Votre question

Panneau de configuration (Worm)

Tags :
  • Config PC
  • Sécurité
Dernière réponse : dans Sécurité et virus
11 Juin 2008 15:39:57

Bonjour,

Depuis quelques temps j'qi un probleme avec mon PC.
J'ai un jour oublie de mettre a jour mon antivirus et j'ai chope un virus.
Mon panneau de configuration se ferme au bout de 30s, si je tape virus dans google mon IE se ferme, tous mes peripheriques sont pollues.
Lorsque j'essaye d'installer un nouvel anti virus, des que je lance l'executable, tout se ferme.
Pourriez vous m'aider.
Re formater ne changera rien car le virus est dans tous les dossiers de mes peripheriques.
Par exemple je voulais montrer des photos a mon frere que j'ai foutu sur ma cle USB qd je l'ai plugue sue son PC, AVG a demarre et m'a supprimer les photos sur la cle.
Merci par avance
Lionel

Autres pages sur : panneau configuration worm

11 Juin 2008 15:49:50

Bonjour,

Télécharge Hijackthis (de Trend Micro) sur ton Bureau.

  • Double clique sur HJTInstall.exe pour lancer l'installation.
  • Clique sur Install.
  • Double clique sur le raccourci d'HijackThis qui vient d'être créé pour le lancer. (Clique droit -> lancer en tant qu'admin si sous Vista)
  • Accepte la licence en cliquant sur Yes.
  • Clique sur "Do a system scan and save a logfile".
  • Poste ici le rapport généré.

    Note : Le rapport se trouve également ici : C:\Program Files\Trend Micro\Hijackthis\Hijackthis.log

    Aide : Comment utiliser HijackThis.
    11 Juin 2008 15:59:56

    J'essaye ca ce soir et je poste le rapport.
    Merci pour ce retour tres rapide.
    Contenus similaires
    11 Juin 2008 19:34:23

    Voila le rapport.
    Merci par avance.

    Logfile of HijackThis v1.99.1
    Scan saved at 18:30:59, on 11/06/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Unable to get Internet Explorer version!

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\dllChache\Empty.jpg
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\dllChache\Blank.doc
    C:\WINDOWS\system32\dllChache\Zero.txt
    C:\WINDOWS\system32\dllChache\Hole.zip
    C:\WINDOWS\system32\dllChache\Unoccupied.reg
    C:\WINDOWS\Mixer.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\DNA\btdna.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jucheck.exe
    C:\Program Files\WinRAR\WinRAR.exe
    C:\DOCUME~1\LIONEL~1.000\LOCALS~1\Temp\Rar$EX01.938\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://french.icrfast.com/index.php?rvs=hompag
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, "C:\WINDOWS\system32\M5VBVM60.EXE StartUp"
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
    O2 - BHO: Burn4Free Toolbar Helper - {F8E5CA21-C27B-43e7-B2BE-4CA93C9F9A1F} - C:\Program Files\Burn4Free Toolbar\v2.0.0.1\Burn4Free_Toolbar.dll
    O3 - Toolbar: Burn4Free Toolbar - {70DE7956-479D-4eb7-8641-2B45774C350E} - C:\Program Files\Burn4Free Toolbar\v2.0.0.1\Burn4Free_Toolbar.dll
    O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [DC6V_Check] "C:\Program Files\Fichiers communs\SystemDoctor\usdrdc.exe"
    O4 - HKLM\..\Run: [MDRV_Check] "C:\Program Files\Fichiers communs\SystemDoctor\usdrmdr.exe"
    O4 - HKLM\..\Run: [Blank AntiViri] C:\AUT0EXEC.BAT StartUp
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [Secure64] C:\WINDOWS\system32\dllcache\Regedit32.com StartUp
    O4 - HKCU\..\Run: [Secure32] C:\WINDOWS\system32\dllcache\Shell32.com StartUp
    O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
    O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    11 Juin 2008 19:40:44

    Re,

    Télécharge SDFix (d’Andy Manchesta)

  • Enregistre le sur ton le bureau.
  • Lance le.
  • Fais install afin qu’il puisse s’extraire.
    Redémarre en mode sans échec
    /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\
  • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\
  • Double clique sur RunThis.bat (L’extension bat peut ne pas apparaître)
  • Appuie sur Y pour le lancer.
  • Il te sera demandé d'appuyer sur une touche pour redemarrer , fais le
  • Il est probable que le redémarrage soit un peu plus long que d’habitude.
  • Une fois l’apparition de ton Bureau, il affichera Finished
  • Appuie sur une touche.
  • Un rapport est généré , poste le dans ta réponse.

    Il se trouve également. dans le dossier SDFix >Report.txt<

    *********

    Télécharge ComboFix (de sUBs) sur ton Bureau.

  • Désactive temporairement toute protection résidente ! (Antivirus, antispywares..)
  • Double clique sur ComboFix.exe.
  • Accepte la licence en cliquant sur Oui.
  • Lorsque l'opération sera terminée, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.

    Le rapport se trouve ici : %systemdrive%\ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C:\ en général)

    Aide : Comment utiliser ComboFix.
    11 Juin 2008 20:08:28

    Est ce que je dois executer ComboFix en mode sans echec egalement?
    11 Juin 2008 20:56:23

    Merci pour ton aide.


    Voila le rapport de SDFix:


    SDFix: Version 1.191
    Run by Lionel on 11/06/2008 at 19:21

    Microsoft Windows XP [version 5.1.2600]
    Running From: C:\SDFix

    Checking Services :


    Restoring Windows Registry Values
    Restoring Windows Default Hosts File

    Rebooting


    Checking Files :

    Trojan Files Found:

    C:\WINDOWS\system32.exe - Deleted





    Removing Temp Files

    ADS Check :



    Final Check :

    catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-06-11 19:28:04
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden services & system hive ...

    scanning hidden registry entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0


    Remaining Services :




    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger"
    "C:\\Program Files\\FileZilla\\FileZilla.exe"="C:\\Program Files\\FileZilla\\FileZilla.exe:*:Enabled:FileZilla"
    "C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
    "C:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"="C:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe:*:D isabled:Veoh Client"
    "C:\\Program Files\\BitTorrent_DNA\\dna.exe"="C:\\Program Files\\BitTorrent_DNA\\dna.exe:*:Enabled:BitTorrent DNA"
    "C:\\Program Files\\BitTorrent\\bittorrent.exe"="C:\\Program Files\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"
    "C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
    "C:\\Program Files\\DNA\\btdna.exe"="C:\\Program Files\\DNA\\btdna.exe:*:Enabled:D NA"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

    Remaining Files :


    File Backups: - C:\SDFix\backups\backups.zip

    Files with Hidden Attributes :

    Wed 4 Aug 2004 1,392,671 ..SHR --- "C:\msvbvm60.dll"
    Thu 12 Jul 2007 56 ..SHR --- "C:\WINDOWS\system32\43DE0CFD15.sys"
    Thu 12 Jul 2007 1,682 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
    Thu 28 Jun 2007 34,304 ..SHR --- "C:\WINDOWS\system32\M5VBVM60.EXE"
    Mon 23 Feb 2004 1,386,496 ..SHR --- "C:\WINDOWS\system32\MSVBVM60.DLL"
    Thu 28 Jun 2007 34,304 ..SHR --- "C:\WINDOWS\system32\rund1132.exe"
    Wed 26 Oct 2005 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
    Sun 12 Aug 2007 4,348 ..SH. --- "C:\Documents and Settings\All Users.WINDOWS\DRM\DRMv1.bak"
    Thu 26 Jan 2006 114,688 ...H. --- "C:\Documents and Settings\Delphine\Bureau\~WRL0004.tmp"
    Thu 26 Jan 2006 157,184 ...H. --- "C:\Documents and Settings\Delphine\Bureau\~WRL0867.tmp"
    Thu 26 Jan 2006 116,736 ...H. --- "C:\Documents and Settings\Delphine\Bureau\~WRL1035.tmp"
    Thu 26 Jan 2006 117,248 ...H. --- "C:\Documents and Settings\Delphine\Bureau\~WRL1071.tmp"
    Thu 26 Jan 2006 116,736 ...H. --- "C:\Documents and Settings\Delphine\Bureau\~WRL1391.tmp"
    Mon 23 Jan 2006 113,152 ...H. --- "C:\Documents and Settings\Delphine\Bureau\~WRL1451.tmp"
    Thu 26 Jan 2006 114,688 ...H. --- "C:\Documents and Settings\Delphine\Bureau\~WRL1717.tmp"
    Thu 26 Jan 2006 157,184 ...H. --- "C:\Documents and Settings\Delphine\Bureau\~WRL1922.tmp"
    Thu 26 Jan 2006 115,712 ...H. --- "C:\Documents and Settings\Delphine\Bureau\~WRL2878.tmp"
    Thu 26 Jan 2006 116,736 ...H. --- "C:\Documents and Settings\Delphine\Bureau\~WRL3270.tmp"
    Thu 26 Jan 2006 116,736 ...H. --- "C:\Documents and Settings\Delphine\Bureau\~WRL3450.tmp"
    Thu 26 Jan 2006 157,184 ...H. --- "C:\Documents and Settings\Delphine\Bureau\~WRL3547.tmp"
    Thu 26 Jan 2006 144,896 ...H. --- "C:\Documents and Settings\Delphine\Bureau\~WRL4013.tmp"
    Wed 4 Aug 2004 1,392,671 ..SHR --- "C:\WINDOWS\system32\dllcache\msvbvm60.dll"
    Thu 28 Jun 2007 34,304 ..SHR --- "C:\WINDOWS\system32\dllcache\Regedit32.com"
    Thu 28 Jun 2007 34,304 ..SHR --- "C:\WINDOWS\system32\dllcache\Shell32.com"
    Thu 28 Jun 2007 34,304 ..SHR --- "C:\WINDOWS\system32\dllchache\Hole.zip"
    Wed 4 Aug 2004 1,392,671 ..SHR --- "C:\WINDOWS\system32\dllchache\msvbvm60.dll"
    Thu 28 Jun 2007 34,304 ..SHR --- "C:\WINDOWS\system32\dllchache\Unoccupied.reg"
    Sat 13 Nov 2004 37,376 A..H. --- "C:\Program Files\Fichiers communs\Adobe\ESD\DLMCleanup.exe"

    Finished!




    Voila le rapport de ComboFix:

    ComboFix 08-06-10.5 - Lionel 2008-06-11 19:41:33.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.314 [GMT 1:00]
    Endroit: C:\Documents and Settings\Lionel.MOUAIS.000\Bureau\ComboFix.exe
    * Création d'un nouveau point de restauration

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\(Read Me)Pendekar Blank.txt
    C:\AUT0EXEC.BAT
    C:\Documents and Settings\All Users.WINDOWS\Application Data\SystemDoctor Free
    C:\Documents and Settings\All Users.WINDOWS\Application Data\SystemDoctor Free\Data\Abbr
    C:\Documents and Settings\All Users.WINDOWS\Application Data\SystemDoctor Free\Data\ActivationCode
    C:\Documents and Settings\All Users.WINDOWS\Application Data\SystemDoctor Free\Data\HOURS
    C:\Documents and Settings\All Users.WINDOWS\Application Data\SystemDoctor Free\Data\ProductCode
    C:\Documents and Settings\Lionel.MOUAIS.000\Application Data\SystemDoctor Free
    C:\Documents and Settings\Lionel.MOUAIS.000\Application Data\SystemDoctor Free\Logs\update.log
    C:\Documents and Settings\Lionel.MOUAIS.000\err.log
    C:\Documents and Settings\Lionel.MOUAIS.000\ResErrors.log
    C:\Program Files\Fichiers communs\SystemDoctor
    C:\Program Files\Fichiers communs\SystemDoctor\err.log
    C:\WINDOWS\system32.exe
    C:\WINDOWS\system32\dllcache\Regedit32.com
    C:\WINDOWS\system32\dllcache\Shell32.com
    C:\WINDOWS\system32\dllchache
    C:\WINDOWS\system32\dllchache.exe
    C:\WINDOWS\system32\dllchache\Blank.doc
    C:\WINDOWS\system32\dllchache\Empty.jpg
    C:\WINDOWS\system32\dllchache\Hole.zip
    C:\WINDOWS\system32\dllchache\msvbvm60.dll
    C:\WINDOWS\system32\dllchache\Unoccupied.reg
    C:\WINDOWS\system32\dllchache\Zero.txt
    C:\WINDOWS\system32\M5VBVM60.EXE
    C:\WINDOWS\system32\rund1132.exe

    .
    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-11 to 2008-06-11 ))))))))))))))))))))))))))))))))))))
    .

    2008-06-11 19:18 . 2008-06-11 19:18 <REP> d-------- C:\WINDOWS\ERUNT
    2008-06-11 19:07 . 2008-06-11 19:29 <REP> d-------- C:\SDFix

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-06-11 18:42 --------- d-----w C:\Documents and Settings\Lionel.MOUAIS.000\Application Data\DNA
    2008-05-28 10:56 --------- d-----w C:\Program Files\eMule
    2008-05-24 19:19 --------- d-----w C:\Documents and Settings\Lionel.MOUAIS.000\Application Data\BitTorrent
    2008-05-13 17:26 --------- d-----w C:\Program Files\SopCast
    2008-05-13 17:26 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Apple Computer
    2008-03-07 21:28 15,397 ----a-w C:\Program Files\settings.dat
    2007-07-18 08:39 17,144 -c--a-w C:\Documents and Settings\Lionel.MOUAIS.000\Application Data\GDIPFONTCACHEV1.DAT
    2007-06-28 13:42 34,304 ------w C:\Documents and Settings\Lionel.MOUAIS.000\New Folder.exe
    2006-01-17 19:08 8,174,341 ----a-w C:\Program Files\BlazeDVDSetup-Standard.exe
    2006-01-17 19:05 12,141,518 ----a-w C:\Program Files\PDVD_6_trial.exe
    2007-07-12 21:20 56 --sh--r C:\WINDOWS\system32\43DE0CFD15.sys
    2007-07-12 21:20 1,682 -csha-w C:\WINDOWS\system32\KGyGaAvL.sys
    2004-08-04 00:54 1,392,671 -csh--r C:\WINDOWS\system32\dllcache\msvbvm60.dll
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:54 15360]
    "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2005-08-13 22:32 7081984]
    "BitTorrent DNA"="C:\Program Files\DNA\btdna.exe" [2008-05-12 12:38 289088]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "C-Media Mixer"="Mixer.exe" [2002-10-15 18:00 1818624 C:\WINDOWS\mixer.exe]
    "RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24 32768]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:54 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "VIDC.YV12"= yv12vfw.dll

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\eMule\\emule.exe"=
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\FileZilla\\FileZilla.exe"=
    "C:\\Program Files\\Messenger\\msmsgs.exe"=
    "C:\\Program Files\\BitTorrent_DNA\\dna.exe"=
    "C:\\Program Files\\BitTorrent\\bittorrent.exe"=
    "C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "C:\\Program Files\\DNA\\btdna.exe"=


    .
    Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
    "2008-05-29 11:03:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - C:\Program Files\Apple Software Update\SoftwareUpdate.exe
    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-06-11 19:47:19
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\WINDOWS\system32\rundll32.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-06-11 19:50:54 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-06-11 18:50:50

    Pre-Run: 6,081,581,056 octets libres
    Post-Run: 6,268,866,560 octets libres

    115
    12 Juin 2008 10:38:55

    Bonjour,

    Je me demandais, est ce que je vais avoir des problemes apres?
    Car, j'ai un disque dur externe et j'ai peur que les dossiers sur mon disque dur externe soit infestes egalement.
    Dois-je l'allumer lorsque je scanne?
    Ma crainte est que le PC soit propre mais que le disque dur externe soit pollue.
    Ce qui fait que des que je vais le connecter, le PC va detecter un virus ou malware et me suppprimer le dossier concerne.
    Le DDExt contient toutes mes photos, films de vacances...
    Pourriez vous m'eclairer la dessus?
    Merci par avance.
    12 Juin 2008 19:10:47

    Re,

    Supprime C:\Documents and Settings\Lionel.MOUAIS.000\New Folder.exe .

    Poste un nouveau rapport HijackThis.

    Branche ton disque dur externe.

    Fais une analyse antivirus en ligne sur Kaspersky avec Internet Explorer.

  • Autorise les Active x.
  • Clique sur Démarrer Online Scanner.
  • Sélectionne le poste de travail comme analyse. Enregistres sous le rapport en format .txt.
  • Colle son rapport ici.
  • Poste un nouveau rapport Hijackthis.

    Aide : Comment faire un scan en ligne avec Kaspersky .
    14 Juin 2008 15:52:56

    J'ai supprime le fichier, et voici le premier rapport Hijackthis

    Logfile of HijackThis v1.99.1
    Scan saved at 14:49:16, on 14/06/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Unable to get Internet Explorer version!

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\Mixer.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\DNA\btdna.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\dllChache\Empty.jpg
    C:\WINDOWS\system32\dllChache\Blank.doc
    C:\WINDOWS\system32\dllChache\Zero.txt
    C:\WINDOWS\system32\dllChache\Hole.zip
    C:\WINDOWS\system32\dllChache\Unoccupied.reg
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Documents and Settings\Lionel.MOUAIS.000\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://french.icrfast.com/index.php?rvs=hompag
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, "C:\WINDOWS\system32\M5VBVM60.EXE StartUp"
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
    O2 - BHO: Burn4Free Toolbar Helper - {F8E5CA21-C27B-43e7-B2BE-4CA93C9F9A1F} - C:\Program Files\Burn4Free Toolbar\v2.0.0.1\Burn4Free_Toolbar.dll
    O3 - Toolbar: Burn4Free Toolbar - {70DE7956-479D-4eb7-8641-2B45774C350E} - C:\Program Files\Burn4Free Toolbar\v2.0.0.1\Burn4Free_Toolbar.dll
    O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [Blank AntiViri] C:\AUT0EXEC.BAT StartUp
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
    O4 - HKCU\..\Run: [Secure64] C:\WINDOWS\system32\dllcache\Regedit32.com StartUp
    O4 - HKCU\..\Run: [Secure32] C:\WINDOWS\system32\dllcache\Shell32.com StartUp
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe


    15 Juin 2008 10:40:59

    Voici le rapport Kapersky en ligne:

    --------------------------------------------------------------------------------
    KASPERSKY ONLINE SCANNER 7 REPORT
    Saturday, June 14, 2008
    Operating System: Microsoft Windows XP Professional Service Pack 2 (build 2600)
    Kaspersky Online Scanner 7 version: 7.0.25.0
    Program database last update: Saturday, June 14, 2008 12:34:22
    Records in database: 863449
    --------------------------------------------------------------------------------

    Scan settings:
    Scan using the following database: extended
    Scan archives: yes
    Scan mail databases: yes

    Scan area - My Computer:
    A:\
    C:\
    D:\
    E:\
    F:\
    G:\
    H:\

    Scan statistics:
    Files scanned: 174801
    Threat name: 3
    Infected objects: 46
    Suspicious objects: 0
    Duration of the scan: 05:48:36


    File name / Threat name / Threats count
    Empty.jpg\Empty.jpg/Empty.jpg\Empty.jpg Infected: Virus.Win32.VB.bg 1
    C:\WINDOWS\system32\dllChache\Empty.jpg/C:\WINDOWS\system32\dllChache\Empty.jpg Infected: Trojan.Win32.Pakes.cob 1
    Blank.doc\Blank.doc/Blank.doc\Blank.doc Infected: Virus.Win32.VB.bg 1
    C:\WINDOWS\system32\dllChache\Blank.doc/C:\WINDOWS\system32\dllChache\Blank.doc Infected: Trojan.Win32.Pakes.cob 1
    Zero.txt\Zero.txt/Zero.txt\Zero.txt Infected: Virus.Win32.VB.bg 1
    C:\WINDOWS\system32\dllChache\Zero.txt/C:\WINDOWS\system32\dllChache\Zero.txt Infected: Trojan.Win32.Pakes.cob 1
    Hole.zip\Hole.zip/Hole.zip\Hole.zip Infected: Virus.Win32.VB.bg 1
    C:\WINDOWS\system32\dllChache\Hole.zip/C:\WINDOWS\system32\dllChache\Hole.zip Infected: Trojan.Win32.Pakes.cob 1
    Unoccupied.reg\Unoccupied.reg/Unoccupied.reg\Unoccupied.reg Infected: Virus.Win32.VB.bg 1
    C:\WINDOWS\system32\dllChache\Unoccupied.reg/C:\WINDOWS\system32\dllChache\Unoccupied.reg Infected: Trojan.Win32.Pakes.cob 1
    C:\AUT0EXEC.BAT Infected: Trojan.Win32.Pakes.cob 1
    C:\Program Files\Rippackv3\Logiciels\codec\DivX5.02\DivXPro502GAINBundle.exe Infected: not-a-virus:AdWare.Win32.Gator.3202 1
    C:\QooBox\Quarantine\C\AUT0EXEC.BAT.vir Infected: Trojan.Win32.Pakes.cob 1
    C:\QooBox\Quarantine\C\WINDOWS\system32\dllcache\Regedit32.com.vir Infected: Trojan.Win32.Pakes.cob 1
    C:\QooBox\Quarantine\C\WINDOWS\system32\dllcache\Shell32.com.vir Infected: Trojan.Win32.Pakes.cob 1
    C:\QooBox\Quarantine\C\WINDOWS\system32\dllchache\Blank.doc.vir Infected: Trojan.Win32.Pakes.cob 1
    C:\QooBox\Quarantine\C\WINDOWS\system32\dllchache\Empty.jpg.vir Infected: Trojan.Win32.Pakes.cob 1
    C:\QooBox\Quarantine\C\WINDOWS\system32\dllchache\Hole.zip.vir Infected: Trojan.Win32.Pakes.cob 1
    C:\QooBox\Quarantine\C\WINDOWS\system32\dllchache\Unoccupied.reg.vir Infected: Trojan.Win32.Pakes.cob 1
    C:\QooBox\Quarantine\C\WINDOWS\system32\dllchache\Zero.txt.vir Infected: Trojan.Win32.Pakes.cob 1
    C:\QooBox\Quarantine\C\WINDOWS\system32\dllchache.exe.vir Infected: Trojan.Win32.Pakes.cob 1
    C:\QooBox\Quarantine\C\WINDOWS\system32\M5VBVM60.EXE.vir Infected: Trojan.Win32.Pakes.cob 1
    C:\QooBox\Quarantine\C\WINDOWS\system32\rund1132.exe.vir Infected: Trojan.Win32.Pakes.cob 1
    C:\QooBox\Quarantine\C\WINDOWS\system32.exe.vir Infected: Trojan.Win32.Pakes.cob 1
    C:\SDFix\backups\backups.zip Infected: Trojan.Win32.Pakes.cob 1
    C:\WINDOWS\system32\dllcache\Regedit32.com Infected: Trojan.Win32.Pakes.cob 1
    C:\WINDOWS\system32\dllcache\Shell32.com Infected: Trojan.Win32.Pakes.cob 1
    C:\WINDOWS\system32\dllchache\Blank.doc Infected: Trojan.Win32.Pakes.cob 1
    C:\WINDOWS\system32\dllchache\Empty.jpg Infected: Trojan.Win32.Pakes.cob 1
    C:\WINDOWS\system32\dllchache\Hole.zip Infected: Trojan.Win32.Pakes.cob 1
    C:\WINDOWS\system32\dllchache\Unoccupied.reg Infected: Trojan.Win32.Pakes.cob 1
    C:\WINDOWS\system32\dllchache\Zero.txt Infected: Trojan.Win32.Pakes.cob 1
    C:\WINDOWS\system32\dllchache.exe Infected: Trojan.Win32.Pakes.cob 1
    C:\WINDOWS\system32\M5VBVM60.EXE Infected: Trojan.Win32.Pakes.cob 1
    C:\WINDOWS\system32\rund1132.exe Infected: Trojan.Win32.Pakes.cob 1
    C:\WINDOWS\system32.exe Infected: Trojan.Win32.Pakes.cob 1
    G:\Vietnam.exe Infected: Trojan.Win32.Pakes.cob 1
    G:\Mamie a dév.exe Infected: Trojan.Win32.Pakes.cob 1
    G:\New Folder.exe Infected: Trojan.Win32.Pakes.cob 1
    H:\Photos\Sauvegarde_PC_Delph\2007\WE_Cork_Julie\DCIM.EXE Infected: Trojan.Win32.Pakes.cob 1
    H:\Photos\Sauvegarde_PC_Delph\2007\WE_Cork_Julie\NEWFOL~1.EXE Infected: Trojan.Win32.Pakes.cob 1
    H:\Utilitaire\Rippack\Rippackv3beta161.exe Infected: not-a-virus:AdWare.Win32.Gator.3202 1
    H:\Toshiba\Bureau\Partoches\Bruel.exe Infected: Trojan.Win32.Pakes.cob 1
    H:\Toshiba\DISQUE DONNEES\Photos\2007\Kinsale-Blarney.exe Infected: Trojan.Win32.Pakes.cob 1
    H:\Toshiba\DISQUE DONNEES\Photos\2007\WE_Cork_Julie\DCIM.EXE Infected: Trojan.Win32.Pakes.cob 1
    H:\Toshiba\DISQUE DONNEES\Photos\2007\WE_Cork_Julie\NEWFOL~1.EXE Infected: Trojan.Win32.Pakes.cob 1

    The selected area was scanned.
    15 Juin 2008 10:42:50

    Et voici le dernier Hijackthis:

    Merci par avance pour ton aide.


    Logfile of HijackThis v1.99.1
    Scan saved at 09:41:15, on 15/06/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Unable to get Internet Explorer version!

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\dllChache\Empty.jpg
    C:\WINDOWS\Mixer.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\DNA\btdna.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\WINDOWS\system32\dllChache\Blank.doc
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\dllChache\Zero.txt
    C:\WINDOWS\system32\dllChache\Hole.zip
    C:\WINDOWS\system32\dllChache\Unoccupied.reg
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Documents and Settings\Lionel.MOUAIS.000\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://french.icrfast.com/index.php?rvs=hompag
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, "C:\WINDOWS\system32\M5VBVM60.EXE StartUp"
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
    O2 - BHO: Burn4Free Toolbar Helper - {F8E5CA21-C27B-43e7-B2BE-4CA93C9F9A1F} - C:\Program Files\Burn4Free Toolbar\v2.0.0.1\Burn4Free_Toolbar.dll
    O3 - Toolbar: Burn4Free Toolbar - {70DE7956-479D-4eb7-8641-2B45774C350E} - C:\Program Files\Burn4Free Toolbar\v2.0.0.1\Burn4Free_Toolbar.dll
    O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [Blank AntiViri] C:\AUT0EXEC.BAT StartUp
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
    O4 - HKCU\..\Run: [Secure64] C:\WINDOWS\system32\dllcache\Regedit32.com StartUp
    O4 - HKCU\..\Run: [Secure32] C:\WINDOWS\system32\dllcache\Shell32.com StartUp
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

    15 Juin 2008 11:55:19

    Repasse ComboFix en mode sans échec avec ce script.

    Sélectionne l'intégralité du cadre ci-dessous :

    Collect::
    C:\AUT0EXEC.BAT
    G:\Vietnam.exe
    G:\Mamie a dév.exe
    G:\New Folder.exe
    C:\WINDOWS\system32\dllChache\Empty.jpg
    C:\WINDOWS\system32\dllChache\Blank.doc
    C:\WINDOWS\system32\dllChache\Zero.txt
    C:\WINDOWS\system32\dllChache\Hole.zip
    C:\WINDOWS\system32\dllChache\Unoccupied.reg

    File::
    C:\WINDOWS\system32\dllcache\Regedit32.com
    C:\WINDOWS\system32\dllcache\Shell32.com
    C:\WINDOWS\system32\dllchache\Zero.txt
    C:\WINDOWS\system32\dllchache.exe
    C:\WINDOWS\system32\M5VBVM60.EXE
    C:\WINDOWS\system32\rund1132.exe
    C:\WINDOWS\system32.exe
    H:\Photos\Sauvegarde_PC_Delph\2007\WE_Cork_Julie\DCIM.EXE
    H:\Photos\Sauvegarde_PC_Delph\2007\WE_Cork_Julie\NEWFOL~1.EXE
    H:\Utilitaire\Rippack\Rippackv3beta161.exe
    H:\Toshiba\Bureau\Partoches\Bruel.exe
    H:\Toshiba\DISQUE DONNEES\Photos\2007\Kinsale-Blarney.exe
    H:\Toshiba\DISQUE DONNEES\Photos\2007\WE_Cork_Julie\DCIM.EXE 1
    H:\Toshiba\DISQUE DONNEES\Photos\2007\WE_Cork_Julie\NEWFOL~1.EXE
    C:\Program Files\Rippackv3\Logiciels\codec\DivX5.02\DivXPro502GAINBundle.exe

    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Secure64"=-
    "Secure32"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Blank AntiViri"=-


    Cela va relancer Combofix. Après redémarrage, poste le contenu du rapport ComboFix.txt.
    S'il n'y a pas de rédémarrage, poste quand même le rapport.

  • Copie/colle le dans le Bloc Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
  • Enregistre le sous sur ton bureau sous le nom de CFScript.txt
  • Glisse maintenant le fichier CFScript.txt dans ComboFix.exe comme ci-dessous :

  • Cela va relancer Combofix. Poste le contenu du rapport ComboFix.txt après redémarrage s'il y en a un.




    16 Juin 2008 10:02:07

    Voila le rapport ComboFix:
    Le PC n'a pas redemarré. Merci pour ton aide.

    ComboFix 08-06-10.5 - Lionel 2008-06-16 8:28:40.2 - NTFSx86 NETWORK
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.385 [GMT 1:00]
    Endroit: C:\Documents and Settings\Lionel.MOUAIS.000\Bureau\ComboFix.exe
    Command switches used :: C:\Documents and Settings\Lionel.MOUAIS.000\Bureau\CFScript.txt

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

    FILE ::
    C:\Program Files\Rippackv3\Logiciels\codec\DivX5.02\DivXPro502GAINBundle.exe
    C:\WINDOWS\system32.exe
    C:\WINDOWS\system32\dllcache\Regedit32.com
    C:\WINDOWS\system32\dllcache\Shell32.com
    C:\WINDOWS\system32\dllchache.exe
    C:\WINDOWS\system32\dllchache\Zero.txt
    C:\WINDOWS\system32\M5VBVM60.EXE
    C:\WINDOWS\system32\rund1132.exe
    H:\Photos\Sauvegarde_PC_Delph\2007\WE_Cork_Julie\DCIM.EXE
    H:\Photos\Sauvegarde_PC_Delph\2007\WE_Cork_Julie\NEWFOL~1.EXE
    H:\Toshiba\Bureau\Partoches\Bruel.exe
    H:\Toshiba\DISQUE DONNEES\Photos\2007\Kinsale-Blarney.exe
    H:\Toshiba\DISQUE DONNEES\Photos\2007\WE_Cork_Julie\DCIM.EXE 1
    H:\Toshiba\DISQUE DONNEES\Photos\2007\WE_Cork_Julie\NEWFOL~1.EXE
    H:\Utilitaire\Rippack\Rippackv3beta161.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    H:\Autorun.inf

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2008-05-16 to 2008-06-16 ))))))))))))))))))))))))))))))))))))
    .

    2008-06-14 14:42 . 2008-06-14 14:42 <REP> dr-hs---- C:\Documents and Settings\Lionel.MOUAIS.000\New Folder
    2008-06-11 19:18 . 2008-06-11 19:18 <REP> d-------- C:\WINDOWS\ERUNT
    2008-06-11 19:07 . 2008-06-11 19:29 <REP> d-------- C:\SDFix

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-06-16 07:26 --------- d-----w C:\Documents and Settings\Lionel.MOUAIS.000\Application Data\DNA
    2008-05-28 10:56 --------- d-----w C:\Program Files\eMule
    2008-05-24 19:19 --------- d-----w C:\Documents and Settings\Lionel.MOUAIS.000\Application Data\BitTorrent
    2008-05-13 17:26 --------- d-----w C:\Program Files\SopCast
    2008-05-13 17:26 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Apple Computer
    2008-03-07 21:28 15,397 ----a-w C:\Program Files\settings.dat
    2007-07-18 08:39 17,144 -c--a-w C:\Documents and Settings\Lionel.MOUAIS.000\Application Data\GDIPFONTCACHEV1.DAT
    2006-01-17 19:08 8,174,341 ----a-w C:\Program Files\BlazeDVDSetup-Standard.exe
    2006-01-17 19:05 12,141,518 ----a-w C:\Program Files\PDVD_6_trial.exe
    2007-07-12 21:20 56 --sh--r C:\WINDOWS\system32\43DE0CFD15.sys
    2007-07-12 21:20 1,682 -csha-w C:\WINDOWS\system32\KGyGaAvL.sys
    2004-08-04 00:54 1,392,671 -csh--r C:\WINDOWS\system32\dllcache\msvbvm60.dll
    .

    ((((((((((((((((((((((((((((( snapshot@2008-06-11_19.50.38.82 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2008-06-11 18:43:17 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2008-06-16 07:27:09 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:54 15360]
    "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2005-08-13 22:32 7081984]
    "BitTorrent DNA"="C:\Program Files\DNA\btdna.exe" [2008-05-12 12:38 289088]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "C-Media Mixer"="Mixer.exe" [2002-10-15 18:00 1818624 C:\WINDOWS\mixer.exe]
    "RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24 32768]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:54 15360]

    C:\Documents and Settings\All Users.WINDOWS\Menu D‚marrer\Programmes\D‚marrage\
    Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 04:44:06 29696]
    Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "VIDC.YV12"= yv12vfw.dll

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\eMule\\emule.exe"=
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\FileZilla\\FileZilla.exe"=
    "C:\\Program Files\\Messenger\\msmsgs.exe"=
    "C:\\Program Files\\BitTorrent_DNA\\dna.exe"=
    "C:\\Program Files\\BitTorrent\\bittorrent.exe"=
    "C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "C:\\Program Files\\DNA\\btdna.exe"=


    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
    "2008-05-29 11:03:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - C:\Program Files\Apple Software Update\SoftwareUpdate.exe
    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-06-16 08:30:00
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************
    .
    Temps d'accomplissement: 2008-06-16 8:31:27
    ComboFix-quarantined-files.txt 2008-06-16 07:31:03
    ComboFix2.txt 2008-06-15 17:14:10
    ComboFix3.txt 2008-06-11 18:50:55

    Pre-Run: 8,409,976,832 octets libres
    Post-Run: 8,391,946,240 octets libres

    106
    16 Juin 2008 11:24:15

    Re,

    Tu as fait deux fois le CFscript je présume.

    Supprime ce dossier :
    - C:\Documents and Settings\Lionel.MOUAIS.000\New Folder

    Puis :

    Télécharge MalwareByte's Anti-Malware sur ton Bureau.

  • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.

    Une fois l'installation et la mise à jour effectuées :
    Redémarre en mode sans échec
    /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche, clic sur"Rechercher".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
    -- si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
    -- si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau afin de le poster dans ta prochaine réponse.

    REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.[/#f]

    [#FF0000]Aide
    : Comment utiliser MBAM.
    17 Juin 2008 10:09:00

    Effectivement, j'ai fait deux fois le script.

    J'ai scanne avec MalwareByte's Anti-Malware et le programme n'a rien trouve.
    Le rapport est ci dessous.
    Ca veut dire que c'est clean?
    Merci pour ton aide.

    Malwarebytes' Anti-Malware 1.17
    Version de la base de données: 862

    08:00:26 17/06/2008
    mbam-log-6-17-2008 (08-00-26).txt

    Type de recherche: Examen complet (C:\|D:\|H:\|)
    Eléments examinés: 243340
    Temps écoulé: 6 hour(s), 3 minute(s), 21 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)


    17 Juin 2008 10:40:36

    Ok, c'est comment maintenant ?
    Poste un nouveau rapport HJT.
    17 Juin 2008 15:37:23

    Salut,

    Ca a l'air beaucoup mieux, plus de probleme avec la panneau de configuration ni avec internet.
    Je vais essayer d'installer un antivirus ce soir.
    Je pensais a AVG, qu'est ce que tu conseilles?

    Autre chose, j'ai le meme probleme sur mon portable, je pensais repeter toutes les etapes jusqu'a Kapersky en ligne et poster tout ca ici. Pourrais tu alors me generer le CFScript necessaire pour ComboFix?
    C'est correct si je fais ca?

    Merci en tout cas pour ton aide, je poste mon dernier rapport HJT ce soir.
    17 Juin 2008 17:25:46

    Poste un nouveau rapport HJT.
    17 Juin 2008 19:23:41

    Voici mon rapport HJT.


    Logfile of HijackThis v1.99.1
    Scan saved at 18:19:37, on 17/06/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Unable to get Internet Explorer version!

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\Mixer.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\DNA\btdna.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Documents and Settings\Lionel.MOUAIS.000\Bureau\HijackThis.exe
    C:\WINDOWS\system32\wuauclt.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://french.icrfast.com/index.php?rvs=hompag
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, "C:\WINDOWS\system32\M5VBVM60.EXE StartUp"
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
    O2 - BHO: Burn4Free Toolbar Helper - {F8E5CA21-C27B-43e7-B2BE-4CA93C9F9A1F} - C:\Program Files\Burn4Free Toolbar\v2.0.0.1\Burn4Free_Toolbar.dll
    O3 - Toolbar: Burn4Free Toolbar - {70DE7956-479D-4eb7-8641-2B45774C350E} - C:\Program Files\Burn4Free Toolbar\v2.0.0.1\Burn4Free_Toolbar.dll
    O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [Blank AntiViri] C:\AUT0EXEC.BAT StartUp
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
    O4 - HKCU\..\Run: [Secure64] C:\WINDOWS\system32\dllcache\Regedit32.com StartUp
    O4 - HKCU\..\Run: [Secure32] C:\WINDOWS\system32\dllcache\Shell32.com StartUp
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINDOWS\PSEXESVC.EXE (file missing)
    17 Juin 2008 19:52:26

    Refais un passage Combofix pour voir ...
    19 Juin 2008 22:00:14

    Voila mon rapport ComboFix:
    Merci.

    ComboFix 08-06-10.5 - Lionel 2008-06-19 20:49:03.2 - NTFSx86 NETWORK
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.388 [GMT 1:00]
    Endroit: C:\Documents and Settings\Lionel.MOUAIS.000\Bureau\ComboFix.exe

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    ((((((((((((((((((((((((((((( Fichiers créés 2008-05-19 to 2008-06-19 ))))))))))))))))))))))))))))))))))))
    .

    2008-06-16 20:36 . 2008-06-16 20:36 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
    2008-06-16 20:36 . 2008-06-16 20:36 <REP> d-------- C:\Documents and Settings\Lionel.MOUAIS.000\Application Data\Malwarebytes
    2008-06-16 20:36 . 2008-06-16 20:36 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Malwarebytes
    2008-06-16 20:36 . 2008-06-10 19:02 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
    2008-06-16 20:36 . 2008-06-10 19:02 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
    2008-06-14 14:42 . 2008-06-14 14:42 <REP> dr-hs---- C:\Documents and Settings\Lionel.MOUAIS.000\New Folder
    2008-06-11 19:18 . 2008-06-11 19:18 <REP> d-------- C:\WINDOWS\ERUNT
    2008-06-11 19:07 . 2008-06-11 19:29 <REP> d-------- C:\SDFix

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-06-19 19:47 --------- d-----w C:\Documents and Settings\Lionel.MOUAIS.000\Application Data\DNA
    2008-05-28 10:56 --------- d-----w C:\Program Files\eMule
    2008-05-24 19:19 --------- d-----w C:\Documents and Settings\Lionel.MOUAIS.000\Application Data\BitTorrent
    2008-05-13 17:26 --------- d-----w C:\Program Files\SopCast
    2008-05-13 17:26 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Apple Computer
    2008-03-07 21:28 15,397 ----a-w C:\Program Files\settings.dat
    2007-07-18 08:39 17,144 -c--a-w C:\Documents and Settings\Lionel.MOUAIS.000\Application Data\GDIPFONTCACHEV1.DAT
    2006-01-17 19:08 8,174,341 ----a-w C:\Program Files\BlazeDVDSetup-Standard.exe
    2006-01-17 19:05 12,141,518 ----a-w C:\Program Files\PDVD_6_trial.exe
    2007-07-12 21:20 56 --sh--r C:\WINDOWS\system32\43DE0CFD15.sys
    2007-07-12 21:20 1,682 -csha-w C:\WINDOWS\system32\KGyGaAvL.sys
    2004-08-04 00:54 1,392,671 -csh--r C:\WINDOWS\system32\dllcache\msvbvm60.dll
    .

    ((((((((((((((((((((((((((((( snapshot@2008-06-11_19.50.38.82 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2008-06-11 18:43:17 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2008-06-19 19:48:02 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:54 15360]
    "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2005-08-13 22:32 7081984]
    "BitTorrent DNA"="C:\Program Files\DNA\btdna.exe" [2008-05-12 12:38 289088]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "C-Media Mixer"="Mixer.exe" [2002-10-15 18:00 1818624 C:\WINDOWS\mixer.exe]
    "RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24 32768]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:54 15360]

    C:\Documents and Settings\All Users.WINDOWS\Menu D‚marrer\Programmes\D‚marrage\
    Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 04:44:06 29696]
    Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "VIDC.YV12"= yv12vfw.dll

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\eMule\\emule.exe"=
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\FileZilla\\FileZilla.exe"=
    "C:\\Program Files\\Messenger\\msmsgs.exe"=
    "C:\\Program Files\\BitTorrent_DNA\\dna.exe"=
    "C:\\Program Files\\BitTorrent\\bittorrent.exe"=
    "C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "C:\\Program Files\\DNA\\btdna.exe"=


    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
    "2008-05-29 11:03:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - C:\Program Files\Apple Software Update\SoftwareUpdate.exe
    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-06-19 20:50:34
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************
    .
    Temps d'accomplissement: 2008-06-19 20:51:45
    ComboFix-quarantined-files.txt 2008-06-19 19:51:42
    ComboFix2.txt 2008-06-16 07:31:28
    ComboFix3.txt 2008-06-15 17:14:10
    ComboFix4.txt 2008-06-11 18:50:55

    Pre-Run: 8,323,604,480 octets libres
    Post-Run: 8,316,022,784 octets libres

    91
    20 Juin 2008 06:53:35

    - Poste de travail/outils/option des dossiers/affichage/afficher les fichiers et dossiers cachés/Appliquer - - > OK
    - Poste de travail/outils/option des dossiers/affichage/décocher masquer les fichiers protégés du système d’exploitation./Appliquer - - > OK

    Ok, supprime C:\Documents and Settings\Lionel.MOUAIS.000\New Folder

    ***********

    Relance HijackThis (clique droit -> lancer en tant qu'adminstrateur sous Vista), do a system scan only, coche ces lignes (si toujours présentes) :
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://french.icrfast.com/index.php?rvs=hompag
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, "C:\WINDOWS\system32\M5VBVM60.EXE StartUp"
    O4 - HKLM\..\Run: [Blank AntiViri] C:\AUT0EXEC.BAT StartUp
    O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
    O4 - HKCU\..\Run: [Secure64] C:\WINDOWS\system32\dllcache\Regedit32.com StartUp
    O4 - HKCU\..\Run: [Secure32] C:\WINDOWS\system32\dllcache\Shell32.com StartUp
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINDOWS\PSEXESVC.EXE (file missing)

    Ferme toutes les applications en cours (particulièrement ton navigateur Internet).
    Puis Fix Checked !

    *************

    Sélectionne l’intégralité du cadre ci-dessous (espaces compris) :
    REGEDIT4

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    "Start Page"="www.google.fr"


    Copie/colle le dans le Bloc Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
    Enregistre le sous sur ton Bureau sous le nom de Correction.reg
    Double-clique dessus, accepte l’inscription des données.

    ++++++++++

    Toujours des dysfonctionnements ?
    21 Juin 2008 18:00:41

    Non, ça a l'air beaucoup mieux, plus de probleme avec la panneau de configuration ni avec internet.
    Je vais essayer d'installer un antivirus.
    Je pensais a AVG, qu'est ce que tu conseilles?
    22 Juin 2008 14:22:20

    Poste un nouveau rapport HJT. On va voir ça ;) 
    23 Juin 2008 20:24:13

    Voila...

    Logfile of HijackThis v1.99.1
    Scan saved at 19:24:55, on 23/06/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Unable to get Internet Explorer version!

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\Mixer.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jucheck.exe
    C:\Documents and Settings\Lionel.MOUAIS.000\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
    O2 - BHO: Burn4Free Toolbar Helper - {F8E5CA21-C27B-43e7-B2BE-4CA93C9F9A1F} - C:\Program Files\Burn4Free Toolbar\v2.0.0.1\Burn4Free_Toolbar.dll
    O3 - Toolbar: Burn4Free Toolbar - {70DE7956-479D-4eb7-8641-2B45774C350E} - C:\Program Files\Burn4Free Toolbar\v2.0.0.1\Burn4Free_Toolbar.dll
    O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINDOWS\PSEXESVC.EXE (file missing)

    23 Juin 2008 20:50:08

    Re,

    Télécharge AntiVir sur ton Bureau.

  • Double clique sur l'exécutable téléchargé pour lancer l'installation.
  • A la fin de l'installation, clique sur Finish.
  • Ouvre Antivir, assure-toi qu’il soit bien à jour !

    Aide : Comment installer et utiliser AntiVir.
    24 Juin 2008 18:39:50

    OK merci.
    Ca veut dire que c'est clean maintenant?
    Merci pour ton aide.
    25 Juin 2008 12:42:34

    Yes.

    Sélectionne l’intégralité du cadre ci-dessous :
    @echo off & cls
    sc config PSEXESVC start= disabled
    sc delete PSEXESVC
    exit

    Copie/colle le dans le Bloc Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
    Enregistre le sous sur ton bureau sous le nom de Correction.bat
    Double-clique dessus. Poste le rapport généré (si présent).

    Fixe cette ligne via HijackThis :
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"


    ***********

    Télécharge ToolsCleaner2 (de A.Rothstein)

  • Installe le sur ton Bureau.
  • Clique sur Recherche pour lancer le scan.
  • Clique sur Supprimer pour nettoyer les outils utilisés.
  • Clique sur Quitter.
  • Poste ce rapport ~>C:\TCleaner.txt<~

  • Garde Ccleaner, Avg (ou MBAM) et AntiVir si nous les avons installés..
  • Désactive-réactive la restauration système.
  • Rapporte ton infection sur Malware Complaints >Tuto<
  • Ton(tes) infection(s) : Brontok.
  • Si tu ne la trouves pas dans la liste, poste dans Autres infections,

  • Mets ton ordi correctement à jour >ici<
  • Si ce n'est pas fait, assure-toi que les Mises à jour Automatiques Windows soient activées !

    Puis regarde ces dossiers :

    - Sécurité/Prévention
    - Conséquences de la multi-protection
    - Toolbars : Inutilité et ralentissements

    Bonne journée/soirée :) 
    26 Juin 2008 20:16:25

    Merci pour toutes ces infos.
    Le premier rapport n'a pas ete genere.
    Voila le deuxieme avec Toolscleaner.

    -->- Recherche:

    C:\SDFIX: trouvé !
    C:\Qoobox: trouvé !
    C:\Documents and Settings\Lionel.MOUAIS.000\Bureau\SdFix.exe: trouvé !
    C:\Documents and Settings\Lionel.MOUAIS.000\Bureau\ComboFix.exe: trouvé !
    C:\Documents and Settings\Lionel.MOUAIS.000\Bureau\HijackThis.exe: trouvé !
    C:\Documents and Settings\Lionel.MOUAIS.000\Recent\HijackThis.lnk: trouvé !

    ---------------------------------
    -->- Suppression:

    C:\Documents and Settings\Lionel.MOUAIS.000\Bureau\SdFix.exe: supprimé !
    C:\Documents and Settings\Lionel.MOUAIS.000\Bureau\ComboFix.exe: supprimé !
    C:\Documents and Settings\Lionel.MOUAIS.000\Bureau\HijackThis.exe: supprimé !
    C:\Documents and Settings\Lionel.MOUAIS.000\Recent\HijackThis.lnk: supprimé !
    C:\SDFIX: supprimé !
    C:\Qoobox: supprimé !

    J'irais rapporter mon infection des demain.

    Mon portable a le meme probleme dois recreer un topic ou je peux continuer la dessus.
    Merci encore.

    26 Juin 2008 20:17:05

    Bien :) 

    Tu peux continuer ici si tu veux.
    29 Juin 2008 12:45:17

    Merci pour ton aide, j'ai posté mon infection sur le forum indiqué.

    Concernant mon portable, j'ai passé HJT puis SDFix puis j'ai essayé ComboFix mqis ça ne démarre pas, j'obtiens une fenêtre NirCmd.
    Ensuite j'ai repassé HJT.
    Les rapport sont dessous.

    Voici mon premier rapport HJT:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 10:30:06, on 29/06/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\dllChache\Empty.jpg
    C:\WINDOWS\system32\dllChache\Blank.doc
    C:\WINDOWS\system32\dllChache\Zero.txt
    C:\WINDOWS\system32\dllChache\Hole.zip
    C:\WINDOWS\system32\dllChache\Unoccupied.reg
    C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\WINDOWS\Excentrix\Excentrix.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?linkid=677
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, "C:\WINDOWS\system32\M5VBVM60.EXE StartUp"
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
    O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Program Files\NavExcel Search Toolbar\NavExcelBar.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Program Files\NavExcel Search Toolbar\NavExcelBar.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
    O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"
    O4 - HKLM\..\Run: [Auto Run Software for Photo Frame] "C:\Program Files\Philips\Auto Run Software for Photo Frame\PhotoManager.exe" /autorun
    O4 - HKLM\..\Run: [Blank AntiViri] C:\AUT0EXEC.BAT StartUp
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [Secure64] C:\WINDOWS\system32\dllcache\Regedit32.com StartUp
    O4 - HKCU\..\Run: [Secure32] C:\WINDOWS\system32\dllcache\Shell32.com StartUp
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-21-783974589-2084191222-3124561269-1006\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
    O4 - HKUS\S-1-5-21-783974589-2084191222-3124561269-1006\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (User '?')
    O4 - HKUS\S-1-5-21-783974589-2084191222-3124561269-1006\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized (User '?')
    O4 - HKUS\S-1-5-21-783974589-2084191222-3124561269-1006\..\Run: [Secure64] C:\WINDOWS\system32\dllcache\Regedit32.com StartUp (User '?')
    O4 - HKUS\S-1-5-21-783974589-2084191222-3124561269-1006\..\Run: [Secure32] C:\WINDOWS\system32\dllcache\Shell32.com StartUp (User '?')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Excentrix.lnk = C:\WINDOWS\Excentrix\Excentrix.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe

    --
    End of file - 6929 bytes



    Voice mon rapport SDFix:


    SDFix: Version 1.198
    Run by GARCIA DELPHINE on 29/06/2008 at 10:43

    Microsoft Windows XP [version 5.1.2600]
    Running From: C:\SDFix

    Checking Services :


    Restoring Default Security Values
    Restoring Default Hosts File

    Rebooting


    Checking Files :

    Trojan Files Found:

    C:\WINDOWS\system32.exe - Deleted





    Removing Temp Files

    ADS Check :



    Final Check :

    catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-06-29 11:08:12
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden services & system hive ...

    scanning hidden registry entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0


    Remaining Services :




    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\Program Files\\IncrediMail\\bin\\IMApp.exe"="C:\\Program Files\\IncrediMail\\bin\\IMApp.exe:*:Enabled:IncrediMail"
    "C:\\Program Files\\IncrediMail\\bin\\IncMail.exe"="C:\\Program Files\\IncrediMail\\bin\\IncMail.exe:*:Enabled:IncrediMail"
    "C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"="C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe:*:Enabled:IncrediMail"
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
    "C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
    "C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
    "C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

    Remaining Files :


    File Backups: - C:\SDFix\backups\backups.zip

    Files with Hidden Attributes :

    Thu 5 Aug 2004 1,392,671 ..SHR --- "C:\msvbvm60.dll"
    Tue 29 Aug 2006 26,977,792 A..H. --- "C:\DISQUE DONNEES\Vailhauques\~WRL3836.tmp"
    Thu 28 Jun 2007 34,304 ..SHR --- "C:\WINDOWS\system32\M5VBVM60.EXE"
    Mon 23 Feb 2004 1,386,496 ..SHR --- "C:\WINDOWS\system32\MSVBVM60.DLL"
    Thu 28 Jun 2007 34,304 ..SHR --- "C:\WINDOWS\system32\rund1132.exe"
    Sat 21 Jun 2008 24,576 ...H. --- "C:\Documents and Settings\GARCIA DELPHINE\Bureau\~WRL3416.tmp"
    Thu 5 Aug 2004 1,392,671 ..SHR --- "C:\WINDOWS\system32\dllcache\msvbvm60.dll"
    Thu 28 Jun 2007 34,304 ..SHR --- "C:\WINDOWS\system32\dllcache\Regedit32.com"
    Thu 28 Jun 2007 34,304 ..SHR --- "C:\WINDOWS\system32\dllcache\Shell32.com"
    Thu 28 Jun 2007 34,304 ..SHR --- "C:\WINDOWS\system32\dllchache\Hole.zip"
    Thu 5 Aug 2004 1,392,671 ..SHR --- "C:\WINDOWS\system32\dllchache\msvbvm60.dll"
    Thu 28 Jun 2007 34,304 ..SHR --- "C:\WINDOWS\system32\dllchache\Unoccupied.reg"
    Fri 8 Sep 2006 12,824,064 A..H. --- "C:\DISQUE DONNEES\Cours\IAE\Galeries Lafayette\~WRL0039.tmp"
    Tue 12 Sep 2006 14,157,824 A..H. --- "C:\DISQUE DONNEES\Cours\IAE\Galeries Lafayette\~WRL1215.tmp"
    Mon 11 Sep 2006 14,249,472 A..H. --- "C:\DISQUE DONNEES\Cours\IAE\Galeries Lafayette\~WRL1218.tmp"
    Wed 6 Sep 2006 3,600,384 A..H. --- "C:\DISQUE DONNEES\Cours\IAE\Galeries Lafayette\~WRL2592.tmp"
    Thu 7 Sep 2006 3,601,920 A..H. --- "C:\DISQUE DONNEES\Cours\IAE\Galeries Lafayette\~WRL3163.tmp"
    Fri 8 Sep 2006 14,228,480 A..H. --- "C:\DISQUE DONNEES\Cours\IAE\Galeries Lafayette\~WRL3942.tmp"
    Sun 16 Apr 2006 782,336 A.SH. --- "C:\Documents and Settings\GARCIA DELPHINE\Bureau\Kinsale-Blarney\SIV45.tmp"
    Wed 5 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\5c703fe0947475848e966b61999878d1\BIT3.tmp"
    Tue 18 Jan 2005 25,600 A..H. --- "C:\DISQUE DONNEES\Cours\IDRAC\Pas moi\m‚moire MDE\~WRL0170.tmp"
    Tue 18 Jan 2005 27,648 A..H. --- "C:\DISQUE DONNEES\Cours\IDRAC\Pas moi\m‚moire MDE\~WRL0369.tmp"
    Tue 18 Jan 2005 117,760 A..H. --- "C:\DISQUE DONNEES\Cours\IDRAC\Pas moi\m‚moire MDE\~WRL0505.tmp"
    Tue 18 Jan 2005 116,224 A..H. --- "C:\DISQUE DONNEES\Cours\IDRAC\Pas moi\m‚moire MDE\~WRL0587.tmp"
    Tue 18 Jan 2005 155,648 A..H. --- "C:\DISQUE DONNEES\Cours\IDRAC\Pas moi\m‚moire MDE\~WRL0755.tmp"
    Tue 18 Jan 2005 117,760 A..H. --- "C:\DISQUE DONNEES\Cours\IDRAC\Pas moi\m‚moire MDE\~WRL0842.tmp"
    Tue 18 Jan 2005 25,600 A..H. --- "C:\DISQUE DONNEES\Cours\IDRAC\Pas moi\m‚moire MDE\~WRL1472.tmp"
    Tue 18 Jan 2005 122,880 A..H. --- "C:\DISQUE DONNEES\Cours\IDRAC\Pas moi\m‚moire MDE\~WRL1765.tmp"
    Tue 18 Jan 2005 159,232 A..H. --- "C:\DISQUE DONNEES\Cours\IDRAC\Pas moi\m‚moire MDE\~WRL2068.tmp"
    Tue 18 Jan 2005 114,176 A..H. --- "C:\DISQUE DONNEES\Cours\IDRAC\Pas moi\m‚moire MDE\~WRL2115.tmp"
    Tue 18 Jan 2005 118,272 A..H. --- "C:\DISQUE DONNEES\Cours\IDRAC\Pas moi\m‚moire MDE\~WRL2279.tmp"
    Tue 18 Jan 2005 126,464 A..H. --- "C:\DISQUE DONNEES\Cours\IDRAC\Pas moi\m‚moire MDE\~WRL2328.tmp"
    Tue 18 Jan 2005 114,688 A..H. --- "C:\DISQUE DONNEES\Cours\IDRAC\Pas moi\m‚moire MDE\~WRL2429.tmp"
    Tue 18 Jan 2005 125,952 A..H. --- "C:\DISQUE DONNEES\Cours\IDRAC\Pas moi\m‚moire MDE\~WRL2987.tmp"
    Mon 25 Jul 2005 591,872 A..H. --- "C:\DISQUE DONNEES\Cours\IDRAC\2004_2005\Auchan\Donn‚es stage\~WRL2858.tmp"
    Tue 25 Jan 2005 72,192 A..H. --- "C:\DISQUE DONNEES\Cours\IDRAC\2004_2005\Publipromotionnel\HUILE D'OLIVE\~WRL0004.tmp"
    Fri 18 Feb 2005 243,712 A..H. --- "C:\DISQUE DONNEES\Cours\IDRAC\2004_2005\Publipromotionnel\HUILE D'OLIVE\~WRL1130.tmp"
    Fri 18 Feb 2005 138,752 A..H. --- "C:\DISQUE DONNEES\Cours\IDRAC\2004_2005\Publipromotionnel\HUILE D'OLIVE\~WRL2150.tmp"

    Finished!

    Et voila mon dernier HJT:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 11:39:58, on 29/06/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\dllChache\Empty.jpg
    C:\WINDOWS\system32\dllChache\Blank.doc
    C:\WINDOWS\system32\dllChache\Zero.txt
    C:\WINDOWS\system32\dllChache\Hole.zip
    C:\WINDOWS\system32\dllChache\Unoccupied.reg
    C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\WINDOWS\Excentrix\Excentrix.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?linkid=677
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, "C:\WINDOWS\system32\M5VBVM60.EXE StartUp"
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
    O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Program Files\NavExcel Search Toolbar\NavExcelBar.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Program Files\NavExcel Search Toolbar\NavExcelBar.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
    O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"
    O4 - HKLM\..\Run: [Auto Run Software for Photo Frame] "C:\Program Files\Philips\Auto Run Software for Photo Frame\PhotoManager.exe" /autorun
    O4 - HKLM\..\Run: [Blank AntiViri] C:\AUT0EXEC.BAT StartUp
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [Secure64] C:\WINDOWS\system32\dllcache\Regedit32.com StartUp
    O4 - HKCU\..\Run: [Secure32] C:\WINDOWS\system32\dllcache\Shell32.com StartUp
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-21-783974589-2084191222-3124561269-1006\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
    O4 - HKUS\S-1-5-21-783974589-2084191222-3124561269-1006\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (User '?')
    O4 - HKUS\S-1-5-21-783974589-2084191222-3124561269-1006\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized (User '?')
    O4 - HKUS\S-1-5-21-783974589-2084191222-3124561269-1006\..\Run: [Secure64] C:\WINDOWS\system32\dllcache\Regedit32.com StartUp (User '?')
    O4 - HKUS\S-1-5-21-783974589-2084191222-3124561269-1006\..\Run: [Secure32] C:\WINDOWS\system32\dllcache\Shell32.com StartUp (User '?')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Excentrix.lnk = C:\WINDOWS\Excentrix\Excentrix.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe

    --
    End of file - 7093 bytes

    29 Juin 2008 14:45:07

    Comment ça se fait que tu as la même infection sur les deux ordinateurs ?

  • Fais un scan en ligne Kaspersky avec Internet Explorer :
  • Clique sur
  • Clique maintenant sur J'accepte.
  • Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  • Patiente pendant l'installation des Mises à jour.
  • Choisis par la suite l'analyse du Poste de travail
  • Sauvegarde puis colle le rapport généré en fin d'analyse.

    AIDE : Tuto sur le scan en ligne

    NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
    30 Juin 2008 00:28:24

    Bonsoir,

    Les deux sont infectés car nous avons transféré des données par clé USB de l'un à l'autre. Les mises à jour n'ont pas été faites sur F-prot Antivirus

    Voici le rapport Kaperski.

    -------------------------------------------------------------------------------
    KASPERSKY ON-LINE SCANNER REPORT
    Sunday, June 29, 2008 11:23:20 PM
    Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
    Kaspersky On-line Scanner version : 5.0.83.0
    Dernière mise à jour de la base antivirus Kaspersky : 29/06/2008
    Enregistrements dans la base antivirus Kaspersky : 799942
    -------------------------------------------------------------------------------

    Paramètres d'analyse:
    Analyser avec la base antivirus suivante: standard
    Analyser les archives: vrai
    Analyser les bases de messagerie: vrai

    Cible de l'analyse - Poste de travail:
    C:\
    D:\

    Statistiques de l'analyse:
    Total d'objets analysés: 81525
    Nombre de virus trouvés: 1
    Nombre d'objets infectés: 20 / 0
    Nombre d'objets suspects: 0
    Durée de l'analyse: 01:42:21

    Nom de l'objet infecté / Nom du virus / Dernière action
    C:\AUT0EXEC.BAT Infecté : Trojan.Win32.Pakes.cob ignoré
    C:\DISQUE DONNEES\Lionel\Partoches\Bruel.exe Infecté : Trojan.Win32.Pakes.cob ignoré
    C:\DISQUE DONNEES\Photos\2007\Kinsale-Blarney.exe Infecté : Trojan.Win32.Pakes.cob ignoré
    C:\DISQUE DONNEES\Photos\2007\WE_Cork_Julie\DCIM.EXE Infecté : Trojan.Win32.Pakes.cob ignoré
    C:\DISQUE DONNEES\Photos\2007\WE_Cork_Julie\NEWFOL~1.EXE Infecté : Trojan.Win32.Pakes.cob ignoré
    C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\GARCIA DELPHINE\Cookies\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\GARCIA DELPHINE\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\GARCIA DELPHINE\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\GARCIA DELPHINE\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\GARCIA DELPHINE\Local Settings\Temp\~DF2007.tmp L'objet est verrouillé ignoré
    C:\Documents and Settings\GARCIA DELPHINE\Local Settings\Temp\~DF259B.tmp L'objet est verrouillé ignoré
    C:\Documents and Settings\GARCIA DELPHINE\Local Settings\Temp\~DF2981.tmp L'objet est verrouillé ignoré
    C:\Documents and Settings\GARCIA DELPHINE\Local Settings\Temp\~DF2BF8.tmp L'objet est verrouillé ignoré
    C:\Documents and Settings\GARCIA DELPHINE\Local Settings\Temp\~DF3290.tmp L'objet est verrouillé ignoré
    C:\Documents and Settings\GARCIA DELPHINE\Local Settings\Temporary Internet Files\Content.IE5\GT2RCXYN\kavwebscan_unicode[1].cab L'objet est verrouillé ignoré
    C:\Documents and Settings\GARCIA DELPHINE\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\GARCIA DELPHINE\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\GARCIA DELPHINE\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\Cookies\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\SDFix\backups\backups.zip/backups/system32.exe Infecté : Trojan.Win32.Pakes.cob ignoré
    C:\SDFix\backups\backups.zip ZIP: infecté - 1 ignoré
    C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
    C:\System Volume Information\_restore{069A78BC-5732-4E07-8151-B308B596388F}\RP348\A0318104.exe Infecté : Trojan.Win32.Pakes.cob ignoré
    C:\System Volume Information\_restore{069A78BC-5732-4E07-8151-B308B596388F}\RP348\A0318108.exe Infecté : Trojan.Win32.Pakes.cob ignoré
    C:\System Volume Information\_restore{069A78BC-5732-4E07-8151-B308B596388F}\RP349\change.log L'objet est verrouillé ignoré
    C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
    C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb L'objet est verrouillé ignoré
    C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log L'objet est verrouillé ignoré
    C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb L'objet est verrouillé ignoré
    C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
    C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
    C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
    C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\dllcache\Regedit32.com Infecté : Trojan.Win32.Pakes.cob ignoré
    C:\WINDOWS\system32\dllcache\Shell32.com Infecté : Trojan.Win32.Pakes.cob ignoré
    C:\WINDOWS\system32\dllchache\Blank.doc Infecté : Trojan.Win32.Pakes.cob ignoré
    C:\WINDOWS\system32\dllchache\Empty.jpg Infecté : Trojan.Win32.Pakes.cob ignoré
    C:\WINDOWS\system32\dllchache\Hole.zip Infecté : Trojan.Win32.Pakes.cob ignoré
    C:\WINDOWS\system32\dllchache\Unoccupied.reg Infecté : Trojan.Win32.Pakes.cob ignoré
    C:\WINDOWS\system32\dllchache\Zero.txt Infecté : Trojan.Win32.Pakes.cob ignoré
    C:\WINDOWS\system32\dllchache.exe Infecté : Trojan.Win32.Pakes.cob ignoré
    C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\M5VBVM60.EXE Infecté : Trojan.Win32.Pakes.cob ignoré
    C:\WINDOWS\system32\rund1132.exe Infecté : Trojan.Win32.Pakes.cob ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\system32.exe Infecté : Trojan.Win32.Pakes.cob ignoré
    C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
    C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
    C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

    Analyse terminée.

    Et voici un nouveau HJT après Kaperski:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 23:27:39, on 29/06/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\dllChache\Empty.jpg
    C:\WINDOWS\system32\dllChache\Blank.doc
    C:\WINDOWS\system32\dllChache\Zero.txt
    C:\WINDOWS\system32\dllChache\Hole.zip
    C:\WINDOWS\system32\dllChache\Unoccupied.reg
    C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\WINDOWS\Excentrix\Excentrix.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\WISPTIS.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?linkid=677
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, "C:\WINDOWS\system32\M5VBVM60.EXE StartUp"
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
    O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Program Files\NavExcel Search Toolbar\NavExcelBar.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Program Files\NavExcel Search Toolbar\NavExcelBar.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
    O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"
    O4 - HKLM\..\Run: [Auto Run Software for Photo Frame] "C:\Program Files\Philips\Auto Run Software for Photo Frame\PhotoManager.exe" /autorun
    O4 - HKLM\..\Run: [Blank AntiViri] C:\AUT0EXEC.BAT StartUp
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [Secure64] C:\WINDOWS\system32\dllcache\Regedit32.com StartUp
    O4 - HKCU\..\Run: [Secure32] C:\WINDOWS\system32\dllcache\Shell32.com StartUp
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-21-783974589-2084191222-3124561269-1006\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
    O4 - HKUS\S-1-5-21-783974589-2084191222-3124561269-1006\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (User '?')
    O4 - HKUS\S-1-5-21-783974589-2084191222-3124561269-1006\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized (User '?')
    O4 - HKUS\S-1-5-21-783974589-2084191222-3124561269-1006\..\Run: [Secure64] C:\WINDOWS\system32\dllcache\Regedit32.com StartUp (User '?')
    O4 - HKUS\S-1-5-21-783974589-2084191222-3124561269-1006\..\Run: [Secure32] C:\WINDOWS\system32\dllcache\Shell32.com StartUp (User '?')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Excentrix.lnk = C:\WINDOWS\Excentrix\Excentrix.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe

    --
    End of file - 7254 bytes


    30 Juin 2008 00:56:40

    Re,

    Copie le texte se situant dans le cadre ci-dessous : ( Ctrl + C )

    File::
    C:\AUT0EXEC.BAT
    C:\DISQUE DONNEES\Lionel\Partoches\Bruel.exe
    C:\DISQUE DONNEES\Photos\2007\Kinsale-Blarney.exe
    C:\DISQUE DONNEES\Photos\2007\WE_Cork_Julie\DCIM.EXE
    C:\DISQUE DONNEES\Photos\2007\WE_Cork_Julie\NEWFOL~1.EXE
    C:\WINDOWS\system32\dllcache\Regedit32.com
    C:\WINDOWS\system32\dllcache\Shell32.com
    C:\WINDOWS\system32\dllchache\Blank.doc
    C:\WINDOWS\system32\dllchache\Empty.jpg
    C:\WINDOWS\system32\dllchache\Hole.zip
    C:\WINDOWS\system32\dllchache\Unoccupied.reg
    C:\WINDOWS\system32\dllchache\Zero.txt
    C:\WINDOWS\system32\dllchache.exe
    C:\WINDOWS\system32\M5VBVM60.EXE
    C:\WINDOWS\system32\rund1132.exe
    C:\WINDOWS\system32.exe


    => Ouvre le Bloc Notes : Démarrer > Tous les programmes > Accessoires > Bloc notes

    - Colles y le texte (CTRL + V)
    - Enregistre ce fichier dans : Bureau
    - Nom du fichier : CFScript
    - Type du fichier : tous les fichiers !!
    - Clique sur Enregistrer
    - Quitte le Bloc Notes

    Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :



    * Cela va relancer Combofix : au message qui apparaît ( Type 1 to continue, or 2 to abort), tape 1 puis valide.
    * Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
    * Ne touche à rien tant que le scan n'est pas terminé.
    * Une fois le scan achevé, un rapport va s'afficher : Copie/Colle son contenue sur le forum.
    Si le fichier ne s'ouvre pas, il se trouve ici : C:\ComboFix.txt
    * Poste un nouveau rapport hijackthis.
    30 Juin 2008 10:32:51

    Combo Fix ne démarre pas j'obtiens deux icones NirCmd et c'est tout.
    Quel est la raison?
    Je comprends pas ça ne faisait pas ca sur le desktop.
    J'ai essayé en mode normal et en mode sans echec.
    Merci.
    30 Juin 2008 12:34:27

    ComboFix est sur le bureau ? Le CFScript aussi ?
    Si ça ne marche pas, on fera autrement.
    30 Juin 2008 19:29:18

    Oui comboFix est sur le bureau et le script egalement.
    Je comprends pas ça ne faisait pas ca sur le desktop.
    Merci.
    30 Juin 2008 22:00:35

    Que veux-tu dire par ça ne faisait pas ça sur le desktop ?
    Etant donné que desktop=bureau :p 

    *********

    Télécharger OTMoveIt2 par OldTimer.

  • Enregistrer ce fichier sur le Bureau.
  • Faire un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
  • Copier les lignes de la zone "Code" ci-dessous en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
    C:\AUT0EXEC.BAT
    C:\DISQUE DONNEES\Lionel\Partoches\Bruel.exe
    C:\DISQUE DONNEES\Photos\2007\Kinsale-Blarney.exe
    C:\DISQUE DONNEES\Photos\2007\WE_Cork_Julie\DCIM.EXE
    C:\DISQUE DONNEES\Photos\2007\WE_Cork_Julie\NEWFOL~1.EXE
    C:\WINDOWS\system32\dllcache\Regedit32.com
    C:\WINDOWS\system32\dllcache\Shell32.com
    C:\WINDOWS\system32\dllchache\Blank.doc
    C:\WINDOWS\system32\dllchache\Empty.jpg
    C:\WINDOWS\system32\dllchache\Hole.zip
    C:\WINDOWS\system32\dllchache\Unoccupied.reg
    C:\WINDOWS\system32\dllchache\Zero.txt
    C:\WINDOWS\system32\dllchache.exe
    C:\WINDOWS\system32\M5VBVM60.EXE
    C:\WINDOWS\system32\rund1132.exe
    C:\WINDOWS\system32.exe

  • Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste Standard List of Files/Folders to Move" (sous la barre bleu clair) puis choisir Coller.
  • Cliquer sur le bouton rouge Moveit!.
  • Copier tout ce qui se trouve dans la zone Results (sous la barre verte) en sélectionnant TOUTES LES LIGNES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier), et coller ces résulats en réponse sur le forum.
  • Fermer OTMoveIt2

    Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. Dans ce cas, après le redémarrage, ouvrir le Bloc-notes (Démarrer->Tous les programmes->Accessoires->Bloc-notes), cliquer sur Fichier->Ouvrir, dans la zone "Nom du fichier" taper *.log et appuyer sur la touche Entrée, naviguer jusqu'au dossier C:\_OTMoveIt\MovedFiles, puis ouvrir le fichier .log le plus récent; ensuite faire un copier/coller du contenu de ce document en réponse sur le forum.

    Si tu obtiens un message comme quoi le rapport ne peut pas être créé, copie/colle ce qui apparaît dans la colonne droite de l’outil.
    30 Juin 2008 22:13:16

    Qd je dis desktop je veux dire le PC fixe pas le portable.
    C'est la déformation anglaise car je vis en Irlande.

    Voici mon rapport moveIt

    C:\AUT0EXEC.BAT moved successfully.
    C:\DISQUE DONNEES\Lionel\Partoches\Bruel.exe moved successfully.
    C:\DISQUE DONNEES\Photos\2007\Kinsale-Blarney.exe moved successfully.
    C:\DISQUE DONNEES\Photos\2007\WE_Cork_Julie\DCIM.EXE moved successfully.
    C:\DISQUE DONNEES\Photos\2007\WE_Cork_Julie\NEWFOL~1.EXE moved successfully.
    C:\WINDOWS\system32\dllcache\Regedit32.com moved successfully.
    C:\WINDOWS\system32\dllcache\Shell32.com moved successfully.
    C:\WINDOWS\system32\dllchache\Blank.doc moved successfully.
    C:\WINDOWS\system32\dllchache\Empty.jpg moved successfully.
    C:\WINDOWS\system32\dllchache\Hole.zip moved successfully.
    C:\WINDOWS\system32\dllchache\Unoccupied.reg moved successfully.
    C:\WINDOWS\system32\dllchache\Zero.txt moved successfully.
    C:\WINDOWS\system32\dllchache.exe moved successfully.
    C:\WINDOWS\system32\M5VBVM60.EXE moved successfully.
    C:\WINDOWS\system32\rund1132.exe moved successfully.
    C:\WINDOWS\system32.exe moved successfully.

    OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 06302008_211118
    1 Juillet 2008 11:16:54

    Ahh oki désolé :p 

    Poste un nouveau rapport Hijackthis.
    C'est mieux ? ^^

    1 Juillet 2008 21:48:09

    Re,

    Oui, je n'ai plus de problème avec le panneau de configuration et internet. Ca va beaucoup mieux.

    Voici mon rapport HJT:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:37:13, on 01/07/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
    C:\WINDOWS\Excentrix\Excentrix.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Kerio\Personal Firewall\persfw.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?linkid=677
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, "C:\WINDOWS\system32\M5VBVM60.EXE StartUp"
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
    O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Program Files\NavExcel Search Toolbar\NavExcelBar.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Program Files\NavExcel Search Toolbar\NavExcelBar.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
    O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"
    O4 - HKLM\..\Run: [Auto Run Software for Photo Frame] "C:\Program Files\Philips\Auto Run Software for Photo Frame\PhotoManager.exe" /autorun
    O4 - HKLM\..\Run: [Blank AntiViri] C:\AUT0EXEC.BAT StartUp
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [Secure64] C:\WINDOWS\system32\dllcache\Regedit32.com StartUp
    O4 - HKCU\..\Run: [Secure32] C:\WINDOWS\system32\dllcache\Shell32.com StartUp
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-21-783974589-2084191222-3124561269-1006\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
    O4 - HKUS\S-1-5-21-783974589-2084191222-3124561269-1006\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (User '?')
    O4 - HKUS\S-1-5-21-783974589-2084191222-3124561269-1006\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized (User '?')
    O4 - HKUS\S-1-5-21-783974589-2084191222-3124561269-1006\..\Run: [Secure64] C:\WINDOWS\system32\dllcache\Regedit32.com StartUp (User '?')
    O4 - HKUS\S-1-5-21-783974589-2084191222-3124561269-1006\..\Run: [Secure32] C:\WINDOWS\system32\dllcache\Shell32.com StartUp (User '?')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Excentrix.lnk = C:\WINDOWS\Excentrix\Excentrix.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe

    --
    End of file - 6935 bytes
    1 Juillet 2008 22:52:42

    Re,

    Relance HijackThis (clique droit -> lancer en tant qu'adminstrateur sous Vista), clique sur "do a system scan only", coche ces lignes ( si présentes ) :

    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, "C:\WINDOWS\system32\M5VBVM60.EXE StartUp"
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [Blank AntiViri] C:\AUT0EXEC.BAT StartUp
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [Secure64] C:\WINDOWS\system32\dllcache\Regedit32.com StartUp
    O4 - HKCU\..\Run: [Secure32] C:\WINDOWS\system32\dllcache\Shell32.com StartUp
    O4 - HKUS\S-1-5-21-783974589-2084191222-3124561269-1006\..\Run: [Secure64] C:\WINDOWS\system32\dllcache\Regedit32.com StartUp (User '?')
    O4 - HKUS\S-1-5-21-783974589-2084191222-3124561269-1006\..\Run: [Secure32] C:\WINDOWS\system32\dllcache\Shell32.com StartUp (User '?')


    Ferme toutes les applications en cours (particulièrement ton navigateur Internet).
    Puis Fix Checked ! N.B : Il est très important de fermer toutes les applications en cours et de se déconnecter d'internet pour fixer avec hijackthis au risque d'interférer avec les résultats de la manip'.

    ************

    Télécharge MalwareByte's Anti-Malware sur ton Bureau.
    Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.

    Une fois l'installation et la mise à jour effectuées, redémarre en mode sans échec.
    AIDE : Redémarrer en mode sans échec

  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche, clic sur"Rechercher".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
    -- si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
    -- si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau afin de le poster dans ta prochaine réponse.
    [#ff0000]REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.[/#f]

    AIDE : Tuto en images sur MBAM
    2 Juillet 2008 09:49:03

    Bonjour,

    Voici mon rapport malwareByte's aucune infection trouvee.

    Malwarebytes' Anti-Malware 1.19
    Version de la base de données: 912
    Windows 5.1.2600 Service Pack 2

    08:15:43 02/07/2008
    mbam-log-7-2-2008 (08-15-43).txt

    Type de recherche: Examen complet (C:\|)
    Eléments examinés: 113107
    Temps écoulé: 4 hour(s), 59 minute(s), 7 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)


    Et voici un rapport HJT:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 08:48:02, on 02/07/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
    C:\WINDOWS\Excentrix\Excentrix.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Kerio\Personal Firewall\persfw.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?linkid=677
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
    O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Program Files\NavExcel Search Toolbar\NavExcelBar.dll
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
    O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Program Files\NavExcel Search Toolbar\NavExcelBar.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
    O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"
    O4 - HKLM\..\Run: [Auto Run Software for Photo Frame] "C:\Program Files\Philips\Auto Run Software for Photo Frame\PhotoManager.exe" /autorun
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-21-783974589-2084191222-3124561269-1006\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
    O4 - HKUS\S-1-5-21-783974589-2084191222-3124561269-1006\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (User '?')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Excentrix.lnk = C:\WINDOWS\Excentrix\Excentrix.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe

    --
    End of file - 6112 bytes
    2 Juillet 2008 12:18:14

    Et ben on dirait que c'est bon !
    Tu n'as pas d'AntiVirus, on va mettre AntiVir.
    Tu as le discours pour l'installer un peu plus haut dans la discussion :) 

    Rien de spécial à fixer avec HijackThis.
    En revanche il te faudrait désinstaller des toolbars !
    Voir : - Toolbars : Inutilité et ralentissements
    2 Juillet 2008 14:15:32

    Et bien merci beaucoup pour ton aide.
    C'est incroyable comment on peu etre vite largue dans tout ce qui concerne les PCs.
    Je m'y interessais il y a deux ans mais maintenant j'ai l'impression que c'est un autre monde.
    En tout cas, sympa de m'avoir aide.
    Bonne continuation a toi.
    2 Juillet 2008 14:59:58

    Merci, et peut-être bonnes vacances ;) 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS