOffice.org2
    2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
    2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
    2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
    2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
    2008-06-12 16:31 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-06-12 16:31 --------- d-----w C:\Documents and Settings\compte test\Application Data\InstallShield
    2004-07-22 08:51 3,432,656 ----a-w C:\Program Files\ManagedDX.CAB
    2004-07-19 20:58 1,156,363 ----a-w C:\Program Files\BDANT.cab
    2004-07-19 20:53 976,020 ----a-w C:\Program Files\BDAXP.cab
    2004-07-09 12:17 13,265,040 ----a-w C:\Program Files\dxnt.cab
    2004-07-09 07:13 703,080 ----a-w C:\Program Files\BDA.cab
    2004-07-09 07:13 15,493,481 ----a-w C:\Program Files\DirectX.cab
    2004-07-09 02:08 472,576 ----a-w C:\Program Files\dxsetup.exe
    2004-07-09 02:08 2,242,560 ----a-w C:\Program Files\dsetup32.dll
    2004-07-09 01:03 62,976 ----a-w C:\Program Files\DSETUP.dll
    .

    ((((((((((((((((((((((((((((( snapshot@2008-08-05_23.13.38.71 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
    + 2008-04-29 09:19:50 12,960 ----a-w C:\WINDOWS\system32\drivers\Awrtpd.sys
    + 2008-04-29 09:19:54 15,648 ----a-w C:\WINDOWS\system32\drivers\Awrtrd.sys
    + 2008-04-29 09:20:00 15,648 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
    + 2008-05-16 09:58:04 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
    - 2008-07-30 16:48:39 111,928 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
    + 2008-08-06 04:25:09 111,928 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352]
    "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-05-12 11:03 68856]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-02-01 00:13 385024]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\CA\\eTrust Antivirus\\InocIT.exe"=
    "C:\\Program Files\\America's Army\\System\\Server.exe"=
    "C:\\Program Files\\America's Army\\System\\ArmyOps.exe"=
    "C:\\Program Files\\CA\\eTrust Antivirus\\Shellscn.exe"=
    "C:\\StubInstaller.exe"=
    "C:\\Program Files\\LimeWire\\LimeWire.exe"=
    "C:\\WINDOWS\\system32\\rtcshare.exe"=
    "C:\\Program Files\\CA\\eTrust Antivirus\\Realmon.exe"=
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\MSN Messenger\\livecall.exe"=
    "C:\\Program Files\\Messenger\\msmsgs.exe"=
    "C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "C:\\Program Files\\iTunes\\iTunes.exe"=
    "<NO NAME>"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "C:\\Program Files\\Mozilla Firefox\\firefox.exe"=

    R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);C:\WINDOWS\system32\drivers\sfdrv01a.sys [2006-07-05 14:46]
    R2 Alert Notification Server;Alert Notification Server;C:\Program Files\CA\SharedComponents\Alert\ALERT.EXE [2004-06-29 09:50]
    R2 Inoweb;eTrust Antivirus Web Access Server;C:\Program Files\CA\eTrust Antivirus\inoweb.exe [2004-06-26 00:18]
    .
    Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

    2008-07-31 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
    - C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 15:57]
    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-08-06 19:53:39
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\WINDOWS\system32\ati2evxx.exe
    C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    C:\WINDOWS\system32\ati2evxx.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\CTSVCCDA.EXE
    C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
    C:\Program Files\CA\eTrust Antivirus\InoRT.exe
    C:\Program Files\CA\eTrust Antivirus\InoTask.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-08-06 19:56:39 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-08-06 17:56:35
    ComboFix2.txt 2008-08-05 21:14:16
    ComboFix3.txt 2008-08-05 20:06:05

    Pre-Run: 70,943,907,840 octets libres
    Post-Run: 70,892,916,736 octets libres

    162 --- E O F --- 2008-07-10 19:07:36



    Rapport Hijackthis :
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:00:21, on 06/08/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16674)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\Program Files\CA\SharedComponents\Alert\ALERT.EXE
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\CTsvcCDA.EXE
    C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
    C:\Program Files\CA\eTrust Antivirus\InoRT.exe
    C:\Program Files\CA\eTrust Antivirus\InoTask.exe
    C:\Program Files\CA\eTrust Antivirus\inoweb.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Trend Micro\chre\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15031/CTSUEng.cab
    O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) - http://download.gigabyte.com.tw/object/Dldrv.ocx
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavweb...
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.ca...
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
    O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15033/CTPID.cab
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: Alert Notification Server - Computer Associates International, Inc. - C:\Program Files\CA\SharedComponents\Alert\ALERT.EXE
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Serveur RPC eTrust Antivirus (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
    O23 - Service: Serveur eTrust Antivirus Temps réel (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRT.exe
    O23 - Service: Serveur de jobs eTrust Antivirus (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoTask.exe
    O23 - Service: eTrust Antivirus Web Access Server (Inoweb) - Unknown owner - C:\Program Files\CA\eTrust Antivirus\inoweb.exe
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

    --
    End of file - 7439 bytes


    ++,
    Christian.
    7 Août 2008 11:02:12

    Re,

    Tu es infecté(e) par "Vundo". Supprime tous les cracks de ton PC s'ils sont présents car sinon ils relanceront l'infection.

    Je te conseille de désinstaller et de supprimer tous tes logiciels de p2p : 50% de ce que tu télécharges via p2p est piégé. Le p2p est le premier vecteur d'infection de nos jours.
    Plus d'informations disponibles en cliquant sur le lien suivant : Cracks / P2P

    ***

    Télécharge MalwareByte's Anti-Malware sur ton Bureau.
    Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.

    Une fois l'installation et la mise à jour effectuées, redémarre en mode sans échec.
    AIDE : Redémarrer en mode sans échec

  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche, clic sur"Rechercher".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
    -- si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
    -- si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau afin de le poster dans ta prochaine réponse.
    [#ff0000]REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.[/#f]

    AIDE : Tuto en images sur MBAM

    ;) 
    7 Août 2008 20:02:32

    Bonsoir Merillym,
    Bonsoir toutes et tous,

    J'ai bien noté tes recommandations, pour les cracks, je dois me renseigner (l'ordinateur n'est pas à moi), et pour LimeWire, c'est bien noté ;) 

    J'ai donc exécuté MalwareByte's Anti-Malware, mais, bizarrement, il n'a rien trouvé, 0 infections. Dois-je poster le rapport ?

    Quelle suite dois-je donner ? Merci.

    ++,
    Christian.
    8 Août 2008 07:55:10

    Bonjour Merillym,

    Je trouvais çà bizarre, alors j'ai fait fonctionner MalwareByte's Anti-Malware sur un autre compte utilisateur (il y en a plusieurs sur la machine), et j'ai obtenu ce résultat :

    Malwarebytes' Anti-Malware 1.24
    Database version: 1032
    Windows 5.1.2600 Service Pack 2

    07:50:06 08/08/2008
    mbam-log-8-8-2008 (07-50-06).txt

    Scan type: Full Scan (C:\|)
    Objects scanned: 127692
    Time elapsed: 42 minute(s), 34 second(s)

    Memory Processes Infected: 0
    Memory Modules Infected: 0
    Registry Keys Infected: 0
    Registry Values Infected: 2
    Registry Data Items Infected: 0
    Folders Infected: 0
    Files Infected: 0

    Memory Processes Infected:
    (No malicious items detected)

    Memory Modules Infected:
    (No malicious items detected)

    Registry Keys Infected:
    (No malicious items detected)

    Registry Values Infected:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\host-domain-lookup.com (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.host-domain-lookup.com (Malware.Trace) -> Quarantined and deleted successfully.

    Registry Data Items Infected:
    (No malicious items detected)

    Folders Infected:
    (No malicious items detected)

    Files Infected:
    (No malicious items detected)
    8 Août 2008 16:40:35

    :hello:  Bonjour,

    Fais un scan avec combofix sous l'autre session et poste-moi le rapport, à tout hasard.

    ;) 
    8 Août 2008 19:18:31

    Bonsoir Merillym,

    Comme convenu, le scan Combofix dans l'autre compte utilisateur :

    Rapport Combofix :
    ComboFix 08-08-08.02 - Antoine 2008-08-08 19:08:24.5 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.687 [GMT 2:00]
    Endroit: C:\Documents and Settings\compte test\Bureau\ComboFix.exe
    * Création d'un nouveau point de restauration

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    ((((((((((((((((((((((((((((( Fichiers créés 2008-07-08 to 2008-08-08 ))))))))))))))))))))))))))))))))))))
    .

    2008-08-08 06:53 . 2008-08-08 06:53 <REP> d-------- C:\Documents and Settings\Antoine\Application Data\Malwarebytes
    2008-08-08 06:38 . 2008-08-08 06:38 54,156 --ah----- C:\WINDOWS\QTFont.qfn
    2008-08-08 06:38 . 2008-08-08 06:38 1,409 --a------ C:\WINDOWS\QTFont.for
    2008-08-07 19:32 . 2008-08-07 19:32 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
    2008-08-07 19:32 . 2008-08-07 19:32 <REP> d-------- C:\Documents and Settings\compte test\Application Data\Malwarebytes
    2008-08-07 19:32 . 2008-08-07 19:32 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-08-07 19:32 . 2008-07-30 20:15 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
    2008-08-07 19:32 . 2008-07-30 20:15 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
    2008-08-06 00:10 . 2008-08-06 00:12 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
    2008-08-06 00:06 . 2008-08-06 00:06 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
    2008-08-05 20:55 . 2008-08-05 20:55 <REP> d-------- C:\Program Files\Trend Micro
    2008-08-01 19:09 . 2008-08-01 19:09 <REP> d-------- C:\Program Files\directx
    2008-08-01 19:09 . 2008-08-01 19:09 0 --a------ C:\WINDOWS\DXT3E.tmp
    2008-08-01 19:09 . 2008-08-01 19:09 0 --a------ C:\WINDOWS\DXT3D.tmp
    2008-08-01 19:09 . 2008-08-01 19:09 0 --a------ C:\WINDOWS\DXT3C.tmp
    2008-08-01 19:09 . 2008-08-01 19:09 0 --a------ C:\WINDOWS\DXT3B.tmp
    2008-08-01 19:09 . 2008-08-01 19:09 0 --a------ C:\WINDOWS\DXT3A.tmp
    2008-08-01 19:09 . 2008-08-01 19:09 0 --a------ C:\WINDOWS\DXT39.tmp
    2008-08-01 19:09 . 2008-08-01 19:09 0 --a------ C:\WINDOWS\DXT38.tmp
    2008-08-01 19:09 . 2008-08-01 19:09 0 --a------ C:\WINDOWS\DXT37.tmp
    2008-07-22 20:27 . 2008-07-22 20:44 <REP> d-------- C:\Documents and Settings\compte test\Application Data\Pro Cycling Manager 2008 - Demo

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-08-08 17:04 --------- d-----w C:\Program Files\OpenOffice.org1.1.4
    2008-08-08 04:54 --------- d-----w C:\Documents and Settings\Antoine\Application Data\OpenOffice.org2
    2008-08-08 04:49 --------- d-----w C:\Documents and Settings\compte test\Application Data\OpenOffice.org2
    2008-08-06 04:25 111,928 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
    2008-08-05 22:10 --------- d-----w C:\Program Files\Lavasoft
    2008-08-05 18:13 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
    2008-08-02 10:52 --------- d-----w C:\Documents and Settings\jean-jean et kikel\Application Data\OpenOffice.org2
    2008-08-02 09:28 --------- d-----w C:\Program Files\Windows Live Safety Center
    2008-08-01 12:37 --------- d-----w C:\Program Files\Adverts
    2008-08-01 12:17 --------- d-----w C:\Program Files\Google
    2008-08-01 12:13 --------- d-----w C:\Documents and Settings\All Users\Application Data\vgaroadmixtons
    2008-08-01 11:42 --------- d-----w C:\Documents and Settings\Antoine\Application Data\Fast Barb Build
    2008-07-30 16:48 162,008 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
    2008-07-26 16:55 --------- d-----w C:\Program Files\WarRock
    2008-07-22 18:18 --------- d-----w C:\Program Files\Cyanide
    2008-07-22 18:05 --------- d-----w C:\Documents and Settings\compte test\Application Data\LimeWire
    2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
    2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
    2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
    2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
    2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
    2008-06-12 16:31 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-06-12 16:31 --------- d-----w C:\Documents and Settings\compte test\Application Data\InstallShield
    2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
    2004-07-22 08:51 3,432,656 ----a-w C:\Program Files\ManagedDX.CAB
    2004-07-19 20:58 1,156,363 ----a-w C:\Program Files\BDANT.cab
    2004-07-19 20:53 976,020 ----a-w C:\Program Files\BDAXP.cab
    2004-07-09 12:17 13,265,040 ----a-w C:\Program Files\dxnt.cab
    2004-07-09 07:13 703,080 ----a-w C:\Program Files\BDA.cab
    2004-07-09 07:13 15,493,481 ----a-w C:\Program Files\DirectX.cab
    2004-07-09 02:08 472,576 ----a-w C:\Program Files\dxsetup.exe
    2004-07-09 02:08 2,242,560 ----a-w C:\Program Files\dsetup32.dll
    2004-07-09 01:03 62,976 ----a-w C:\Program Files\DSETUP.dll
    .

    ((((((((((((((((((((((((((((( snapshot@2008-08-05_23.13.38.71 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
    + 2008-04-29 09:19:50 12,960 ----a-w C:\WINDOWS\system32\drivers\Awrtpd.sys
    + 2008-04-29 09:19:54 15,648 ----a-w C:\WINDOWS\system32\drivers\Awrtrd.sys
    + 2008-04-29 09:20:00 15,648 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488]
    "Creative Detector"="C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe" [2004-12-02 19:23 102400]
    "MessengerPlus3"="C:\Program Files\MessengerPlus! 3\MsgPlus.exe" [2006-07-15 13:42 190024]
    "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352]
    "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-02-01 00:13 385024]
    "axistick"="C:\DOCUME~1\Antoine\APPLIC~1\FASTBA~1\21.exe" [2008-08-01 13:33 591360]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-02-01 00:13 385024]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

    C:\Documents and Settings\jean-jean et kikel\Menu D‚marrer\Programmes\D‚marrage\
    OpenOffice.org 2.3.lnk - C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 23:57:56 393216]

    C:\Documents and Settings\Antoine\Menu D‚marrer\Programmes\D‚marrage\
    OpenOffice.org 1.1.4.lnk - C:\Program Files\OpenOffice.org1.1.4\program\quickstart.exe [2004-10-28 01:10:00 61440]

    C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26 29696]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\CA\\eTrust Antivirus\\InocIT.exe"=
    "C:\\Program Files\\America's Army\\System\\Server.exe"=
    "C:\\Program Files\\America's Army\\System\\ArmyOps.exe"=
    "C:\\Program Files\\CA\\eTrust Antivirus\\Shellscn.exe"=
    "C:\\StubInstaller.exe"=
    "C:\\Program Files\\LimeWire\\LimeWire.exe"=
    "C:\\WINDOWS\\system32\\rtcshare.exe"=
    "C:\\Program Files\\CA\\eTrust Antivirus\\Realmon.exe"=
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\MSN Messenger\\livecall.exe"=
    "C:\\Program Files\\Messenger\\msmsgs.exe"=
    "C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "C:\\Program Files\\iTunes\\iTunes.exe"=
    "<NO NAME>"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "C:\\Program Files\\Mozilla Firefox\\firefox.exe"=

    R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);C:\WINDOWS\system32\drivers\sfdrv01a.sys [2006-07-05 14:46]
    R2 Alert Notification Server;Alert Notification Server;C:\Program Files\CA\SharedComponents\Alert\ALERT.EXE [2004-06-29 09:50]
    S2 Inoweb;eTrust Antivirus Web Access Server;C:\Program Files\CA\eTrust Antivirus\inoweb.exe [2004-06-26 00:18]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e2ec6e2-428e-11dd-9c83-000fea0e979a}]
    \Shell\AutoRun\command - E:\setupSNK.exe

    *Newly Created Service* - CATCHME
    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

    2008-07-31 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
    - C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 15:57]
    .
    .
    ------- Supplementary Scan -------
    .
    FireFox -: Profile - C:\Documents and Settings\Antoine\Application Data\Mozilla\Firefox\Profiles\k70fqo93.default\
    FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
    FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.lequipe.fr/
    FF -: plugin - C:\Program Files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
    FF -: plugin - C:\Program Files\DivX\DivX Content Uploader\npUpload.dll
    FF -: plugin - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll
    FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npqtplugin8.dll
    FF -: plugin - C:\Program Files\QuickTime\Plugins\npqtplugin8.dll


    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-08-08 19:10:13
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************
    .
    Temps d'accomplissement: 2008-08-08 19:12:31
    ComboFix-quarantined-files.txt 2008-08-08 17:12:28
    ComboFix2.txt 2008-08-06 17:56:39
    ComboFix3.txt 2008-08-05 21:14:16
    ComboFix4.txt 2008-08-05 20:06:05

    Pre-Run: 69,719,482,368 octets libres
    Post-Run: 69,713,276,928 octets libres

    154 --- E O F --- 2008-07-10 19:07:36


    Le rapport Hijackthis qui va avec :
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:14:54, on 08/08/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16674)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\CA\SharedComponents\Alert\ALERT.EXE
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\CTsvcCDA.EXE
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\WINDOWS\system32\notepad.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Trend Micro\chre\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ogame.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R
    O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKCU\..\Run: [axistick] C:\DOCUME~1\Antoine\APPLIC~1\FASTBA~1\21.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Program Files\OpenOffice.org1.1.4\program\quickstart.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Program Files\MP3 Player Utilities 4.00\AMVConverter\grab.html
    O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.00\MediaManager\grab.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15031/CTSUEng.cab
    O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) - http://download.gigabyte.com.tw/object/Dldrv.ocx
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavweb...
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.ca...
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
    O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15033/CTPID.cab
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: Alert Notification Server - Computer Associates International, Inc. - C:\Program Files\CA\SharedComponents\Alert\ALERT.EXE
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Serveur RPC eTrust Antivirus (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
    O23 - Service: Serveur eTrust Antivirus Temps réel (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRT.exe
    O23 - Service: Serveur de jobs eTrust Antivirus (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoTask.exe
    O23 - Service: eTrust Antivirus Web Access Server (Inoweb) - Unknown owner - C:\Program Files\CA\eTrust Antivirus\inoweb.exe
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

    --
    End of file - 8085 bytes


    Ceci m'interroge
    Citation :
    O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
    Il me semble avoir lu quelque part que ce programme MessengerPlus était "peu recommandable" ? Est-ce juste ? Si oui, il faut le supprimer.
    8 Août 2008 19:23:34

    Re,

    Citation :
    Il me semble avoir lu quelque part que ce programme MessengerPlus était "peu recommandable" ? Est-ce juste ? Si oui, il faut le supprimer.


    Ce n'est pas le programme en lui-même qui est peu recommandable, c'est le sponsor qui va avec : si jamais il est installé avec MessengerPlus, il installe l'infection lop.com qui affiche des pubs CiD intempestives.

    Visiblement, ce PC a été victime de cette infection, comme on peut le constater sur la ligne suivante :
    Citation :

    O4 - HKCU\..\Run: [axistick] C:\DOCUME~1\Antoine\APPLIC~1\FASTBA~1\21.exe


    On va donc vérifier :) 

    Télécharge Lop S&D.exe (d’ Eric 71 & Angeldark) sur ton bureau.

  • Double-clique dessus pour lancer l'installation
  • Puis double-clique sur le raccourci Lop S&D présent sur ton bureau (Si tu es sous Vista, clique droit -> exécuter en tant qu'admin)
  • Séléctionne la langue souhaitée , puis choisis l'Option 1 (Recherche)
  • Patiente jusqu'à la fin du scan
  • Poste le rapport généré (C:\lopR.txt)

    Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "Nouvelle tâche (exécuter)"
    Tapes explorer et valide. Cela te fera apparaitre ton bureau


    ;) 
    8 Août 2008 19:30:42

    Re,

    Comme convenu
    Citation :

    --------------------\\ Lop S&D 4.2.2-5 XP/Vista

    [ Windows XP (NT 5.1) Build 2600, Service Pack 2 ]
    [ USER : Antoine ] [ "C:\Lop SD" ] [ Selection : 1 ]
    [ 08/08/2008 | 19:28:22,37 ] [ PC : PERSO ]
    [ MAJ : 01-08-2008 | 01:40 ]

    --------------------\\ Listing des dossiers dans APPLIC~1

    [14/01/2007|18:18] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
    [11/02/2008|21:34] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple
    [05/08/2008|20:13] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
    [21/03/2007|10:18] C:\DOCUME~1\ALLUSE~1\APPLIC~1\BOONTY
    [01/02/2008|19:03] C:\DOCUME~1\ALLUSE~1\APPLIC~1\CanonBJ
    [09/09/2005|00:31] C:\DOCUME~1\ALLUSE~1\APPLIC~1\desktop.ini
    [19/02/2006|18:51] C:\DOCUME~1\ALLUSE~1\APPLIC~1\element5
    [12/05/2008|11:04] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google
    [15/03/2008|22:26] C:\DOCUME~1\ALLUSE~1\APPLIC~1\InstallShield
    [01/11/2007|12:39] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Kaspersky Lab
    [06/08/2008|00:12] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Lavasoft
    [21/03/2007|10:31] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Macrovision
    [07/08/2008|19:32] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Malwarebytes
    [15/07/2006|14:06] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Messenger Plus!
    [26/11/2007|22:13] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
    [08/02/2006|18:03] C:\DOCUME~1\ALLUSE~1\APPLIC~1\QuickTime
    [22/02/2006|15:34] C:\DOCUME~1\ALLUSE~1\APPLIC~1\ScanSoft
    [14/03/2008|14:44] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
    [17/01/2007|20:22] C:\DOCUME~1\ALLUSE~1\APPLIC~1\SSScanAppDataDir
    [17/01/2007|20:22] C:\DOCUME~1\ALLUSE~1\APPLIC~1\SSScanWizard
    [30/09/2007|21:22] C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
    [01/08/2008|14:13] C:\DOCUME~1\ALLUSE~1\APPLIC~1\vgaroadmixtons
    [20/12/2005|12:14] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage

    [05/02/2008|13:51] C:\DOCUME~1\Antoine\APPLIC~1\Adobe
    [20/01/2007|16:40] C:\DOCUME~1\Antoine\APPLIC~1\AdobeUM
    [19/02/2006|19:28] C:\DOCUME~1\Antoine\APPLIC~1\Ahead
    [06/11/2007|21:37] C:\DOCUME~1\Antoine\APPLIC~1\Apple Computer
    [19/02/2006|18:51] C:\DOCUME~1\Antoine\APPLIC~1\ArcSoft
    [13/03/2008|21:53] C:\DOCUME~1\Antoine\APPLIC~1\Canon
    [01/11/2006|21:46] C:\DOCUME~1\Antoine\APPLIC~1\Creative
    [09/09/2005|00:31] C:\DOCUME~1\Antoine\APPLIC~1\desktop.ini
    [22/07/2007|22:41] C:\DOCUME~1\Antoine\APPLIC~1\DivX
    [01/08/2008|13:42] C:\DOCUME~1\Antoine\APPLIC~1\Fast Barb Build
    [29/09/2007|13:32] C:\DOCUME~1\Antoine\APPLIC~1\funkitron
    [10/09/2005|07:56] C:\DOCUME~1\Antoine\APPLIC~1\Gearbox Software
    [01/08/2008|14:29] C:\DOCUME~1\Antoine\APPLIC~1\Google
    [10/09/2005|06:26] C:\DOCUME~1\Antoine\APPLIC~1\Help
    [08/09/2005|23:05] C:\DOCUME~1\Antoine\APPLIC~1\Identities
    [23/08/2007|19:15] C:\DOCUME~1\Antoine\APPLIC~1\InfraRecorder
    [08/02/2006|18:03] C:\DOCUME~1\Antoine\APPLIC~1\iShell
    [09/09/2005|00:04] C:\DOCUME~1\Antoine\APPLIC~1\Lavasoft
    [08/07/2007|13:36] C:\DOCUME~1\Antoine\APPLIC~1\Macromedia
    [08/08/2008|06:53] C:\DOCUME~1\Antoine\APPLIC~1\Malwarebytes
    [06/11/2006|20:41] C:\DOCUME~1\Antoine\APPLIC~1\Microsoft
    [08/08/2008|07:52] C:\DOCUME~1\Antoine\APPLIC~1\Mozilla
    [21/02/2006|19:46] C:\DOCUME~1\Antoine\APPLIC~1\NewSoft
    [21/02/2006|20:22] C:\DOCUME~1\Antoine\APPLIC~1\NSBackup
    [08/08/2008|06:54] C:\DOCUME~1\Antoine\APPLIC~1\OpenOffice.org2
    [21/02/2006|19:45] C:\DOCUME~1\Antoine\APPLIC~1\ScanSoft
    [22/04/2007|16:23] C:\DOCUME~1\Antoine\APPLIC~1\Screenshot Sender
    [24/09/2005|14:37] C:\DOCUME~1\Antoine\APPLIC~1\Sun
    [09/09/2005|07:01] C:\DOCUME~1\Antoine\APPLIC~1\sversion.ini
    [16/01/2006|22:01] C:\DOCUME~1\Antoine\APPLIC~1\Talkback
    [17/11/2007|00:09] C:\DOCUME~1\Antoine\APPLIC~1\WinRAR

    [05/02/2008|15:46] C:\DOCUME~1\COMPTE~1\APPLIC~1\Adobe
    [07/12/2007|18:14] C:\DOCUME~1\COMPTE~1\APPLIC~1\AdobeUM
    [26/01/2008|20:23] C:\DOCUME~1\COMPTE~1\APPLIC~1\Apple Computer
    [22/05/2008|18:18] C:\DOCUME~1\COMPTE~1\APPLIC~1\Canon
    [26/11/2007|22:39] C:\DOCUME~1\COMPTE~1\APPLIC~1\Creative
    [09/09/2005|00:31] C:\DOCUME~1\COMPTE~1\APPLIC~1\desktop.ini
    [10/05/2008|11:09] C:\DOCUME~1\COMPTE~1\APPLIC~1\EoRezo
    [15/05/2008|16:35] C:\DOCUME~1\COMPTE~1\APPLIC~1\Google
    [09/12/2007|22:04] C:\DOCUME~1\COMPTE~1\APPLIC~1\Help
    [26/11/2007|22:10] C:\DOCUME~1\COMPTE~1\APPLIC~1\Identities
    [30/11/2007|19:46] C:\DOCUME~1\COMPTE~1\APPLIC~1\InfraRecorder
    [12/06/2008|18:31] C:\DOCUME~1\COMPTE~1\APPLIC~1\InstallShield
    [28/03/2008|18:20] C:\DOCUME~1\COMPTE~1\APPLIC~1\ItsLabel
    [02/03/2008|19:49] C:\DOCUME~1\COMPTE~1\APPLIC~1\LGSync
    [22/07/2008|20:05] C:\DOCUME~1\COMPTE~1\APPLIC~1\LimeWire
    [26/02/2008|12:42] C:\DOCUME~1\COMPTE~1\APPLIC~1\Macromedia
    [07/08/2008|19:32] C:\DOCUME~1\COMPTE~1\APPLIC~1\Malwarebytes
    [06/08/2008|07:23] C:\DOCUME~1\COMPTE~1\APPLIC~1\Microsoft
    [05/08/2008|19:38] C:\DOCUME~1\COMPTE~1\APPLIC~1\Mozilla
    [08/08/2008|06:49] C:\DOCUME~1\COMPTE~1\APPLIC~1\OpenOffice.org2
    [22/07/2008|20:44] C:\DOCUME~1\COMPTE~1\APPLIC~1\Pro Cycling Manager 2008 - Demo
    [16/03/2008|02:36] C:\DOCUME~1\COMPTE~1\APPLIC~1\qp1c_junior2005_prefs
    [30/11/2007|19:14] C:\DOCUME~1\COMPTE~1\APPLIC~1\Sun
    [26/11/2007|22:10] C:\DOCUME~1\COMPTE~1\APPLIC~1\Talkback

    [09/09/2005|00:31] C:\DOCUME~1\DEFAUL~1\APPLIC~1\desktop.ini
    [08/09/2005|22:56] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

    [05/02/2008|14:55] C:\DOCUME~1\JEAN-J~1\APPLIC~1\Adobe
    [14/11/2007|12:58] C:\DOCUME~1\JEAN-J~1\APPLIC~1\AdobeUM
    [22/02/2006|20:52] C:\DOCUME~1\JEAN-J~1\APPLIC~1\Ahead
    [30/09/2007|20:45] C:\DOCUME~1\JEAN-J~1\APPLIC~1\Apple Computer
    [12/03/2007|13:39] C:\DOCUME~1\JEAN-J~1\APPLIC~1\Canon
    [24/02/2006|14:29] C:\DOCUME~1\JEAN-J~1\APPLIC~1\Creative
    [09/09/2005|00:31] C:\DOCUME~1\JEAN-J~1\APPLIC~1\desktop.ini
    [01/05/2008|16:50] C:\DOCUME~1\JEAN-J~1\APPLIC~1\EoRezo
    [23/05/2008|20:06] C:\DOCUME~1\JEAN-J~1\APPLIC~1\Google
    [11/09/2005|16:50] C:\DOCUME~1\JEAN-J~1\APPLIC~1\Help
    [11/09/2005|16:43] C:\DOCUME~1\JEAN-J~1\APPLIC~1\Identities
    [19/02/2006|18:37] C:\DOCUME~1\JEAN-J~1\APPLIC~1\iShell
    [28/03/2008|14:07] C:\DOCUME~1\JEAN-J~1\APPLIC~1\ItsLabel
    [29/09/2005|18:45] C:\DOCUME~1\JEAN-J~1\APPLIC~1\Macromedia
    [27/08/2006|19:19] C:\DOCUME~1\JEAN-J~1\APPLIC~1\Microsoft
    [11/02/2006|23:06] C:\DOCUME~1\JEAN-J~1\APPLIC~1\Mozilla
    [12/06/2007|19:03] C:\DOCUME~1\JEAN-J~1\APPLIC~1\NewSoft
    [02/08/2008|12:52] C:\DOCUME~1\JEAN-J~1\APPLIC~1\OpenOffice.org2
    [19/02/2006|18:36] C:\DOCUME~1\JEAN-J~1\APPLIC~1\Sun
    [11/02/2006|23:06] C:\DOCUME~1\JEAN-J~1\APPLIC~1\Talkback
    [14/10/2007|20:24] C:\DOCUME~1\JEAN-J~1\APPLIC~1\WinRAR
    [08/04/2006|19:20] C:\DOCUME~1\JEAN-J~1\APPLIC~1\Xfire

    [08/09/2005|22:56] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

    [08/09/2005|22:56] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft

    --------------------\\ Tâches planifiées dans C:\WINDOWS\tasks

    [31/07/2008 10:39][--a------] C:\WINDOWS\tasks\AppleSoftwareUpdate.job
    [08/08/2008 19:02][--ah-----] C:\WINDOWS\tasks\SA.DAT
    [05/08/2004 14:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

    --------------------\\ MsgPlus SPONSOR INSTALLED !

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MsgPlus! Plugin]
    "DisplayName"="Messenger Plus! 3 & Sponsor"
    "SponsorInstalled"=dword:00000000

    --------------------\\ Listing des dossiers dans C:\Program Files

    [09/09/2005|23:36] C:\Program Files\Adobe
    [22/06/2006|18:13] C:\Program Files\Advanced Messenger Plus
    [01/08/2008|14:37] C:\Program Files\Adverts
    [04/02/2008|21:23] C:\Program Files\America's Army
    [04/06/2008|19:59] C:\Program Files\America's Army Server Manager
    [11/02/2008|21:35] C:\Program Files\Apple Software Update
    [10/09/2005|06:21] C:\Program Files\ATI Technologies
    [18/06/2006|23:07] C:\Program Files\AvRack
    [09/07/2004|09:13] C:\Program Files\BDA.cab
    [19/07/2004|22:58] C:\Program Files\BDANT.cab
    [19/07/2004|22:53] C:\Program Files\BDAXP.cab
    [11/02/2008|21:37] C:\Program Files\Bonjour
    [27/01/2008|21:16] C:\Program Files\Boonty
    [08/09/2005|23:23] C:\Program Files\CA
    [21/02/2006|19:46] C:\Program Files\Canon
    [02/12/2007|20:27] C:\Program Files\Creative
    [22/07/2008|20:18] C:\Program Files\Cyanide
    [01/08/2008|19:09] C:\Program Files\directx
    [09/07/2004|09:13] C:\Program Files\DirectX.cab
    [03/02/2008|21:08] C:\Program Files\DivX
    [09/07/2004|03:03] C:\Program Files\DSETUP.dll
    [09/07/2004|04:08] C:\Program Files\dsetup32.dll
    [09/07/2004|14:17] C:\Program Files\dxnt.cab
    [09/07/2004|04:08] C:\Program Files\dxsetup.exe
    [10/05/2008|11:09] C:\Program Files\EoRezo
    [08/08/2008|19:09] C:\Program Files\Fichiers communs
    [01/08/2008|14:17] C:\Program Files\Google
    [02/09/2007|20:12] C:\Program Files\InfraRecorder
    [12/06/2008|18:31] C:\Program Files\InstallShield Installation Information
    [22/07/2008|20:25] C:\Program Files\Internet Explorer
    [24/09/2005|13:37] C:\Program Files\Inventel
    [11/02/2008|21:38] C:\Program Files\iPod
    [11/02/2008|21:38] C:\Program Files\iTunes
    [30/11/2007|19:17] C:\Program Files\Java
    [06/08/2008|00:10] C:\Program Files\Lavasoft
    [02/03/2008|19:48] C:\Program Files\LG Electronics
    [02/03/2008|19:48] C:\Program Files\LGE GSM PC Sync
    [26/03/2008|18:23] C:\Program Files\LimeWire
    [07/08/2008|19:32] C:\Program Files\Malwarebytes' Anti-Malware
    [22/07/2004|10:51] C:\Program Files\ManagedDX.CAB
    [07/05/2008|14:12] C:\Program Files\MediaMobsters
    [05/06/2006|11:50] C:\Program Files\Messenger
    [25/06/2007|19:02] C:\Program Files\Messenger Plus! Live
    [15/07/2006|13:42] C:\Program Files\MessengerPlus! 3
    [02/11/2006|11:49] C:\Program Files\Micro Application
    [08/09/2005|22:56] C:\Program Files\microsoft frontpage
    [20/03/2008|19:00] C:\Program Files\Movie Maker
    [08/08/2008|19:25] C:\Program Files\Mozilla Firefox
    [05/07/2007|21:10] C:\Program Files\MP3 Player Utilities 4.00
    [21/09/2005|16:10] C:\Program Files\MSN
    [08/09/2005|22:52] C:\Program Files\MSN Gaming Zone
    [14/09/2007|16:32] C:\Program Files\MSN Messenger
    [03/03/2008|15:28] C:\Program Files\MSXML 4.0
    [04/06/2006|17:36] C:\Program Files\NetMeeting
    [21/02/2006|19:46] C:\Program Files\NewSoft
    [13/02/2008|19:17] C:\Program Files\OpenOffice.org 2.3
    [08/08/2008|19:04] C:\Program Files\OpenOffice.org1.1.4
    [03/12/2007|20:23] C:\Program Files\Outlook Express
    [04/04/2008|20:15] C:\Program Files\PhotoFiltre
    [12/05/2008|12:04] C:\Program Files\Picasa2
    [11/02/2008|21:37] C:\Program Files\QuickTime
    [08/09/2005|23:11] C:\Program Files\Realtek Sound Manager
    [06/07/2007|17:30] C:\Program Files\Replay Converter
    [21/02/2006|19:45] C:\Program Files\ScanSoft
    [20/06/2006|20:59] C:\Program Files\Services en ligne
    [14/03/2008|14:35] C:\Program Files\Spybot - Search & Destroy
    [05/08/2008|20:55] C:\Program Files\Trend Micro
    [08/09/2005|23:05] C:\Program Files\Uninstall Information
    [04/07/2007|10:40] C:\Program Files\USBDisk
    [26/06/2006|11:19] C:\Program Files\Utilitaire WLAN (USB) IEEE 802.11b
    [08/09/2005|23:12] C:\Program Files\VIA
    [21/06/2006|21:00] C:\Program Files\VVSN
    [26/07/2008|18:55] C:\Program Files\WarRock
    [04/06/2007|18:26] C:\Program Files\Windows Live
    [02/08/2008|11:28] C:\Program Files\Windows Live Safety Center
    [02/12/2007|20:29] C:\Program Files\Windows Media Connect 2
    [02/12/2007|20:29] C:\Program Files\Windows Media Player
    [17/12/2006|14:06] C:\Program Files\Windows NT
    [08/09/2005|22:54] C:\Program Files\WindowsUpdate
    [16/03/2008|21:28] C:\Program Files\WinRAR
    [08/09/2005|22:56] C:\Program Files\xerox
    [19/02/2006|19:26] C:\Program Files\Yahoo!

    --------------------\\ Listing des dossiers dans C:\Program Files\Fichiers communs

    [20/01/2007|16:36] C:\Program Files\Fichiers communs\Adobe
    [13/05/2006|20:22] C:\Program Files\Fichiers communs\Ahead
    [11/02/2008|21:34] C:\Program Files\Fichiers communs\Apple
    [27/12/2006|13:50] C:\Program Files\Fichiers communs\element5 Shared
    [15/03/2008|22:26] C:\Program Files\Fichiers communs\InstallShield
    [11/11/2007|00:37] C:\Program Files\Fichiers communs\Java
    [21/03/2007|10:31] C:\Program Files\Fichiers communs\Macrovision Shared
    [14/09/2007|16:32] C:\Program Files\Fichiers communs\Microsoft Shared
    [08/09/2005|22:54] C:\Program Files\Fichiers communs\MSSoap
    [09/09/2005|00:32] C:\Program Files\Fichiers communs\ODBC
    [21/02/2006|19:45] C:\Program Files\Fichiers communs\ScanSoft Shared
    [08/09/2005|22:54] C:\Program Files\Fichiers communs\Services
    [09/09/2005|00:32] C:\Program Files\Fichiers communs\SpeechEngines
    [13/06/2007|17:04] C:\Program Files\Fichiers communs\System
    [06/08/2008|00:06] C:\Program Files\Fichiers communs\Wise Installation Wizard

    --------------------\\ Process

    ( 32 Processus )

    ... OK !

    --------------------\\ Recherche avec S_Lop

    Aucun fichier / dossier Lop trouvé !

    --------------------\\ Recherche de Fichiers / Dossiers Lop

    C:\Program Files\Adverts

    --------------------\\ Verification du Registre

    ..... OK !

    --------------------\\ Verification du fichier Hosts

    Fichier Hosts PROPRE


    --------------------\\ Recherche de fichiers avec Catchme

    catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-08-08 19:29:08
    Windows 5.1.2600 Service Pack 2 NTFS
    scanning hidden processes ...
    scanning hidden files ...
    scan completed successfully
    hidden processes: 0
    hidden files: 252

    --------------------\\ Recherche d'autres infections


    Aucune autre infection trouvée !

    [F:2][D:2]-> C:\DOCUME~1\Antoine\LOCALS~1\Temp
    [F:4][D:0]-> C:\DOCUME~1\Antoine\Cookies
    [F:2][D:0]-> C:\DOCUME~1\Antoine\LOCALS~1\TEMPOR~1\content.IE5

    --------------------\\ Fin du rapport a 19:29:40,09
    9 Août 2008 00:22:22

    Re,

    Désinstalle le Sponsor de MSN!+ via "ajout/suppression" de programmes du panneau de configuration.

    Et supprime le dossier ci-dessous en gras :

    C:\Program Files\Adverts

    Et reposte-moi un nouveau rapport HijackThis sous une session ayant les droits d'administrateur.

    ;) 
    9 Août 2008 10:19:47

    Bonjour Merillym,

    Bien, lors de la suppression, MSN+ à fait des siennes : "programme non installé correctement, le réinstaller pour le supprimer.". Trop fort. Bref, j'ai quand même exécuté la désinstallation. Je l'ai fait deux fois, car il y avait deux entrées relatives à MSN+ Sponsor.

    Je pense que j'ai perdu des personnalisations MSN, mais tant pis, c'est pour la bonne cause ;) 

    Je n'ai pas trouvé de dossier "Adverts", mais seulement "C:\Program Files\Advanced Messenger Plus", qui est vide. Dois-je le supprimer ?


    Voici le rapport HijackThis :
    Citation :
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 10:19:10, on 09/08/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16674)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\CA\SharedComponents\Alert\ALERT.EXE
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\CTsvcCDA.EXE
    C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
    C:\Program Files\CA\eTrust Antivirus\InoRT.exe
    C:\Program Files\CA\eTrust Antivirus\InoTask.exe
    C:\Program Files\CA\eTrust Antivirus\inoweb.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\OpenOffice.org1.1.4\program\soffice.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\msiexec.exe
    C:\Program Files\Trend Micro\chre\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ogame.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKCU\..\Run: [axistick] C:\DOCUME~1\Antoine\APPLIC~1\FASTBA~1\21.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Program Files\OpenOffice.org1.1.4\program\quickstart.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Program Files\MP3 Player Utilities 4.00\AMVConverter\grab.html
    O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.00\MediaManager\grab.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15031/CTSUEng.cab
    O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) - http://download.gigabyte.com.tw/object/Dldrv.ocx
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavweb...
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.ca...
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
    O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15033/CTPID.cab
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: Alert Notification Server - Computer Associates International, Inc. - C:\Program Files\CA\SharedComponents\Alert\ALERT.EXE
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Serveur RPC eTrust Antivirus (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
    O23 - Service: Serveur eTrust Antivirus Temps réel (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRT.exe
    O23 - Service: Serveur de jobs eTrust Antivirus (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoTask.exe
    O23 - Service: eTrust Antivirus Web Access Server (Inoweb) - Unknown owner - C:\Program Files\CA\eTrust Antivirus\inoweb.exe
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

    --
    End of file - 8384 bytes
    9 Août 2008 11:03:06

    Re,

    Oki bien :super: Non laisse-le celui-là ;) 

    Relance HijackThis (clique droit -> lancer en tant qu'adminstrateur sous Vista), clique sur "do a system scan only", coche ces lignes ( si présentes ) :

    Citation :
    O4 - HKCU\..\Run: [axistick] C:\DOCUME~1\Antoine\APPLIC~1\FASTBA~1\21.exe


    Ferme toutes les applications en cours (particulièrement ton navigateur Internet).
    Puis Fix Checked ! N.B : Il est très important de fermer toutes les applications en cours et de se déconnecter d'internet pour fixer avec hijackthis au risque d'interférer avec les résultats de la manip'.

    Comment va le PC ? Toujours des problèmes ?

    ;) 
    9 Août 2008 11:32:32

    Re,

    Ok, le Fix Checked! est fait.

    Le PC va beaucoup mieux, aussi bien au niveau des accès Internet, que de la disparition des fenêtres publicitaires intempestives.

    D'autres choses à vérifier ?
    9 Août 2008 11:38:13

    Re,
    Citation :

    D'autres choses à vérifier ?


    Je ne pense pas, tout me semble ok :super:

    1) Suis ces étapes pour désinstaller proprement combofix et les tools que nous avons utilisés pendant la désinfection

  • Menu démarrer puis exécuter
  • Tape maintenant Combofix /u dans la fenêtre que apparaît puis valide par OK. Veille à bien laisser un espace entre le X et le /U, car cela est nécessaire ici.


    2) Tu es infecté(e) par "Vundo". Supprime tous les cracks de ton PC s'ils sont présents car sinon ils relanceront l'infection.

    Je te conseille de désinstaller et de supprimer tous tes logiciels de p2p : 50% de ce que tu télécharges via p2p est piégé. Le p2p est le premier vecteur d'infection de nos jours.
    Plus d'informations disponibles en cliquant sur le lien suivant : Cracks / P2P

    3) Installe un parefeu :
    Je t'en propose plusieurs (à toi de choisir!) :
    Sygate, Oupost, Kerio, ou encore Zone Alarm, etc ....
    Désactive le parefeu de Windows (tuto) après avoir installé un nouveau parefeu.

    ***

    Prévention :

    - Nettoyage des fichiers temporaires :

    Télécharge Ccleaner sur ton Bureau.

  • Clique sur "download the latest version"
  • Installe-le en laissant seulement les options suivantes cochées :
    - Ajouter un raccourci sur le Bureau
    - Contrôler automatiquement les mises à jour de CCleaner
  • Lance le Nettoyage
  • Clique sur Chercher des erreurs et sauvegarde si tu le souhaites.

    Aide : Comment utiliser CCleaner.


    Telecharge ATFcleaner sur ton Bureau.

  • Double-clique sur l'exécutable téléchargé.
  • Dans l'onglet Main, coche simplement la case Select All (toutes les cases vont se cocher) puis sur le bouton Empty Selected.
  • Si tu possèdes Firefox ou Opera comme navigateur, pense à choisir ton navigateur en haut a gauche avant de sélectionner Select All puis Empty Selected.
  • Puis réponds Non au message qui s'affiche, si tu ne souhaites pas perdre tes mots de passe.

    Aide : Comment utiliser AFTCleaner.

    -- Restauration Système :

    Désactive-Réactive la restauration système.

    Méthode XP :
    Clique sur Démarrer, fais un clique droit sur le Poste de travail puis clique sur Propiétés. Sélectionne l'onglet Restauration du Système.
    Dans cet onglet, coche la case Désactiver la Restauration du système sur tous les lecteurs.
    Un message de confirmation va apparaître. Clique sur Oui, puis OK. Fais redémarrer ton ordinateur pour que les changements soient bien pris en compte.
    Pour réactiver la restauration système, il suffit de décocher cette même case et de faire redémarrer ton ordinateur (en ayant suivi les mêmes étapes).

    Méthode Vista :
    Clique sur Démarrer, fais un clique droit sur Ordinateur, puis clique sur Propriétés. Clique à gauche sur Paramètres système avancés. Sélectionne l'onglet Protection du Système.
    Dans cet onglet, décoche (une par une) tes partitions, un message de confirmation va apparaître, clique sur Désactiver la protection du système, Clique sur Appliquer, puis OK.
    Fais redémarrer ton ordinateur pour que les changements soient bien pris en compte.
    Pour réactiver la restauration système, il suffit de décocher cette même case et de faire redémarrer ton ordinateur (en ayant suivi les mêmes étapes).

    Aide : Comment Désactiver-Réactiver la Restauration Système.

    --- Affichage normal des fichiers :

    Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
    - Décoche Afficher les fichiers et dossiers cachés
    - Coche Masquer les fichiers protégés du système d'exploitation (recommandé)
    clique sur Appliquer, puis OK.

    ---- Suppression des outils installés :

    Télécharge ToolsCleaner2 (de A.Rothstein)

  • Installe le sur ton Bureau.
  • Clique sur Recherche pour lancer le scan.
  • Clique sur Supprimer pour nettoyer les outils utilisés.
  • Clique sur Quitter.
  • Supprime maintenant ToolsCleaner.

    ----- Remise en place des protections, protection du système avec les Mises à Jour ! :

    Je t'invite maintenant à (ré)activer toutes tes protections résidentes (Antivirus, Antispyware, Firewall..).
    Tu dois avoir accès à tes protections dans la zone systray à côté de la barre des tâches. Si tu as des difficultés, n'hésite pas à me questionner !
    Si ce n'est pas fait, assure-toi que les Mises à jour Automatiques Windows soient activées !
    Mets tes Softwares correctement à jour (Java, Adobe, Flash ..) grâce à Sotware Inspector (chez Secunia)

    Un petit mot à propos de Java :

    Une fois la nouvelle version téléchargée, installe-la et fais redémarrer ton ordinateur.
    Hélas, les anciennes version de Java (qui contiennent des failles, donc dangereuses !) sont toujours présentes !
    C'est donc très important que tu désinstalles les anciennes versions de Java.

  • Va dans Démarrer, Panneau de Configuration, Ajout/Suppression de Programmes
  • Déinstalles toutes les versions de Java exceptée la plus récente.

    Aide : Comment utiliser Secunia Software Inspector.

    ------ Ton infection, tu la dénonces ? :

    Tu n'es pas obligé mais ce serait bien que tu rapportes ton infection sur Malware Complaints
  • Ton(tes) infection(s) : Vundo/virtumonde + Lop.com.
  • Si tu ne la trouves pas dans la liste, poste dans Autres infections.

    Aide : Comment dénoncer mon infection sur Malware Complaints.

    Je t'invite maintenant à regarder ces dossiers très instructifs en terme de prévention !

    - Sécurité/Prévention
    - Conséquences de la multi-protection
    - Toolbars : Inutilité et ralentissements

    Bonne journée/soirée :) 

    (Merci à XmichouX pour ce message de fin de désinfection)
    9 Août 2008 11:47:07

    Re,
    Citation :
    3) Installe un parefeu :
    Je t'en propose plusieurs (à toi de choisir!) :
    Sygate, Oupost, Kerio, ou encore Zone Alarm, etc ....
    Désactive le parefeu de Windows (tuto) après avoir installé un nouveau parefeu.


    Ma BOX contient un firewall, et celui de Windows est activé. Dois-je comprendre qu'il est impératif de remplacer le firewall de Windows par l'un de ceux que tu indiques ici ?
    9 Août 2008 11:59:24

    Citation :
    Ma BOX contient un firewall, et celui de Windows est activé. Dois-je comprendre qu'il est impératif de remplacer le firewall de Windows par l'un de ceux que tu indiques ici ?


    Non, pas besoin de remplacer, je pensais que tu n'en avais pas d'après ton dernier rapport HijackTHis. Mais si c'est le cas ne change rien, car les histoire de parefeu ça peut vite devenir chi*** :D 

    Ajoute maintenant [Résolu] au titre. Pour cela :
    * Clique, dans ton premier message, sur le bouton "Editer"
    * Rajoute la mention [Résolu] au titre
    * Clique ensuite sur "Valider votre message"

    ;) 
    9 Août 2008 13:20:19

    Re,

    J'ai mis ma plainte ;) 

    Une demande de précision : à quoi cela sert-il d'arrêter puis de relancer la restauration système en fin de désinfection ?

    Et... Merci beaucoup Merillym pour toute l'aide apportée cette semaine.

    Et si tu passes dans la région Nantaise, tu auras droit à une bonne bière fraîche à l'oeil :D 
    9 Août 2008 18:37:48

    Re,

    De rien ce fut un plaisir !

    Merci pour la plainte ;) 

    Citation :
    Une demande de précision : à quoi cela sert-il d'arrêter puis de relancer la restauration système en fin de désinfection ?


    En faisant cela, tu supprimes tous tes points de restauration antérieurs à ce jour. C'est important de le faire, car la plupart des malwares infectent les points de restauration, rendant cette dernière inutile en cas d'infection. Donc si je laisse un internaute partir sans faire cela, si jamais il fait une restauration système pour X raison par la suite, l'infection a de fortes chances de revenir. Et tout le travail accompli sur ce forum aura été inutile.

    Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.



    Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.

    Bonne continuation :hello: 

    9 Août 2008 18:49:01

    Re,

    Encore merci pour tout, et je compte bien transmettre ce document à quelques unes de mes connaissances pour éviter tous ces problèmes.

    Bonne continuation aussi et bon courage :) 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS