Se connecter / S'enregistrer
Votre question

problème avec Win32/AutoRun.KS

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
9 Juillet 2008 12:56:17

bonjour,
J'ai un problème de ver qui se régénéré et qui sature tout mon réseau... (Win32/AutoRun.KS je crois)
si quelqu'un pouvait m'aider!!
merci beaucoup d'avance

Thibault

voici donc le rapport de mon antivirus (qui une fois mis à jour l'a détecté), et de hijackthis:

Journal de l'analyse
Version de la base des signatures de virus : 3253 (20080709)
Date : 09/07/2008 Heure : 12:25:36
Disques, dossiers et fichiers analysés : C:\Secteur d'amorçage;C:\;D:\Secteur d'amorçage;D:\
C:\pagefile.sys - erreur à l'ouverture [4]
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\179311cc06aed7d9fcfc0ffa8ea51e28_4a65cef9-5ec2-4315-9719-4db668c0e42b - erreur à l'ouverture [4]
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\680ceadf4def448b7e4e0b3165e808f1_4a65cef9-5ec2-4315-9719-4db668c0e42b - erreur à l'ouverture [4]
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\8b9541c1fbdf331b585fbca96a81e5c4_4a65cef9-5ec2-4315-9719-4db668c0e42b - erreur à l'ouverture [4]
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\ac3926b653213356c7e4c91509c2dacd_4a65cef9-5ec2-4315-9719-4db668c0e42b - erreur à l'ouverture [4]
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\d55084cc653cb8fc4bbecf51ff894177_4a65cef9-5ec2-4315-9719-4db668c0e42b - erreur à l'ouverture [4]
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\f31f992818a31a9ce3e7b58f87e188dc_4a65cef9-5ec2-4315-9719-4db668c0e42b - erreur à l'ouverture [4]
C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp - erreur à l'ouverture [4]
C:\Documents and Settings\LocalService\NTUSER.DAT - erreur à l'ouverture [4]
C:\Documents and Settings\LocalService\ntuser.dat.LOG - erreur à l'ouverture [4]
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - erreur à l'ouverture [4]
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG - erreur à l'ouverture [4]
C:\Documents and Settings\metra\NTUSER.DAT - erreur à l'ouverture [4]
C:\Documents and Settings\metra\ntuser.dat.LOG - erreur à l'ouverture [4]
C:\Documents and Settings\metra\Local Settings\Application Data\Identities\{08B3761B-080E-434C-84BC-26603FFE5597}\Microsoft\Outlook Express\Boîte de réception.dbx » DBX - est OK (analyse interne non effectuée)
C:\Documents and Settings\metra\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - erreur à l'ouverture [4]
C:\Documents and Settings\metra\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG - erreur à l'ouverture [4]
C:\Documents and Settings\metra\Local Settings\Temp\IMGAC70.tmp - erreur à l'ouverture [4]
C:\Documents and Settings\NetworkService\NTUSER.DAT - erreur à l'ouverture [4]
C:\Documents and Settings\NetworkService\ntuser.dat.LOG - erreur à l'ouverture [4]
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - erreur à l'ouverture [4]
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG - erreur à l'ouverture [4]
C:\Program Files\Fichiers communs\Java\Update\Base Images\jre1.6.0.b105\core3.zip » ZIP » lib/deploy/ffjcext.zip » ZIP » {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA}/chrome.manifest » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Fichiers communs\Java\Update\Base Images\jre1.6.0.b105\core3.zip » ZIP » lib/resources.jar » ZIP » com/sun/org/apache/xerces/internal/impl/msg/XIncludeMessages.properties » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Fichiers communs\Java\Update\Base Images\jre1.6.0.b105\core3.zip » ZIP » lib/resources.jar » ZIP » com/sun/xml/internal/fastinfoset/resources/ResourceBundle.properties » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Fichiers communs\Java\Update\Base Images\jre1.6.0.b105\core3.zip » ZIP » lib/resources.jar » ZIP » javax/xml/bind/Messages.properties » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Fichiers communs\Microsoft Shared\NoteSync Forms\inkform.src » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Fichiers communs\Microsoft Shared\NoteSync Forms\voicefrm.src » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\genius_maxfighter_f16u.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\logitech_attack3.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\logitech_extreme_3d.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\logitech_force_3d.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\logitech_freedom.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\saitek_cyborg_evo.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\saitek_x52.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\speed_link_black_hawk.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\speed_link_black_widow.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\speed_link_cougar_flightstick.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\speed_link_dark_tornado.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Google\Google Earth\res\flightsim\controller\xbox_360.ini » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Java\jre1.6.0_03\lib\resources.jar » ZIP » com/sun/org/apache/xerces/internal/impl/msg/XIncludeMessages.properties » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Java\jre1.6.0_03\lib\resources.jar » ZIP » com/sun/xml/internal/fastinfoset/resources/ResourceBundle.properties » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Java\jre1.6.0_03\lib\resources.jar » ZIP » javax/xml/bind/Messages.properties » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Java\jre1.6.0_03\lib\deploy\ffjcext.zip » ZIP » {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}/chrome.manifest » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Java\jre1.6.0_05\lib\resources.jar » ZIP » com/sun/org/apache/xerces/internal/impl/msg/XIncludeMessages.properties » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Java\jre1.6.0_05\lib\resources.jar » ZIP » com/sun/xml/internal/fastinfoset/resources/ResourceBundle.properties » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Java\jre1.6.0_05\lib\resources.jar » ZIP » javax/xml/bind/Messages.properties » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Java\jre1.6.0_05\lib\deploy\ffjcext.zip » ZIP » {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}/chrome.manifest » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » Ad-Aware SE Default.skn - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » arrow1.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » arrow2.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bck1.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt11.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt12.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt13.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt21.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt22.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt23.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt31.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt32.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt33.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt41.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt42.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt43.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt51.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt52.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt53.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt61.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » bt62.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » checkbox1.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » checkbox2.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » checkbox3.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » checkbox4.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » defbtn1.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » defbtn2.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » defbtn3.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » glyph1.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » glyph2.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » glyph3.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » glyph4.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » glyph5.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » glyph6.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » glyph7.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » main.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » preview.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask » ZIP » sprite1.bmp - erreur - fichier protégé par mot de passe
C:\Program Files\Mozilla Firefox\chrome\browser.manifest » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Mozilla Firefox\chrome\comm.manifest » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Mozilla Firefox\chrome\pippki.manifest » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Mozilla Firefox\chrome\toolkit.manifest » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}\chrome.manifest » MIME - est OK (analyse interne non effectuée)
C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}\chrome.manifest » MIME - est OK (analyse interne non effectuée)
C:\Program Files\SuperCopier\SCUninst.exe » NSIS - erreur à la lecture de l'archive
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe - Win32/AutoRun.KS ver - nettoyé par suppression (après le prochain redémarrage) - mis en quarantaine [1,2]
C:\WINDOWS\$hf_mig$\KB873339\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\$hf_mig$\KB885835\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\$hf_mig$\KB885836\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\$hf_mig$\KB886185\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\$hf_mig$\KB887472\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\$hf_mig$\KB888302\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\$hf_mig$\KB890859\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\$hf_mig$\KB891781\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\$hf_mig$\KB894391\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\$hf_mig$\KB896358\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\$hf_mig$\KB896428\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\$hf_mig$\KB898461\update\eula.txt » MIME - est OK (analyse interne non effectuée)
C:\WINDOWS\SoftwareDistribution\EventCache\{AC4A26BF-D356-4816-983C-DFD1DE6F8266}.bin - erreur à l'ouverture [4]
C:\WINDOWS\system32\CatRoot2\edb.log - erreur à l'ouverture [4]
C:\WINDOWS\system32\CatRoot2\tmp.edb - erreur à l'ouverture [4]
C:\WINDOWS\system32\config\default - erreur à l'ouverture [4]
C:\WINDOWS\system32\config\default.LOG - erreur à l'ouverture [4]
C:\WINDOWS\system32\config\SAM - erreur à l'ouverture [4]
C:\WINDOWS\system32\config\SAM.LOG - erreur à l'ouverture [4]
C:\WINDOWS\system32\config\SECURITY - erreur à l'ouverture [4]
C:\WINDOWS\system32\config\SECURITY.LOG - erreur à l'ouverture [4]
C:\WINDOWS\system32\config\software - erreur à l'ouverture [4]
C:\WINDOWS\system32\config\software.LOG - erreur à l'ouverture [4]
C:\WINDOWS\system32\config\system - erreur à l'ouverture [4]
C:\WINDOWS\system32\config\system.LOG - erreur à l'ouverture [4]



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:20:27, on 09/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\drive\calling.com
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/webhp?hl=fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.intranetajn.com/intra/login.php?log=invite&p...
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://professionnel/metra-book-images
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinVNC] "C:\WINDOWS\system32\rc\winvnc4.exe" -servicehelper
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [MS32DLL] C:\WINDOWS\MS32DLL.dll.vbs
O4 - HKLM\..\Run: [msennger] C:\WINDOWS\system32\drive\calling.com
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [hohohhaha] C:\WINDOWS\system32\drive\calling.com
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O4 - Global Startup: NomUsersurStation.vbs
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.intranetajn.com/intra/login.php?log=invite&p...
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = metra.local
O17 - HKLM\Software\..\Telephony: DomainName = metra.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = metra.local
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallShield Licensing Service - Macrovision - C:\Program Files\Fichiers communs\InstallShield Shared\Service\InstallShield Licensing Service.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Service Starter: Lerex (SRVStarter_Lerex) - Eng. Usama El-Mokadem - C:\WINDOWS\system32\Juchdp.exe
O23 - Service: Service Starter: nerw (SRVStarter_nerw) - Eng. Usama El-Mokadem - C:\WINDOWS\system32\Juchdp.exe
O23 - Service: VNC (WinVNC) - RealVNC Ltd. - C:\WINDOWS\system32\rc\winvnc4.exe

--
End of file - 7710 bytes

Autres pages sur : probleme win32 autorun

9 Juillet 2008 13:20:10

Bonjour,

Ton ordinateur est infecté, en effet.

Télécharge ComboFix (de sUBs) sur ton Bureau.

  • Désactive temporairement toute protection résidente ! (Antivirus, antispywares..)
  • Double clique sur ComboFix.exe.
  • Accepte la licence en cliquant sur Oui.
  • Lorsque l'opération sera terminée, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.

    Le rapport se trouve ici : %systemdrive%\ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C:\ en général)

    Aide : Comment utiliser ComboFix.

    &

    Télécharge Flash Disinfector (de sUBs) sur ton Bureau.

  • Connecte tous les périphériques externes. ( DD , USB , ..... )
  • Double clique sur Flash Disinfector et laisse toi guider.
    9 Juillet 2008 14:59:42

    bonjour,
    merci pour ton aide rapide

    voici le rapport combofix, et un nouveau depuis hjackthis
    je reste disponible pour d'autres interventions, vu que le problème persiste!
    merci encore
    Thibault

    ComboFix 08-07-08.5 - METRA 2008-07-09 15:01:56.3 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1485 [GMT 2:00]
    Endroit: C:\Documents and Settings\metra\Bureau\ComboFix.exe

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    ((((((((((((((((((((((((((((( Fichiers créés 2008-06-09 to 2008-07-09 ))))))))))))))))))))))))))))))))))))
    .

    2008-07-09 12:19 . 2008-07-09 12:19 <REP> d-------- C:\Program Files\Trend Micro
    2008-07-09 09:30 . 2008-03-03 14:25 5,702 --ah----- C:\WINDOWS\nod32restoretemdono.reg
    2008-07-09 09:30 . 2008-03-03 18:21 568 --ah----- C:\WINDOWS\nod32fixtemdono.reg
    2008-07-09 09:23 . 2008-07-09 09:23 <REP> d-------- C:\Program Files\Lavasoft
    2008-07-09 09:23 . 2008-07-09 09:23 <REP> d-------- C:\Documents and Settings\metra\Application Data\Lavasoft
    2008-07-07 16:02 . 2008-07-07 16:11 2,866 --a------ C:\WINDOWS\system32\acdb.err
    2008-07-02 12:20 . 2008-07-02 12:20 <REP> d-------- C:\Program Files\Fichiers communs\McNeel Shared
    2008-07-02 12:20 . 2007-04-02 01:16 2,916,438 --a------ C:\WINDOWS\system32\rcm.dll
    2008-07-02 12:20 . 2007-04-02 01:16 2,777,088 --a------ C:\WINDOWS\system32\rhrdk.10.v40.dll
    2008-07-02 12:20 . 2007-04-02 01:16 196,608 --a------ C:\WINDOWS\system32\BongoSDK.10.v40.dll
    2008-07-02 12:20 . 2007-04-02 01:16 192,512 --a------ C:\WINDOWS\system32\BongoSDK.dll
    2008-07-02 12:20 . 2007-04-02 01:16 96 --a------ C:\WINDOWS\system32\vssver.scc
    2008-07-02 12:19 . 2008-07-02 12:19 <REP> d-------- C:\Program Files\Fichiers communs\InstallShield Shared
    2008-07-02 12:19 . 2008-07-02 12:19 <REP> d-------- C:\Program Files\ASGvis
    2008-07-02 12:16 . 2008-07-02 12:16 <REP> d-------- C:\Program Files\Rhinoceros 4.0
    2008-07-01 20:31 . 2008-07-01 20:31 64,281 --a------ C:\acadminidump.dmp
    2008-07-01 13:07 . 2004-08-19 16:09 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
    2008-07-01 13:07 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
    2008-07-01 13:07 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
    2008-07-01 13:07 . 2001-08-23 17:47 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
    2008-06-30 10:25 . 2008-07-09 15:02 <REP> d-------- C:\WINDOWS\system32\drive
    2008-06-30 10:25 . 2008-06-30 12:49 1,290,890 --a------ C:\rq.exe

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-07-09 08:09 --------- d-----w C:\Program Files\Square One
    2008-07-09 07:37 --------- d-----w C:\Program Files\ESET
    2008-07-02 10:42 --------- d-----w C:\Documents and Settings\All Users\Application Data\McNeel
    2008-07-02 10:19 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-07-02 08:20 1,103,742 ----a-w C:\rqr.exe
    2008-07-01 06:10 4,700 --sha-w C:\WINDOWS\system32\wrda.sys
    2008-07-01 06:07 18,988 --sha-w C:\WINDOWS\system32\ortecxar.pif
    2008-05-19 09:28 --------- d-----w C:\Program Files\Google
    2008-05-15 16:51 --------- d-----w C:\Documents and Settings\metra\Application Data\Apple Computer
    2008-05-12 16:59 --------- d-----w C:\Documents and Settings\metra\Application Data\ACD Systems
    2007-03-23 14:52 56,552 --sha-w C:\WINDOWS\system32\Juchdp.exe
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-04-27 09:41 282624]
    "hohohhaha"="C:\WINDOWS\system32\drive\calling.com" [2008-05-21 15:06 754176]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-08-02 20:03 4493312]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-04-27 09:41 282624]
    "WinVNC"="C:\WINDOWS\system32\rc\winvnc4.exe" [2005-03-11 15:40 455632]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
    "egui"="C:\Program Files\ESET\ESET Smart Security\egui.exe" [2008-02-20 11:06 1443072]
    "msennger"="C:\WINDOWS\system32\drive\calling.com" [2008-05-21 15:06 754176]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09 15360]

    C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Acc‚l‚rateur de d‚marrage AutoCAD.lnk - C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe [2004-02-25 08:35:00 10872]
    NomUsersurStation.vbs [2003-06-11 11:20:10 1788]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
    "NoWelcomeScreen"= 1 (0x1)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Accélérateur de démarrage AutoCAD.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Accélérateur de démarrage AutoCAD.lnk
    backup=C:\WINDOWS\pss\Accélérateur de démarrage AutoCAD.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
    backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 7.0]
    --a------ 2004-12-14 02:12 483328 C:\Program Files\Adobe\Acrobat 7.0\Distillr\acrotray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
    --a------ 2004-08-19 16:09 15360 C:\WINDOWS\system32\ctfmon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
    --a------ 2004-08-02 20:03 4493312 C:\WINDOWS\system32\nvcpl.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioDragToDisc]
    --a------ 2004-01-09 16:01 868352 C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioEngineUtility]
    --a------ 2003-05-01 18:44 65536 C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
    --a------ 2004-08-02 20:03 917504 C:\WINDOWS\system32\nwiz.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=

    S2 NOD32FiXTemDono;Eset Nod32 Boot;C:\WINDOWS\system32\regedt32.exe [2003-04-24 16:00]
    S2 SRVStarter_Lerex;Service Starter: Lerex;C:\WINDOWS\system32\Juchdp.exe [2007-03-23 16:52]
    S2 SRVStarter_nerw;Service Starter: nerw;C:\WINDOWS\system32\Juchdp.exe [2007-03-23 16:52]

    *Newly Created Service* - CATCHME
    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
    "2008-06-28 19:41:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - C:\Program Files\Apple Software Update\SoftwareUpdate.exe
    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-07-09 15:02:28
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\SRVStarter_Lerex]
    "ImagePath"="\"C:\WINDOWS\system32\Juchdp.exe\" /Name:SRVStarter_Lerex /App:\"C:\WINNT\system32\Juchde.exe\""

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\SRVStarter_nerw]
    "ImagePath"="\"C:\WINDOWS\system32\Juchdp.exe\" /Name:SRVStarter_nerw /App:\"C:\WINDOWS\system32\Juchde.exe\""
    .
    Temps d'accomplissement: 2008-07-09 15:02:50
    ComboFix-quarantined-files.txt 2008-07-09 13:02:47
    ComboFix2.txt 2008-07-09 12:54:34
    ComboFix3.txt 2008-07-09 12:42:57

    Pre-Run: 18,476,589,056 octets libres
    Post-Run: 18,468,036,608 octets libres

    247 --- E O F --- 2008-07-07 19:28:51



    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 14:54, on 2008-07-09
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
    C:\Program Files\ESET\ESET Smart Security\ekrn.exe
    C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\MsPMSPSv.exe
    C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
    C:\Program Files\ESET\ESET Smart Security\egui.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\WINDOWS\system32\drive\calling.com
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\imapi.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/webhp?hl=fr
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://professionnel/metra-book-images
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [WinVNC] "C:\WINDOWS\system32\rc\winvnc4.exe" -servicehelper
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
    O4 - HKLM\..\Run: [msennger] C:\WINDOWS\system32\drive\calling.com
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [hohohhaha] C:\WINDOWS\system32\drive\calling.com
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
    O4 - Global Startup: NomUsersurStation.vbs
    O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.intranetajn.com/intra/login.php?log=invite&p...
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = metra.local
    O17 - HKLM\Software\..\Telephony: DomainName = metra.local
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = metra.local
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
    O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
    O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallShield Licensing Service - Macrovision - C:\Program Files\Fichiers communs\InstallShield Shared\Service\InstallShield Licensing Service.exe
    O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Service Starter: Lerex (SRVStarter_Lerex) - Eng. Usama El-Mokadem - C:\WINDOWS\system32\Juchdp.exe
    O23 - Service: Service Starter: nerw (SRVStarter_nerw) - Eng. Usama El-Mokadem - C:\WINDOWS\system32\Juchdp.exe
    O23 - Service: VNC (WinVNC) - RealVNC Ltd. - C:\WINDOWS\system32\rc\winvnc4.exe

    --
    End of file - 7818 bytes
    Contenus similaires
    9 Juillet 2008 15:34:10

    Re,

    Je vais te demander d'uploader un dossier aux développeurs, ceci dans le but d'améliorer les outils :) 

    Peux-tu chercher ce dossier : C:\Windows\system32\drive
    Zippe-le et envoie le zip à ces adresse stp.

    http://upload.malekal.com
    http://upload.changelog.fr/
    http://www.bleepingcomputer.com/submit-malware.php?chan...
    http://www.bleepingcomputer.com/submit-malware.php?chan...
    http://www.bleepingcomputer.com/submit-malware.php?chan...

    Enfin, supprime le zip.

    *********

    Sélectionne l'intégralité du cadre ci-dessous :

    Collect::
    C:\WINDOWS\system32\Juchde.exe
    C:\WINDOWS\system32\drive\calling.com
    C:\WINDOWS\system32\wrda.sys
    C:\WINDOWS\system32\ortecxar.pif
    C:\rqr.exe
    C:\rq.exe

    Suspect::
    C:\WINDOWS\system32\acdb.err

    Folder::
    C:\WINDOWS\system32\drive

    Driver::
    SRVStarter_nerw

    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "QuickTime Task"=-
    "hohohhaha"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "QuickTime Task"=-
    "msennger"=-
    [-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\SRVStarter_Lerex]
    [-HKEY_LOCAL_MACHINE\system\ControlSet002\Services\SRVStarter_Lerex]
    [-HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\SRVStarter_Lerex]


  • Copie/colle le dans le Bloc Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
  • Enregistre le sous sur ton bureau sous le nom de CFScript.txt
  • Glisse maintenant le fichier CFScript.txt dans ComboFix.exe comme ci-dessous :

  • Cela va relancer Combofix.
  • ComboFix créera ces fichiers sur ton Bureau :
    - Un fichier zippé nommé Submit [Date Time].zip
    - Un second fichier nommé - CF-Submit.htm
  • ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
  • Lorsque l'outil aura terminé, un rapport ComboFix.log apparaîtra à l'écran.
  • Une nouvelle fenêtre avec invite "Submit Files for further analysis" s'ouvrira. Clique "OK"
  • Ton navigateur se lancera automatiquement avec le fichier CF-Submit.htm et une fenêtre s'ouvrira :
    - Clique sur le bouton "Browse"("Parcourir") et navigue vers le fichier
    Submit [Date Time].zip qui est sur ton Bureau.
    - Clique sur le fichier afin de le sélectionner.
  • Soumets le fichier en cliquant "OK"
  • Lorsque cette opération sera complétée, tu peux supprimer ces deux fichiers qui se trouvent sur ton Bureau.
    Poste le contenu du rapport ComboFix.txt après redémarrage s'il y en a un.

    ***********

    - Poste de travail/outils/option des dossiers/affichage/cocher afficher les fichiers et dossiers cachés/Appliquer - - > OK
    - Poste de travail/outils/option des dossiers/affichage/décocher masquer les fichiers protégés du système d'exploitation./Appliquer - - > OK
    - Poste de travail/outils/option des dossiers/affichage/décocher masquer les extensions dont le type est connu/Appliquer - - > OK

    N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

    Fais analyser ce(s) fichier(s) sur ce site >> Virustotal <<

  • Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier : C:\WINDOWS\system32\acdb.err
  • Clique maintenant sur Envoyer le fichier.
  • Poste le rapport (De Fichier *** reçu le *** jusqu'à SHA1 : ***)
    9 Juillet 2008 17:51:56

    et bien.... voilà qui est assez originale comme manipulation...
    voici donc le nouveau rapport combofix

    ComboFix 08-07-08.5 - METRA 2008-07-09 17:42:16.4 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1638 [GMT 2:00]
    Endroit: C:\Documents and Settings\metra\Bureau\ComboFix.exe
    Command switches used :: C:\Documents and Settings\metra\Bureau\CFScript.txt
    * Création d'un nouveau point de restauration
    * Resident AV is active


    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\rq.exe
    C:\rqr.exe
    C:\WINDOWS\system32\drive
    C:\WINDOWS\system32\drive\358.reg
    C:\WINDOWS\system32\drive\360.reg
    C:\WINDOWS\system32\drive\418.reg
    C:\WINDOWS\system32\drive\603.reg
    C:\WINDOWS\system32\drive\652.reg
    C:\WINDOWS\system32\drive\717.reg
    C:\WINDOWS\system32\drive\8272202.INS
    C:\WINDOWS\system32\drive\86102025.INS
    C:\WINDOWS\system32\drive\940.reg
    C:\WINDOWS\system32\drive\aliases.ini
    C:\WINDOWS\system32\drive\calling.com
    C:\WINDOWS\system32\drive\dbqp.fon
    C:\WINDOWS\system32\drive\lam1.exe
    C:\WINDOWS\system32\drive\lam2.exe
    C:\WINDOWS\system32\drive\lam5.exe
    C:\WINDOWS\system32\drive\lmz.exe
    C:\WINDOWS\system32\drive\lmz1.bmp
    C:\WINDOWS\system32\drive\lmz2.bmp
    C:\WINDOWS\system32\drive\lmz3.bmp
    C:\WINDOWS\system32\drive\mirc.ini
    C:\WINDOWS\system32\drive\msn.dll
    C:\WINDOWS\system32\drive\poiyu
    C:\WINDOWS\system32\drive\qaz
    C:\WINDOWS\system32\drive\Refix.ocx
    C:\WINDOWS\system32\drive\systemac.dll
    C:\WINDOWS\system32\drive\winreg.oce
    C:\WINDOWS\system32\drive\wsx
    C:\WINDOWS\system32\ortecxar.pif
    C:\WINDOWS\system32\wrda.sys

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_SRVSTARTER_NERW
    -------\Service_SRVStarter_nerw


    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-09 to 2008-07-09 ))))))))))))))))))))))))))))))))))))
    .

    2008-07-09 12:19 . 2008-07-09 12:19 <REP> d-------- C:\Program Files\Trend Micro
    2008-07-09 09:30 . 2008-03-03 14:25 5,702 --ah----- C:\WINDOWS\nod32restoretemdono.reg
    2008-07-09 09:30 . 2008-03-03 18:21 568 --ah----- C:\WINDOWS\nod32fixtemdono.reg
    2008-07-09 09:23 . 2008-07-09 09:23 <REP> d-------- C:\Program Files\Lavasoft
    2008-07-09 09:23 . 2008-07-09 09:23 <REP> d-------- C:\Documents and Settings\metra\Application Data\Lavasoft
    2008-07-07 16:02 . 2008-07-07 16:11 2,866 --a------ C:\WINDOWS\system32\acdb.err
    2008-07-02 12:20 . 2008-07-02 12:20 <REP> d-------- C:\Program Files\Fichiers communs\McNeel Shared
    2008-07-02 12:20 . 2007-04-02 01:16 2,916,438 --a------ C:\WINDOWS\system32\rcm.dll
    2008-07-02 12:20 . 2007-04-02 01:16 2,777,088 --a------ C:\WINDOWS\system32\rhrdk.10.v40.dll
    2008-07-02 12:20 . 2007-04-02 01:16 196,608 --a------ C:\WINDOWS\system32\BongoSDK.10.v40.dll
    2008-07-02 12:20 . 2007-04-02 01:16 192,512 --a------ C:\WINDOWS\system32\BongoSDK.dll
    2008-07-02 12:20 . 2007-04-02 01:16 96 --a------ C:\WINDOWS\system32\vssver.scc
    2008-07-02 12:19 . 2008-07-02 12:19 <REP> d-------- C:\Program Files\Fichiers communs\InstallShield Shared
    2008-07-02 12:19 . 2008-07-02 12:19 <REP> d-------- C:\Program Files\ASGvis
    2008-07-02 12:16 . 2008-07-02 12:16 <REP> d-------- C:\Program Files\Rhinoceros 4.0
    2008-07-01 20:31 . 2008-07-01 20:31 64,281 --a------ C:\acadminidump.dmp
    2008-07-01 19:21 . 2008-02-11 06:07 118,784 --a------ C:\WINDOWS\system32\cscaer.exe
    2008-07-01 19:21 . 2007-03-23 16:52 56,552 --ahs---- C:\WINDOWS\system32\Juchdp.exe
    2008-07-01 19:21 . 2005-04-09 21:12 30,720 --a------ C:\WINDOWS\system32\reotspnwy.dll
    2008-07-01 19:21 . 2008-07-01 07:04 30,512 --ahs---- C:\WINDOWS\system32\brecxar.CPX
    2008-07-01 19:21 . 2008-03-04 08:55 24,493 --ahs---- C:\WINDOWS\system32\erecxar.CPX
    2008-07-01 19:21 . 2008-05-22 08:20 21,031 --ahs---- C:\WINDOWS\system32\arecxar.CPX
    2008-07-01 19:21 . 2007-03-05 23:59 8,091 --ahs---- C:\WINDOWS\system32\crecxar.CPX
    2008-07-01 19:21 . 2008-07-01 09:11 391 --ahs---- C:\WINDOWS\system32\vburcs.cmd
    2008-07-01 19:21 . 2008-07-01 07:53 282 --ahs---- C:\WINDOWS\system32\dremxar.CPX
    2008-07-01 13:07 . 2004-08-19 16:09 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
    2008-07-01 13:07 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
    2008-07-01 13:07 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
    2008-07-01 13:07 . 2001-08-23 17:47 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-07-09 08:09 --------- d-----w C:\Program Files\Square One
    2008-07-09 07:37 --------- d-----w C:\Program Files\ESET
    2008-07-02 10:42 --------- d-----w C:\Documents and Settings\All Users\Application Data\McNeel
    2008-07-02 10:19 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-05-19 09:28 --------- d-----w C:\Program Files\Google
    2008-05-15 16:51 --------- d-----w C:\Documents and Settings\metra\Application Data\Apple Computer
    2008-05-12 16:59 --------- d-----w C:\Documents and Settings\metra\Application Data\ACD Systems
    2007-03-23 14:52 56,552 --sha-w C:\WINDOWS\system32\Juchdp.exe
    .

    ((((((((((((((((((((((((((((( snapshot@2008-07-09_14.42.47,67 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2008-07-09 07:31:51 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2008-07-09 15:44:04 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
    + 2008-07-09 15:33:26 10,892 ----a-w C:\WINDOWS\SoftwareDistribution\EventCache\{C6C1BF37-49D6-439F-893C-0E45C46259CD}.bin
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-08-02 20:03 4493312]
    "WinVNC"="C:\WINDOWS\system32\rc\winvnc4.exe" [2005-03-11 15:40 455632]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
    "egui"="C:\Program Files\ESET\ESET Smart Security\egui.exe" [2008-02-20 11:06 1443072]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
    "NoWelcomeScreen"= 1 (0x1)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Accélérateur de démarrage AutoCAD.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Accélérateur de démarrage AutoCAD.lnk
    backup=C:\WINDOWS\pss\Accélérateur de démarrage AutoCAD.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
    backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 7.0]
    --a------ 2004-12-14 02:12 483328 C:\Program Files\Adobe\Acrobat 7.0\Distillr\acrotray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
    --a------ 2004-08-19 16:09 15360 C:\WINDOWS\system32\ctfmon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
    --a------ 2004-08-02 20:03 4493312 C:\WINDOWS\system32\nvcpl.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioDragToDisc]
    --a------ 2004-01-09 16:01 868352 C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioEngineUtility]
    --a------ 2003-05-01 18:44 65536 C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
    --a------ 2004-08-02 20:03 917504 C:\WINDOWS\system32\nwiz.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=

    S2 NOD32FiXTemDono;Eset Nod32 Boot;C:\WINDOWS\system32\regedt32.exe [2003-04-24 16:00]

    .
    Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
    "2008-06-28 19:41:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - C:\Program Files\Apple Software Update\SoftwareUpdate.exe
    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-07-09 17:44:31
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
    C:\Program Files\ESET\ESET Smart Security\ekrn.exe
    C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\MsPMSPSv.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-07-09 17:45:50 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-07-09 15:45:47
    ComboFix2.txt 2008-07-09 13:02:51
    ComboFix3.txt 2008-07-09 12:54:34
    ComboFix4.txt 2008-07-09 12:42:57

    Pre-Run: 18,421,927,936 octets libres
    Post-Run: 18,347,888,640 octets libres

    297 --- E O F --- 2008-07-07 19:28:51
    9 Juillet 2008 17:59:36

    c'est trop complexe pour moi!
    il y a deux autres lignes disponible sur le rapport virustotal, après SHA1
    dis moi si tu veux que je mes rajoute

    voici donc le rapport de virus total... 0%....


    Fichier acdb.err reçu le 2008.07.09 17:54:40 (CET)
    Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


    Résultat: 0/32 (0%)
    en train de charger les informations du serveur...
    Votre fichier est dans la file d'attente, en position: 2.
    L'heure estimée de démarrage est entre 43 et 62 secondes.
    Ne fermez pas la fenêtre avant la fin de l'analyse.
    L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
    Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
    Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
    les résultats seront affichés au fur et à mesure de leur génération.
    Formaté Impression des résultats
    Votre fichier a expiré ou n'existe pas.
    Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

    Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
    Email:


    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.7.9.2 2008.07.09 -
    AntiVir 7.8.0.64 2008.07.09 -
    Authentium 5.1.0.4 2008.07.08 -
    Avast 4.8.1195.0 2008.07.09 -
    AVG 7.5.0.516 2008.07.09 -
    BitDefender 7.2 2008.07.09 -
    CAT-QuickHeal 9.50 2008.07.09 -
    ClamAV 0.93.1 2008.07.09 -
    DrWeb 4.44.0.09170 2008.07.09 -
    eSafe 7.0.17.0 2008.07.08 -
    eTrust-Vet 31.6.5940 2008.07.09 -
    Ewido 4.0 2008.07.09 -
    F-Prot 4.4.4.56 2008.07.08 -
    F-Secure 7.60.13501.0 2008.07.08 -
    Fortinet 3.14.0.0 2008.07.09 -
    GData 2.0.7306.1023 2008.07.09 -
    Ikarus T3.1.1.26.0 2008.07.09 -
    Kaspersky 7.0.0.125 2008.07.09 -
    McAfee 5334 2008.07.08 -
    Microsoft 1.3704 2008.07.09 -
    NOD32v2 3255 2008.07.09 -
    Norman 5.80.02 2008.07.09 -
    Panda 9.0.0.4 2008.07.08 -
    Rising 20.52.22.00 2008.07.09 -
    Sophos 4.31.0 2008.07.09 -
    Sunbelt 3.1.1509.1 2008.07.04 -
    Symantec 10 2008.07.09 -
    TheHacker 6.2.96.374 2008.07.07 -
    TrendMicro 8.700.0.1004 2008.07.09 -
    VBA32 3.12.6.8 2008.07.08 -
    VirusBuster 4.5.11.0 2008.07.09 -
    Webwasher-Gateway 6.6.2 2008.07.09 -
    Information additionnelle
    File size: 2866 bytes
    MD5...: 62c72f53534ec8675c42d3f3eceea4bb
    SHA1..: 1249f3d951e321e222db93193f66e79abf2f30fb
    9 Juillet 2008 18:58:49

    en tout cas, tout marche magnifiquement bien désormais!
    sauf si tu as d'autres manipulations à me faire faire
    je te remercie GRANDEMENT
    Thibault
    9 Juillet 2008 21:18:16

    Re,

    On a pas fini :) 

    Tu fais ou utilises des scripts VBS ?

    Je vois que tu utilises un crack plus que douteux pour Nod32, qui t'a qui sait peut-être amener l'infection. Nous allons donc le supprimer.
    On prendra un bon antivirus gratuit pour compenser ça ..

    Sélectionne l'intégralité du cadre ci-dessous :

    Collect::
    C:\WINDOWS\system32\Juchdp.exe
    C:\WINDOWS\system32\cscaer.exe
    C:\WINDOWS\system32\Juchdp.exe
    C:\WINDOWS\system32\reotspnwy.dll
    C:\WINDOWS\system32\brecxar.CPX
    C:\WINDOWS\system32\erecxar.CPX
    C:\WINDOWS\system32\arecxar.CPX
    C:\WINDOWS\system32\crecxar.CPX
    C:\WINDOWS\system32\vburcs.cmd
    C:\WINDOWS\system32\dremxar.CPX

    Driver::
    NOD32FiXTemDono

    File::
    C:\WINDOWS\nod32restoretemdono.reg
    C:\WINDOWS\nod32fixtemdono.reg


  • Copie/colle le dans le Bloc Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
  • Enregistre le sous sur ton bureau sous le nom de CFScript.txt
  • Glisse maintenant le fichier CFScript.txt dans ComboFix.exe comme ci-dessous :

  • Cela va relancer Combofix.
  • ComboFix créera ces fichiers sur ton Bureau :
    - Un fichier zippé nommé Submit [Date Time].zip
    - Un second fichier nommé - CF-Submit.htm
  • ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
  • Lorsque l'outil aura terminé, un rapport ComboFix.log apparaîtra à l'écran.
  • Une nouvelle fenêtre avec invite "Submit Files for further analysis" s'ouvrira. Clique "OK"
  • Ton navigateur se lancera automatiquement avec le fichier CF-Submit.htm et une fenêtre s'ouvrira :
    - Clique sur le bouton "Browse"("Parcourir") et navigue vers le fichier
    Submit [Date Time].zip qui est sur ton Bureau.
    - Clique sur le fichier afin de le sélectionner.
  • Soumets le fichier en cliquant "OK"
  • Lorsque cette opération sera complétée, tu peux supprimer ces deux fichiers qui se trouvent sur ton Bureau.
    Poste le contenu du rapport ComboFix.txt après redémarrage s'il y en a un.
    10 Juillet 2008 13:26:26

    bonjour,
    désolé, mais non, je ne fais rien, ni ne connait quoi que se soit aux scripts... :-(
    en revanche, je commence à maitriser combo fix! :-D
    plus sérieusement, il n' pas créé de fichier zip cette fois;
    peut être aprce que je n'avais pas etteint l'anti-virus, et qu'il a bloqué un truc pendant l'action de combofix
    faut il que je refasse la manipulation?
    en tout cas, voici le rapport combofix:


    ComboFix 08-07-08.5 - METRA 2008-07-10 13:17:47.5 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1660 [GMT 2:00]
    Endroit: C:\Documents and Settings\metra\Bureau\ComboFix.exe
    Command switches used :: C:\Documents and Settings\metra\Bureau\CFScript.txt
    * Création d'un nouveau point de restauration
    * Resident AV is active


    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

    FILE ::
    C:\WINDOWS\nod32fixtemdono.reg
    C:\WINDOWS\nod32restoretemdono.reg
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\nod32fixtemdono.reg
    C:\WINDOWS\nod32restoretemdono.reg

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Service_NOD32FiXTemDono


    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-10 to 2008-07-10 ))))))))))))))))))))))))))))))))))))
    .

    2008-07-09 12:19 . 2008-07-09 12:19 <REP> d-------- C:\Program Files\Trend Micro
    2008-07-09 09:23 . 2008-07-09 09:23 <REP> d-------- C:\Program Files\Lavasoft
    2008-07-09 09:23 . 2008-07-09 09:23 <REP> d-------- C:\Documents and Settings\metra\Application Data\Lavasoft
    2008-07-07 16:02 . 2008-07-07 16:11 2,866 --a------ C:\WINDOWS\system32\acdb.err
    2008-07-02 12:20 . 2008-07-02 12:20 <REP> d-------- C:\Program Files\Fichiers communs\McNeel Shared
    2008-07-02 12:20 . 2007-04-02 01:16 2,916,438 --a------ C:\WINDOWS\system32\rcm.dll
    2008-07-02 12:20 . 2007-04-02 01:16 2,777,088 --a------ C:\WINDOWS\system32\rhrdk.10.v40.dll
    2008-07-02 12:20 . 2007-04-02 01:16 196,608 --a------ C:\WINDOWS\system32\BongoSDK.10.v40.dll
    2008-07-02 12:20 . 2007-04-02 01:16 192,512 --a------ C:\WINDOWS\system32\BongoSDK.dll
    2008-07-02 12:20 . 2007-04-02 01:16 96 --a------ C:\WINDOWS\system32\vssver.scc
    2008-07-02 12:19 . 2008-07-02 12:19 <REP> d-------- C:\Program Files\Fichiers communs\InstallShield Shared
    2008-07-02 12:19 . 2008-07-02 12:19 <REP> d-------- C:\Program Files\ASGvis
    2008-07-02 12:16 . 2008-07-02 12:16 <REP> d-------- C:\Program Files\Rhinoceros 4.0
    2008-07-01 20:31 . 2008-07-01 20:31 64,281 --a------ C:\acadminidump.dmp
    2008-07-01 19:21 . 2008-02-11 06:07 118,784 --a------ C:\WINDOWS\system32\cscaer.exe
    2008-07-01 19:21 . 2007-03-23 16:52 56,552 --ahs---- C:\WINDOWS\system32\Juchdp.exe
    2008-07-01 19:21 . 2005-04-09 21:12 30,720 --a------ C:\WINDOWS\system32\reotspnwy.dll
    2008-07-01 19:21 . 2008-07-01 07:04 30,512 --ahs---- C:\WINDOWS\system32\brecxar.CPX
    2008-07-01 19:21 . 2008-03-04 08:55 24,493 --ahs---- C:\WINDOWS\system32\erecxar.CPX
    2008-07-01 19:21 . 2008-05-22 08:20 21,031 --ahs---- C:\WINDOWS\system32\arecxar.CPX
    2008-07-01 19:21 . 2007-03-05 23:59 8,091 --ahs---- C:\WINDOWS\system32\crecxar.CPX
    2008-07-01 19:21 . 2008-07-01 09:11 391 --ahs---- C:\WINDOWS\system32\vburcs.cmd
    2008-07-01 19:21 . 2008-07-01 07:53 282 --ahs---- C:\WINDOWS\system32\dremxar.CPX
    2008-07-01 13:07 . 2004-08-19 16:09 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
    2008-07-01 13:07 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
    2008-07-01 13:07 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
    2008-07-01 13:07 . 2001-08-23 17:47 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-07-09 08:09 --------- d-----w C:\Program Files\Square One
    2008-07-09 07:37 --------- d-----w C:\Program Files\ESET
    2008-07-02 10:42 --------- d-----w C:\Documents and Settings\All Users\Application Data\McNeel
    2008-07-02 10:19 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-05-19 09:28 --------- d-----w C:\Program Files\Google
    2008-05-15 16:51 --------- d-----w C:\Documents and Settings\metra\Application Data\Apple Computer
    2008-05-12 16:59 --------- d-----w C:\Documents and Settings\metra\Application Data\ACD Systems
    2007-03-23 14:52 56,552 --sha-w C:\WINDOWS\system32\Juchdp.exe
    .

    ((((((((((((((((((((((((((((( snapshot@2008-07-09_14.42.47,67 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2008-07-09 07:31:51 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2008-07-10 11:19:34 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-08-02 20:03 4493312]
    "WinVNC"="C:\WINDOWS\system32\rc\winvnc4.exe" [2005-03-11 15:40 455632]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
    "egui"="C:\Program Files\ESET\ESET Smart Security\egui.exe" [2008-02-20 11:06 1443072]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
    "NoWelcomeScreen"= 1 (0x1)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Accélérateur de démarrage AutoCAD.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Accélérateur de démarrage AutoCAD.lnk
    backup=C:\WINDOWS\pss\Accélérateur de démarrage AutoCAD.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
    backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 7.0]
    --a------ 2004-12-14 02:12 483328 C:\Program Files\Adobe\Acrobat 7.0\Distillr\acrotray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
    --a------ 2004-08-19 16:09 15360 C:\WINDOWS\system32\ctfmon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
    --a------ 2004-08-02 20:03 4493312 C:\WINDOWS\system32\nvcpl.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioDragToDisc]
    --a------ 2004-01-09 16:01 868352 C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioEngineUtility]
    --a------ 2003-05-01 18:44 65536 C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
    --a------ 2004-08-02 20:03 917504 C:\WINDOWS\system32\nwiz.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=


    .
    Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
    "2008-06-28 19:41:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - C:\Program Files\Apple Software Update\SoftwareUpdate.exe
    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-07-10 13:20:40
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
    C:\Program Files\ESET\ESET Smart Security\ekrn.exe
    C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\MsPMSPSv.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-07-10 13:21:57 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-07-10 11:21:55
    ComboFix2.txt 2008-07-09 15:45:50
    ComboFix3.txt 2008-07-09 13:02:51
    ComboFix4.txt 2008-07-09 12:54:34
    ComboFix5.txt 2008-07-09 12:42:57

    Pre-Run: 18,267,258,880 octets libres
    Post-Run: 18,337,361,920 octets libres

    266 --- E O F --- 2008-07-07 19:28:51
    10 Juillet 2008 13:45:38

    Re,

    Refais le script :D 
    10 Juillet 2008 14:19:55

    ok sorry...
    ceci étant dit, je ne suis pas certain, pour la précédente opération, d'avoir eteint mon antivirus... Mais comme ça a été très efficace, j'imagine que si/

    voici le rapport
    merci encore pour ton aide

    ComboFix 08-07-08.5 - METRA 2008-07-10 14:12:50.6 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1651 [GMT 2:00]
    Endroit: C:\Documents and Settings\metra\Bureau\ComboFix.exe
    Command switches used :: C:\Documents and Settings\metra\Bureau\CFScript.txt
    * Création d'un nouveau point de restauration

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

    FILE ::
    C:\WINDOWS\nod32fixtemdono.reg
    C:\WINDOWS\nod32restoretemdono.reg
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\system32\arecxar.CPX
    C:\WINDOWS\system32\brecxar.CPX
    C:\WINDOWS\system32\crecxar.CPX
    C:\WINDOWS\system32\cscaer.exe
    C:\WINDOWS\system32\dremxar.CPX
    C:\WINDOWS\system32\erecxar.CPX
    C:\WINDOWS\system32\Juchdp.exe
    C:\WINDOWS\system32\reotspnwy.dll
    C:\WINDOWS\system32\vburcs.cmd

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2008-06-10 to 2008-07-10 ))))))))))))))))))))))))))))))))))))
    .

    2008-07-09 12:19 . 2008-07-09 12:19 <REP> d-------- C:\Program Files\Trend Micro
    2008-07-09 09:23 . 2008-07-09 09:23 <REP> d-------- C:\Program Files\Lavasoft
    2008-07-09 09:23 . 2008-07-09 09:23 <REP> d-------- C:\Documents and Settings\metra\Application Data\Lavasoft
    2008-07-07 16:02 . 2008-07-07 16:11 2,866 --a------ C:\WINDOWS\system32\acdb.err
    2008-07-02 12:20 . 2008-07-02 12:20 <REP> d-------- C:\Program Files\Fichiers communs\McNeel Shared
    2008-07-02 12:20 . 2007-04-02 01:16 2,916,438 --a------ C:\WINDOWS\system32\rcm.dll
    2008-07-02 12:20 . 2007-04-02 01:16 2,777,088 --a------ C:\WINDOWS\system32\rhrdk.10.v40.dll
    2008-07-02 12:20 . 2007-04-02 01:16 196,608 --a------ C:\WINDOWS\system32\BongoSDK.10.v40.dll
    2008-07-02 12:20 . 2007-04-02 01:16 192,512 --a------ C:\WINDOWS\system32\BongoSDK.dll
    2008-07-02 12:20 . 2007-04-02 01:16 96 --a------ C:\WINDOWS\system32\vssver.scc
    2008-07-02 12:19 . 2008-07-02 12:19 <REP> d-------- C:\Program Files\Fichiers communs\InstallShield Shared
    2008-07-02 12:19 . 2008-07-02 12:19 <REP> d-------- C:\Program Files\ASGvis
    2008-07-02 12:16 . 2008-07-02 12:16 <REP> d-------- C:\Program Files\Rhinoceros 4.0
    2008-07-01 20:31 . 2008-07-01 20:31 64,281 --a------ C:\acadminidump.dmp
    2008-07-01 13:07 . 2004-08-19 16:09 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
    2008-07-01 13:07 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
    2008-07-01 13:07 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
    2008-07-01 13:07 . 2001-08-23 17:47 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-07-09 08:09 --------- d-----w C:\Program Files\Square One
    2008-07-09 07:37 --------- d-----w C:\Program Files\ESET
    2008-07-02 10:42 --------- d-----w C:\Documents and Settings\All Users\Application Data\McNeel
    2008-07-02 10:19 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-05-19 09:28 --------- d-----w C:\Program Files\Google
    2008-05-15 16:51 --------- d-----w C:\Documents and Settings\metra\Application Data\Apple Computer
    2008-05-12 16:59 --------- d-----w C:\Documents and Settings\metra\Application Data\ACD Systems
    .

    ((((((((((((((((((((((((((((( snapshot@2008-07-09_14.42.47,67 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2008-07-09 07:31:51 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2008-07-10 11:19:34 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-08-02 20:03 4493312]
    "WinVNC"="C:\WINDOWS\system32\rc\winvnc4.exe" [2005-03-11 15:40 455632]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
    "egui"="C:\Program Files\ESET\ESET Smart Security\egui.exe" [2008-02-20 11:06 1443072]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09 15360]

    C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Acc‚l‚rateur de d‚marrage AutoCAD.lnk - C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe [2004-02-25 08:35:00 10872]
    NomUsersurStation.vbs [2003-06-11 11:20:10 1788]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
    "NoWelcomeScreen"= 1 (0x1)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2641\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2727\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-2732\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4693\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4836\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-4873\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5257\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5260\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\0]
    "Script"=AjouterIprimantes.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\1]
    "Script"=CopieFichiersenLocal.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\2]
    "Script"=DonneesTempetInt.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\3]
    "Script"=PurgeCacheIE.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\4]
    "Script"=Autocad.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\5]
    "Script"=CheminTemp.vbs

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1844237615-1035525444-725345543-5282\Scripts\Logon\0\6]
    "Script"=Creation Temp.vbs

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Accélérateur de démarrage AutoCAD.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Accélérateur de démarrage AutoCAD.lnk
    backup=C:\WINDOWS\pss\Accélérateur de démarrage AutoCAD.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
    backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 7.0]
    --a------ 2004-12-14 02:12 483328 C:\Program Files\Adobe\Acrobat 7.0\Distillr\acrotray.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
    --a------ 2004-08-19 16:09 15360 C:\WINDOWS\system32\ctfmon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
    --a------ 2004-08-02 20:03 4493312 C:\WINDOWS\system32\nvcpl.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioDragToDisc]
    --a------ 2004-01-09 16:01 868352 C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioEngineUtility]
    --a------ 2003-05-01 18:44 65536 C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
    --a------ 2004-08-02 20:03 917504 C:\WINDOWS\system32\nwiz.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=


    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
    "2008-06-28 19:41:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - C:\Program Files\Apple Software Update\SoftwareUpdate.exe
    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-07-10 14:13:27
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************
    .
    Temps d'accomplissement: 2008-07-10 14:13:55
    ComboFix-quarantined-files.txt 2008-07-10 12:13:45
    ComboFix2.txt 2008-07-10 11:21:58
    ComboFix3.txt 2008-07-09 15:45:50
    ComboFix4.txt 2008-07-09 13:02:51
    ComboFix5.txt 2008-07-09 12:54:34

    Pre-Run: 18,326,626,304 octets libres
    Post-Run: 18,319,151,104 octets libres

    252 --- E O F --- 2008-07-07 19:28:51
    10 Juillet 2008 15:20:13

    re,

    Poste un nouveau rapport Hijackthis.
    Où en sont tes soucis ?
    10 Juillet 2008 18:03:31

    bonjour!
    pour ma part, je n'ai plus rien à signaler! internet remarche sur le réseau, et les ralentis ont disparu! merci mille fois! ça avait l'air d'être une belle pagaille
    dis moi s'il reste des manip, mais de mon points de vue, c'est okay!
    voici le rapport hijackthis

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:00, on 2008-07-10
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
    C:\Program Files\ESET\ESET Smart Security\ekrn.exe
    C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\MsPMSPSv.exe
    C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
    C:\Program Files\ESET\ESET Smart Security\egui.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Fichiers communs\Autodesk Shared\WSCommCntr1.exe
    C:\Program Files\Adobe\Acrobat 7.0\Distillr\AcroTray.exe
    C:\Program Files\Autodesk Architectural Desktop 2005\acad.exe
    C:\DOCUME~1\metra\LOCALS~1\Temp\AdskCleanup.0001
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/webhp?hl=fr
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://professionnel/metra-book-images
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [WinVNC] "C:\WINDOWS\system32\rc\winvnc4.exe" -servicehelper
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
    O4 - Global Startup: NomUsersurStation.vbs
    O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.intranetajn.com/intra/login.php?log=invite&p...
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = metra.local
    O17 - HKLM\Software\..\Telephony: DomainName = metra.local
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = metra.local
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
    O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
    O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallShield Licensing Service - Macrovision - C:\Program Files\Fichiers communs\InstallShield Shared\Service\InstallShield Licensing Service.exe
    O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: VNC (WinVNC) - RealVNC Ltd. - C:\WINDOWS\system32\rc\winvnc4.exe

    --
    End of file - 7275 bytes
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS