Se connecter / S'enregistrer
Votre question

Virus rdriv "Win32:SdBot-3267 [Trj] HELP !!!!!!

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
2 Mai 2008 14:41:17

Bonjour
je suis infecté pas un virus rdriv que je n'arrve pas à éradiquer !!! Si quelqu'un pouvait m'aider ^^
merci d'avance.

voila mon rapport Hijack :



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:40:12, on 02/05/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\jeje.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: jeje - Unknown owner - C:\WINDOWS\jeje.exe

--
End of file - 3895 bytes

Autres pages sur : virus rdriv win32 sdbot 3267 trj help

2 Mai 2008 22:18:03

bonjour,


Télécharge MalwareByte's Anti-Malware sur ton Bureau.
Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.

Une fois l'installation et la mise à jour effectuées, redémarre en mode sans échec.
AIDE : Redémarrer en mode sans échec

  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche, clic sur"Rechercher".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
    -- si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
    -- si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau afin de le poster dans ta prochaine réponse.
    [#ff0000]REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.[/#f]

    AIDE : Tuto en images sur MBAM

    4 Mai 2008 15:58:57

    Bonjour
    j'ai passé Malwarebyte's Anti-malware et le programme n'a trouvé aucune infection que ce soit en mode sans échec ou en mode normal.
    Pourtant mon antivirus Avast continu à signaler l'infection par le virus "rdriv"
    je remet un nouveau rapport hijackthis si cela peut aider à résoudre le problème.

    ps:j'ai essayé de fermer le processus jeje.exe celui ci étant noté comme "unknow owner" sur le rapport et il redémarre toujours après.Peut être est-ce lié à l'infection ?




    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:54:10, on 04/05/2008
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\jeje.exe
    C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: jeje - Unknown owner - C:\WINDOWS\jeje.exe

    --
    End of file - 3856 bytes
    Contenus similaires
    4 Mai 2008 17:36:40

    re
    ça m'étonne que MalwareByte's Anti-Malware ne trouve rien...
    L'absence de lignes O2 et 20 me faisait clairement penser à Vundo...

    Désactive ton antivirus et tout autre type de protection.
    Télécharge ComboFix de sUBs :
    ComboFix.exe
    et sauvegarde le sur ton bureau et pas ailleurs!

    Double-clic sur ComboFix, Il va te poser une question, suis les invites puis attends que combofix ait terminé, il est possible que ton PC reboot, c’est normal, un rapport sera créé.Poste le rapport:C:\Combofix.txt
    clique dessus pour l'ouvrir, puis édition "sélectionner tout", édition "copier"

    viens sur le forum et édition "coller"

    ajoute un nouveau rapport Hijackthis.
    4 Mai 2008 18:30:40

    -Voilà le rapport combofix:


    ComboFix 08-05-01.3 - Administrateur 2008-05-04 18:24:09.2 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.674 [GMT 2:00]
    Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    ((((((((((((((((((((((((((((( Fichiers créés 2008-04-04 to 2008-05-04 ))))))))))))))))))))))))))))))))))))
    .

    2008-05-04 18:14 . 2008-05-04 18:14 64 --ah----- C:\aaw7boot.cmd
    2008-05-04 12:56 . 2008-05-04 12:56 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
    2008-05-04 12:56 . 2008-05-04 12:56 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-05-04 12:56 . 2008-05-04 12:56 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
    2008-05-04 12:19 . 2008-05-04 18:11 7,168 --------- C:\WINDOWS\system32\rdriv.sys
    2008-05-02 13:56 . 2008-05-02 13:56 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
    2008-05-02 13:56 . 2008-05-02 13:56 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Grisoft
    2008-05-02 13:56 . 2007-05-30 14:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
    2008-05-02 13:43 . 2008-05-02 13:43 <REP> d-------- C:\Program Files\Trend Micro
    2008-05-01 14:26 . 2008-05-02 21:47 423,424 --a------ C:\WINDOWS\system32\jeje.exe
    2008-04-29 20:17 . 2008-04-29 20:16 423,424 -r-hs---- C:\WINDOWS\jeje.exe
    2008-04-25 02:34 . 2008-04-25 02:34 <REP> d-------- C:\Program Files\VideoLAN
    2008-04-25 02:34 . 2008-04-25 02:34 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\vlc
    2008-04-21 17:56 . 2008-04-21 17:56 <REP> d-------- C:\Program Files\Sony Ericsson
    2008-04-21 17:56 . 2008-04-21 17:56 <REP> d-------- C:\Program Files\Fichiers communs\Teleca Shared
    2008-04-21 17:56 . 2008-04-21 17:56 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Teleca
    2008-04-21 17:56 . 2008-04-21 17:56 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Sony Ericsson
    2008-04-21 17:56 . 2008-04-21 17:57 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Teleca
    2008-04-21 17:55 . 2008-04-21 17:56 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
    2008-04-21 17:54 . 2008-04-21 17:55 <REP> d-------- C:\WINDOWS\Downloaded Installations
    2008-04-21 17:54 . 2008-04-21 17:54 89,872 --a------ C:\WINDOWS\system32\drivers\k750mdm.sys
    2008-04-21 17:54 . 2008-04-21 17:54 81,728 --a------ C:\WINDOWS\system32\drivers\k750mgmt.sys
    2008-04-21 17:54 . 2008-04-21 17:54 79,488 --a------ C:\WINDOWS\system32\drivers\k750obex.sys
    2008-04-21 17:54 . 2008-04-21 17:54 55,216 --a------ C:\WINDOWS\system32\drivers\k750bus.sys
    2008-04-21 17:54 . 2008-04-21 17:54 6,576 --a------ C:\WINDOWS\system32\drivers\k750mdfl.sys
    2008-04-21 17:54 . 2008-04-21 17:54 6,144 --a------ C:\WINDOWS\system32\drivers\k750cmnt.sys
    2008-04-21 17:54 . 2008-04-21 17:54 6,144 --a------ C:\WINDOWS\system32\drivers\k750cm.sys
    2008-04-21 17:54 . 2008-04-21 17:54 5,744 --a------ C:\WINDOWS\system32\drivers\k750whnt.sys
    2008-04-21 17:54 . 2008-04-21 17:54 5,744 --a------ C:\WINDOWS\system32\drivers\k750wh.sys
    2008-04-21 17:52 . 2003-08-25 18:06 182,880 --a------ C:\WINDOWS\system32\iuengine.dll
    2008-04-21 17:52 . 2003-08-25 18:06 182,880 --a--c--- C:\WINDOWS\system32\dllcache\iuengine.dll
    2008-04-21 15:58 . 2008-04-21 21:44 <REP> d-------- C:\Program Files\Guitar Pro 5
    2008-04-20 21:57 . 2008-04-20 21:57 <REP> d-------- C:\Program Files\aMSN
    2008-04-20 21:57 . 2008-05-04 17:29 <REP> d-------- C:\Documents and Settings\Administrateur\amsn
    2008-04-20 21:45 . 2008-04-20 21:45 <REP> d-------- C:\Program Files\MSN Messenger
    2008-04-20 21:38 . 2008-04-20 21:38 <REP> d-------- C:\Program Files\Lavasoft
    2008-04-20 21:38 . 2008-04-20 21:38 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
    2008-04-20 21:38 . 2008-04-20 21:38 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
    2008-04-20 21:03 . 2008-04-20 19:35 261 --a------ C:\WINDOWS\system32\$winnt$.inf

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-04-20 18:31 --------- d-----w C:\Program Files\Alwil Software
    2008-04-20 18:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\MSN6
    2008-04-20 18:15 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\MSN6
    2008-04-20 17:57 --------- d-----w C:\Program Files\Realtek Sound Manager
    2008-04-20 17:57 --------- d-----w C:\Program Files\AvRack
    2008-04-20 17:56 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-04-20 17:50 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
    2008-04-20 17:49 --------- d-----w C:\Program Files\ATI Technologies
    2008-04-20 17:49 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\ATI
    2008-04-20 17:28 558,142 ----a-w C:\WINDOWS\java\Packages\Q57XVVPZ.ZIP
    2008-04-20 17:28 155,995 ----a-w C:\WINDOWS\java\Packages\777FF7ZJ.ZIP
    2008-04-20 17:28 --------- d-----w C:\Program Files\microsoft frontpage
    2008-04-20 17:21 --------- d-----w C:\Program Files\Services en ligne
    2002-08-29 09:45 438,272 --sh--r C:\WINDOWS\system32\msmsnger.exe
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 11:45 13312]
    "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2002-08-20 15:08 1511453]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-28 21:05 344064]
    "SoundMan"="SOUNDMAN.EXE" [2004-11-16 03:20 77824 C:\WINDOWS\SOUNDMAN.EXE]
    "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 19:37 79224]
    "Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17 159744]
    "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]
    "msmsnger"="C:\WINDOWS\System32\msmsnger.exe" [2002-08-29 11:45 438272]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
    "msmsnger"="C:\WINDOWS\System32\msmsnger.exe" [2002-08-29 11:45 438272]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 11:45 13312]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "UpdatesDisableNotify"=dword:00000001
    "AntiVirusDisableNotify"=dword:00000001
    "AntiVirusOverride"=dword:00000001
    "FirewallOverride"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "C:\\WINDOWS\\System32\\msmsnger.exe"=

    R0 SI3112r;ATI-437A Serial ATA Controller;C:\WINDOWS\System32\DRIVERS\SI3112r.sys [2005-06-01 17:40]
    R1 aswSP;avast! Self Protection;C:\WINDOWS\System32\drivers\aswSP.sys [2008-03-29 19:31]
    R2 jeje;jeje;"C:\WINDOWS\jeje.exe" [2008-04-29 20:16]

    *Newly Created Service* - CATCHME
    .
    **************************************************************************

    catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-05-04 18:24:35
    Windows 5.1.2600 Service Pack 1 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************
    .
    Temps d'accomplissement: 2008-05-04 18:24:54
    ComboFix-quarantined-files.txt 2008-05-04 16:24:52
    ComboFix2.txt 2008-05-04 16:20:00

    Pre-Run: 16,319,754,240 octets libres
    Post-Run: 16,312,201,216 octets libres

    111





    -Voilà le nouveau rapport hijackthis:



    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:28:52, on 04/05/2008
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
    C:\WINDOWS\System32\msmsnger.exe
    C:\WINDOWS\jeje.exe
    C:\WINDOWS\system32\notepad.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\internet explorer\iexplore.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [msmsnger] C:\WINDOWS\System32\msmsnger.exe
    O4 - HKLM\..\RunServices: [msmsnger] C:\WINDOWS\System32\msmsnger.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: jeje - Unknown owner - C:\WINDOWS\jeje.exe

    --
    End of file - 4348 bytes

    4 Mai 2008 23:31:00

    re

    désinstalle Ad-Aware 2007, tu as déjà AVG Anti-Spyware 7.5. (c'est suffisant)

    Cette procédure doit être imprimée pour que tu puisses l’avoir sous les yeux quand tu seras en mode sans échec.

    Télécharge SDFix(créé par AndyManchesta) et sauvegarde le sur ton Bureau.
    ***Si le lien ne fonctionne pas, essaie celui-ci : http://download.bleepingcomputer.com/andymanchesta/SDFi... ***

    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.


    1

    Copie (Ctrl+C) le texte ci-dessous :
    Driver::
    jeje

    File::
    C:\WINDOWS\system32\rdriv.sys
    C:\WINDOWS\system32\jeje.exe
    C:\WINDOWS\jeje.exe



    Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
    Sauvegarde ce fichier sous le nom de CFScript.txt

    Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture


  • Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  • Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt


    2

    Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.
    Déroule la liste des instructions ci-dessous :
  • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
    5 Mai 2008 18:33:36

    Bonjour
    Le virus à l'air d'avoir disparu :) 
    Merci beaucoup pour l'aide !!!

    -voilà le rapport de combofix:



    ComboFix 08-05-01.3 - Administrateur 2008-05-05 18:08:53.3 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.659 [GMT 2:00]
    Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
    Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt
    * Création d'un nouveau point de restauration

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

    FILE ::
    C:\WINDOWS\jeje.exe
    C:\WINDOWS\system32\jeje.exe
    C:\WINDOWS\system32\rdriv.sys
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\jeje.exe
    C:\WINDOWS\system32\jeje.exe
    C:\WINDOWS\system32\rdriv.sys

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_JEJE
    -------\Service_jeje
    -------\Service_rdriv


    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-05 to 2008-05-05 ))))))))))))))))))))))))))))))))))))
    .

    2008-05-04 18:14 . 2008-05-04 18:14 64 --ah----- C:\aaw7boot.cmd
    2008-05-04 12:56 . 2008-05-04 12:56 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
    2008-05-04 12:56 . 2008-05-04 12:56 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-05-04 12:56 . 2008-05-04 12:56 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
    2008-05-02 13:56 . 2008-05-02 13:56 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
    2008-05-02 13:56 . 2008-05-02 13:56 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Grisoft
    2008-05-02 13:56 . 2007-05-30 14:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
    2008-05-02 13:43 . 2008-05-02 13:43 <REP> d-------- C:\Program Files\Trend Micro
    2008-04-25 02:34 . 2008-04-25 02:34 <REP> d-------- C:\Program Files\VideoLAN
    2008-04-25 02:34 . 2008-04-25 02:34 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\vlc
    2008-04-21 17:56 . 2008-04-21 17:56 <REP> d-------- C:\Program Files\Sony Ericsson
    2008-04-21 17:56 . 2008-04-21 17:56 <REP> d-------- C:\Program Files\Fichiers communs\Teleca Shared
    2008-04-21 17:56 . 2008-04-21 17:56 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Teleca
    2008-04-21 17:56 . 2008-04-21 17:56 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Sony Ericsson
    2008-04-21 17:56 . 2008-04-21 17:57 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Teleca
    2008-04-21 17:55 . 2008-04-21 17:56 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
    2008-04-21 17:54 . 2008-04-21 17:55 <REP> d-------- C:\WINDOWS\Downloaded Installations
    2008-04-21 17:54 . 2008-04-21 17:54 89,872 --a------ C:\WINDOWS\system32\drivers\k750mdm.sys
    2008-04-21 17:54 . 2008-04-21 17:54 81,728 --a------ C:\WINDOWS\system32\drivers\k750mgmt.sys
    2008-04-21 17:54 . 2008-04-21 17:54 79,488 --a------ C:\WINDOWS\system32\drivers\k750obex.sys
    2008-04-21 17:54 . 2008-04-21 17:54 55,216 --a------ C:\WINDOWS\system32\drivers\k750bus.sys
    2008-04-21 17:54 . 2008-04-21 17:54 6,576 --a------ C:\WINDOWS\system32\drivers\k750mdfl.sys
    2008-04-21 17:54 . 2008-04-21 17:54 6,144 --a------ C:\WINDOWS\system32\drivers\k750cmnt.sys
    2008-04-21 17:54 . 2008-04-21 17:54 6,144 --a------ C:\WINDOWS\system32\drivers\k750cm.sys
    2008-04-21 17:54 . 2008-04-21 17:54 5,744 --a------ C:\WINDOWS\system32\drivers\k750whnt.sys
    2008-04-21 17:54 . 2008-04-21 17:54 5,744 --a------ C:\WINDOWS\system32\drivers\k750wh.sys
    2008-04-21 17:52 . 2003-08-25 18:06 182,880 --a------ C:\WINDOWS\system32\iuengine.dll
    2008-04-21 17:52 . 2003-08-25 18:06 182,880 --a--c--- C:\WINDOWS\system32\dllcache\iuengine.dll
    2008-04-21 15:58 . 2008-04-21 21:44 <REP> d-------- C:\Program Files\Guitar Pro 5
    2008-04-20 21:57 . 2008-04-20 21:57 <REP> d-------- C:\Program Files\aMSN
    2008-04-20 21:57 . 2008-05-04 17:29 <REP> d-------- C:\Documents and Settings\Administrateur\amsn
    2008-04-20 21:45 . 2008-04-20 21:45 <REP> d-------- C:\Program Files\MSN Messenger
    2008-04-20 21:38 . 2008-05-05 00:44 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
    2008-04-20 21:03 . 2008-04-20 19:35 261 --a------ C:\WINDOWS\system32\$winnt$.inf

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-04-20 18:31 --------- d-----w C:\Program Files\Alwil Software
    2008-04-20 18:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\MSN6
    2008-04-20 18:15 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\MSN6
    2008-04-20 17:57 --------- d-----w C:\Program Files\Realtek Sound Manager
    2008-04-20 17:57 --------- d-----w C:\Program Files\AvRack
    2008-04-20 17:56 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-04-20 17:50 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
    2008-04-20 17:49 --------- d-----w C:\Program Files\ATI Technologies
    2008-04-20 17:49 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\ATI
    2008-04-20 17:28 558,142 ----a-w C:\WINDOWS\java\Packages\Q57XVVPZ.ZIP
    2008-04-20 17:28 155,995 ----a-w C:\WINDOWS\java\Packages\777FF7ZJ.ZIP
    2008-04-20 17:28 --------- d-----w C:\Program Files\microsoft frontpage
    2008-04-20 17:21 --------- d-----w C:\Program Files\Services en ligne
    2002-08-29 09:45 438,272 --sh--r C:\WINDOWS\system32\msmsnger.exe
    .

    ((((((((((((((((((((((((((((( snapshot@2008-05-04_18.19.53,34 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2008-05-04 13:32:37 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2008-05-05 16:10:17 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
    - 2008-05-02 19:47:37 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
    + 2008-05-04 17:57:43 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
    - 2008-05-02 19:47:37 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
    + 2008-05-04 17:57:43 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
    - 2008-05-02 19:47:37 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    + 2008-05-04 17:57:43 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    - 2008-04-20 17:45:05 52,764 ----a-w C:\WINDOWS\system32\perfc009.dat
    + 2008-05-05 15:10:43 52,764 ----a-w C:\WINDOWS\system32\perfc009.dat
    - 2008-04-20 17:45:05 63,614 ----a-w C:\WINDOWS\system32\perfc00C.dat
    + 2008-05-05 15:10:43 63,614 ----a-w C:\WINDOWS\system32\perfc00C.dat
    - 2008-04-20 17:45:05 380,350 ----a-w C:\WINDOWS\system32\perfh009.dat
    + 2008-05-05 15:10:43 380,350 ----a-w C:\WINDOWS\system32\perfh009.dat
    - 2008-04-20 17:45:05 445,016 ----a-w C:\WINDOWS\system32\perfh00C.dat
    + 2008-05-05 15:10:43 445,016 ----a-w C:\WINDOWS\system32\perfh00C.dat
    + 2008-05-05 16:10:20 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_494.dat
    + 2008-05-05 16:10:44 616,448 ---ha-w C:\WINDOWS\Temp\StashIMAPI.bin
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 11:45 13312]
    "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2002-08-20 15:08 1511453]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-28 21:05 344064]
    "SoundMan"="SOUNDMAN.EXE" [2004-11-16 03:20 77824 C:\WINDOWS\SOUNDMAN.EXE]
    "Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17 159744]
    "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]
    "msmsnger"="C:\WINDOWS\System32\msmsnger.exe" [2002-08-29 11:45 438272]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
    "msmsnger"="C:\WINDOWS\System32\msmsnger.exe" [2002-08-29 11:45 438272]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 11:45 13312]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "UpdatesDisableNotify"=dword:00000001
    "AntiVirusDisableNotify"=dword:00000001
    "AntiVirusOverride"=dword:00000001
    "FirewallOverride"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "C:\\WINDOWS\\System32\\msmsnger.exe"=

    R0 SI3112r;ATI-437A Serial ATA Controller;C:\WINDOWS\System32\DRIVERS\SI3112r.sys [2005-06-01 17:40]
    R1 aswSP;avast! Self Protection;C:\WINDOWS\System32\drivers\aswSP.sys [2008-03-29 19:31]

    .
    **************************************************************************

    catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-05-05 18:10:47
    Windows 5.1.2600 Service Pack 1 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\WINDOWS\system32\ati2evxx.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\ati2evxx.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
    C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
    C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-05-05 18:11:21 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-05-05 16:11:18
    ComboFix2.txt 2008-05-04 16:24:55
    ComboFix3.txt 2008-05-04 16:20:00

    Pre-Run: 16,286,306,304 octets libres
    Post-Run: 16,245,153,792 octets libres

    158






    -voilà le rapport de SDFix:






    SDFix: Version 1.179
    Run by Administrateur on 05/05/2008 at 18:19

    Microsoft Windows XP [version 5.1.2600]
    Running From: C:\DOCUME~1\ADMINI~1\Bureau\SDFix

    Checking Services :


    Restoring Windows Registry Values
    Restoring Windows Default Hosts File

    Rebooting


    Checking Files :

    No Trojan Files Found






    Removing Temp Files

    ADS Check :



    Final Check :

    catchme 0.3.1353.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-05-05 18:22:23
    Windows 5.1.2600 Service Pack 1 NTFS

    scanning hidden processes ...

    scanning hidden services & system hive ...

    scanning hidden registry entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0


    Remaining Services :




    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "C:\\WINDOWS\\System32\\msmsnger.exe"="C:\\WINDOWS\\System32\\msmsnger.exe:*:Enabled:msmsnger"

    Remaining Files :


    File Backups: - C:\DOCUME~1\ADMINI~1\Bureau\SDFix\backups\backups.zip

    Files with Hidden Attributes :

    Thu 29 Aug 2002 438,272 ..SHR --- "C:\WINDOWS\system32\msmsnger.exe"

    Finished!




    Pour finir voilà le Hijackthis:



    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:32:25, on 05/05/2008
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\WINDOWS\System32\msmsnger.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
    C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [msmsnger] C:\WINDOWS\System32\msmsnger.exe
    O4 - HKLM\..\RunServices: [msmsnger] C:\WINDOWS\System32\msmsnger.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

    --
    End of file - 4121 bytes
    5 Mai 2008 19:20:20

    bien

    il reste des infections...

    Voilà ce que je te propose, tu vas remplacer Avast! par Antivir, qui lui est un vrai antivirus, tu vas faire un scan avec et poster le rapport. :) 


    Désinstalle correctement Avast!


    Pour le remplacer par Antivir.

    -->Tuto<--


    Pourquoi changer ? : Avast! vs Antivir
    mais aussi:
    14 antivirus au banc d'essai
    Citation :
    Antivir : le plus efficace des gratuits
    5 Mai 2008 20:00:40

    Re
    effectivement il y avait encore des infections ^^
    voilà le rapport de Antivir:



    AntiVir PersonalEdition Classic
    Report file date: lundi 5 mai 2008 19:43

    Scanning for 835736 virus strains and unwanted programs.

    Licensed to: Avira AntiVir PersonalEdition Classic
    Serial number: 0000149996-ADJIE-0001
    Platform: Windows XP
    Windows version: (Service Pack 1) [5.1.2600]
    Username: SYSTEM
    Computer name: DAM-CUNGZYF0Y9G

    Version information:
    BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
    AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 12:16:29
    AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 11:23:51
    LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 14:32:47
    LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 11:35:20
    ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 13:27:15
    ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 13:26:55
    ANTIVIR2.VDF : 7.0.0.1 2048 Bytes 13/09/2007 13:27:04
    ANTIVIR3.VDF : 7.0.0.2 2048 Bytes 13/09/2007 13:27:13
    AVEWIN32.DLL : 7.6.0.15 2806272 Bytes 17/09/2007 16:43:56
    AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26
    AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 06:39:17
    AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24
    AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 07:46:00
    AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 06:17:06
    AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 11:26:33
    AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 06:10:18
    NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42
    RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 11:38:13
    RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 11:50:37
    SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 08:37:21

    Configuration settings for the scan:
    Jobname..........................: Complete system scan
    Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
    Logging..........................: low
    Primary action...................: interactive
    Secondary action.................: ignore
    Scan master boot sector..........: off
    Scan boot sector.................: on
    Boot sectors.....................: D:,
    Scan memory......................: on
    Process scan.....................: on
    Scan registry....................: on
    Search for rootkits..............: off
    Scan all files...................: Intelligent file selection
    Scan archives....................: on
    Recursion depth..................: 20
    Smart extensions.................: on
    Macro heuristic..................: on
    File heuristic...................: medium

    Start of the scan: lundi 5 mai 2008 19:43

    The scan of running processes will be started
    Scan process 'avscan.exe' - '1' Module(s) have been scanned
    Scan process 'avcenter.exe' - '1' Module(s) have been scanned
    Scan process 'epmworker.exe' - '1' Module(s) have been scanned
    Scan process 'Generic.exe' - '1' Module(s) have been scanned
    Scan process 'msmsgs.exe' - '1' Module(s) have been scanned
    Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
    Scan process 'avgnt.exe' - '1' Module(s) have been scanned
    Scan process 'CapabilityManager.exe' - '1' Module(s) have been scanned
    Scan process 'msmsnger.exe' - '1' Module(s) have been scanned
    Scan process 'avgas.exe' - '1' Module(s) have been scanned
    Scan process 'Application Launcher.exe' - '1' Module(s) have been scanned
    Scan process 'SOUNDMAN.EXE' - '1' Module(s) have been scanned
    Scan process 'atiptaxx.exe' - '1' Module(s) have been scanned
    Scan process 'explorer.exe' - '1' Module(s) have been scanned
    Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned
    Scan process 'guard.exe' - '0' Module(s) have been scanned
    Scan process 'sched.exe' - '1' Module(s) have been scanned
    Scan process 'alg.exe' - '1' Module(s) have been scanned
    Scan process 'avguard.exe' - '1' Module(s) have been scanned
    Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned
    Scan process 'lsass.exe' - '1' Module(s) have been scanned
    Scan process 'services.exe' - '1' Module(s) have been scanned
    Scan process 'winlogon.exe' - '1' Module(s) have been scanned
    Scan process 'csrss.exe' - '1' Module(s) have been scanned
    Scan process 'smss.exe' - '1' Module(s) have been scanned
    29 processes with 29 modules were scanned

    Start scanning boot sectors:
    Boot sector 'C:\'
    [NOTE] No virus was found!
    Boot sector 'D:\'
    [NOTE] No virus was found!

    Starting to scan the registry.
    The registry was scanned ( '25' files ).


    Starting the file scan:

    Begin scan in 'C:\'
    C:\pagefile.sys
    [WARNING] The file could not be opened!
    C:\QooBox\Quarantine\C\WINDOWS\system32\rdriv.sys.vir
    [DETECTION] Is the Trojan horse TR/Rootkit.Gen
    [INFO] The file was moved to '48914806.qua'!
    C:\System Volume Information\_restore{0FBFB1DA-BF7F-4F18-B228-743EEC886A40}\RP11\A0003065.sys
    [DETECTION] Is the Trojan horse TR/Rootkit.Gen
    [INFO] The file was moved to '484f47db.qua'!
    C:\System Volume Information\_restore{0FBFB1DA-BF7F-4F18-B228-743EEC886A40}\RP11\A0003087.sys
    [DETECTION] Is the Trojan horse TR/Rootkit.Gen
    [INFO] The file was moved to '484f47e1.qua'!
    C:\System Volume Information\_restore{0FBFB1DA-BF7F-4F18-B228-743EEC886A40}\RP11\A0003099.sys
    [DETECTION] Is the Trojan horse TR/Rootkit.Gen
    [INFO] The file was moved to '484f47e5.qua'!
    C:\System Volume Information\_restore{0FBFB1DA-BF7F-4F18-B228-743EEC886A40}\RP11\A0003150.sys
    [DETECTION] Is the Trojan horse TR/Rootkit.Gen
    [INFO] The file was moved to '484f47ec.qua'!
    C:\System Volume Information\_restore{0FBFB1DA-BF7F-4F18-B228-743EEC886A40}\RP11\A0003151.sys
    [DETECTION] Is the Trojan horse TR/Rootkit.Gen
    [INFO] The file was moved to '49c2a0f5.qua'!
    C:\System Volume Information\_restore{0FBFB1DA-BF7F-4F18-B228-743EEC886A40}\RP11\A0003159.sys
    [DETECTION] Is the Trojan horse TR/Rootkit.Gen
    [INFO] The file was moved to '484f47ee.qua'!
    C:\System Volume Information\_restore{0FBFB1DA-BF7F-4F18-B228-743EEC886A40}\RP11\A0003165.sys
    [DETECTION] Is the Trojan horse TR/Rootkit.Gen
    [INFO] The file was moved to '484f47ed.qua'!
    C:\System Volume Information\_restore{0FBFB1DA-BF7F-4F18-B228-743EEC886A40}\RP11\A0003181.sys
    [DETECTION] Is the Trojan horse TR/Rootkit.Gen
    [INFO] The file was moved to '49c2a0f6.qua'!
    C:\System Volume Information\_restore{0FBFB1DA-BF7F-4F18-B228-743EEC886A40}\RP11\A0004189.sys
    [DETECTION] Is the Trojan horse TR/Rootkit.Gen
    [INFO] The file was moved to '49c2a0f7.qua'!
    C:\System Volume Information\_restore{0FBFB1DA-BF7F-4F18-B228-743EEC886A40}\RP11\A0004193.sys
    [DETECTION] Is the Trojan horse TR/Rootkit.Gen
    [INFO] The file was moved to '484f47e0.qua'!
    C:\System Volume Information\_restore{0FBFB1DA-BF7F-4F18-B228-743EEC886A40}\RP11\A0004218.sys
    [DETECTION] Is the Trojan horse TR/Rootkit.Gen
    [INFO] The file was moved to '49c2a0f9.qua'!
    C:\System Volume Information\_restore{0FBFB1DA-BF7F-4F18-B228-743EEC886A40}\RP13\A0004362.sys
    [DETECTION] Is the Trojan horse TR/Rootkit.Gen
    [INFO] The file was moved to '484f47f4.qua'!
    C:\System Volume Information\_restore{0FBFB1DA-BF7F-4F18-B228-743EEC886A40}\RP14\A0004457.sys
    [DETECTION] Is the Trojan horse TR/Rootkit.Gen
    [INFO] The file was moved to '484f47f6.qua'!
    Begin scan in 'D:\'


    End of the scan: lundi 5 mai 2008 19:51
    Used time: 08:07 min

    The scan has been done completely.

    2010 Scanning directories
    59763 Files were scanned
    14 viruses and/or unwanted programs were found
    0 Files were classified as suspicious:
    0 files were deleted
    0 files were repaired
    14 files were moved to quarantine
    0 files were renamed
    1 Files cannot be scanned
    59749 Files not concerned
    454 Archives were scanned
    1 Warnings
    8 Notes

    5 Mai 2008 21:39:32

    re

    Rends toi sur ce lien : Virus Total
  • Clique sur Parcourir
  • Rends toi jusque sur ce fichier si tu le trouves :

    C:\WINDOWS\System32\msmsnger.exe

  • Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  • Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  • Une nouvelle fenêtre de ton navigateur va apparaître
  • Clique alors sur cette image :
  • Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  • Enfin colle le résultat dans ta prochaine réponse.
    Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
    Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.
    5 Mai 2008 22:38:33

    Re
    voilà le rapport demandé:






    Fichier msmsnger.exe reçu le 2008.05.04 23:01:56 (CET)Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.5.3.0 2008.05.02 -
    AntiVir 7.8.0.11 2008.05.02 TR/Crypt.TPM.Gen
    Authentium 4.93.8 2008.05.02 -
    Avast 4.8.1169.0 2008.05.04 -
    AVG 7.5.0.516 2008.05.03 BackDoor.RBot.FK
    BitDefender 7.2 2008.05.04 DeepScan:Generic.Sdbot.0AC89CB9
    CAT-QuickHeal 9.50 2008.05.03 Backdoor.SdBot.gen
    ClamAV 0.92.1 2008.05.04 PUA.Packed.Themida
    DrWeb 4.44.0.09170 2008.05.04 BackDoor.IRC.Sdbot.2602
    eSafe 7.0.15.0 2008.04.28 -
    eTrust-Vet 31.3.5755 2008.05.03 -
    Ewido 4.0 2008.05.04 -
    F-Prot 4.4.2.54 2008.05.04 -
    F-Secure 6.70.13260.0 2008.05.04 -
    FileAdvisor 1 2008.05.04 -
    Fortinet 3.14.0.0 2008.05.04 -
    Ikarus T3.1.1.26.0 2008.05.04 Generic.Sdbot
    Kaspersky 7.0.0.125 2008.05.04 -
    McAfee 5287 2008.05.02 W32/Sdbot.worm.gen.ci
    Microsoft 1.3408 2008.04.22 -
    NOD32v2 3072 2008.05.03 probably a variant of Win32/Packed.Themida
    Norman 5.80.02 2008.05.02 -
    Panda 9.0.0.4 2008.05.04 -
    Prevx1 V2 2008.05.04 Worm
    Rising 20.42.62.00 2008.05.04 -
    Sophos 4.29.0 2008.05.04 Sus/ComPack
    Sunbelt 3.0.1097.0 2008.05.03 -
    Symantec 10 2008.05.04 -
    TheHacker 6.2.92.300 2008.05.03 -
    VBA32 3.12.6.5 2008.05.03 -
    VirusBuster 4.3.26:9 2008.05.03 Packed/Themida
    Webwasher-Gateway 6.6.2 2008.05.04 Trojan.Crypt.TPM.Gen

    Information additionnelle
    File size: 438272 bytes
    MD5...: 673fb801c157c393e79824f4624d4556
    SHA1..: 4e64b146dfe781bd89120e9bdd02c4ef13b853f0
    SHA256: 1b22518ac2e0cfc944638a519f6eab4a478bc64141927cb073cd037df6b24a8d
    SHA512: 18c68ed76a8f25efabe9a2018827a789c620431286f903e415665d15f885a634<BR>12f98ce4e59ad34e17a11e4137bce2b12dc5bf64b5e81e25321c2a8c58174a0a
    PEiD..: -
    PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x475014<BR>timedatestamp.....: 0x481d4e18 (Sun May 04 05:48:08 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>0x1000 0x72000 0x11400 7.98 8c29549243f9b98983763fec5444e723<BR>.rsrc 0x73000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>.idata 0x74000 0x1000 0x200 1.44 5ca6a77306d6447c9fb4e5dd2a88da5d<BR>Virus 0x75000 0xd5000 0x58a00 7.91 29e3eaad39b33effe12b63a8cd089720<BR><BR>( 2 imports ) <BR>> KERNEL32.dll: CreateFileA, ExitProcess<BR>> COMCTL32.dll: InitCommonControls<BR><BR>( 0 exports ) <BR>
    Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=B819188F...
    packers (F-Prot): Themida

    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.5.3.0 2008.05.02 -
    AntiVir 7.8.0.11 2008.05.02 TR/Crypt.TPM.Gen
    Authentium 4.93.8 2008.05.02 -
    Avast 4.8.1169.0 2008.05.04 -
    AVG 7.5.0.516 2008.05.03 BackDoor.RBot.FK
    BitDefender 7.2 2008.05.04 DeepScan:Generic.Sdbot.0AC89CB9
    CAT-QuickHeal 9.50 2008.05.03 Backdoor.SdBot.gen
    ClamAV 0.92.1 2008.05.04 PUA.Packed.Themida
    DrWeb 4.44.0.09170 2008.05.04 BackDoor.IRC.Sdbot.2602
    eSafe 7.0.15.0 2008.04.28 -
    eTrust-Vet 31.3.5755 2008.05.03 -
    Ewido 4.0 2008.05.04 -
    F-Prot 4.4.2.54 2008.05.04 -
    F-Secure 6.70.13260.0 2008.05.04 -
    FileAdvisor 1 2008.05.04 -
    Fortinet 3.14.0.0 2008.05.04 -
    Ikarus T3.1.1.26.0 2008.05.04 Generic.Sdbot
    Kaspersky 7.0.0.125 2008.05.04 -
    McAfee 5287 2008.05.02 W32/Sdbot.worm.gen.ci
    Microsoft 1.3408 2008.04.22 -
    NOD32v2 3072 2008.05.03 probably a variant of Win32/Packed.Themida
    Norman 5.80.02 2008.05.02 -
    Panda 9.0.0.4 2008.05.04 -
    Prevx1 V2 2008.05.04 Worm
    Rising 20.42.62.00 2008.05.04 -
    Sophos 4.29.0 2008.05.04 Sus/ComPack
    Sunbelt 3.0.1097.0 2008.05.03 -
    Symantec 10 2008.05.04 -
    TheHacker 6.2.92.300 2008.05.03 -
    VBA32 3.12.6.5 2008.05.03 -
    VirusBuster 4.3.26:9 2008.05.03 Packed/Themida
    Webwasher-Gateway 6.6.2 2008.05.04 Trojan.Crypt.TPM.Gen

    Information additionnelle
    File size: 438272 bytes
    MD5...: 673fb801c157c393e79824f4624d4556
    SHA1..: 4e64b146dfe781bd89120e9bdd02c4ef13b853f0
    SHA256: 1b22518ac2e0cfc944638a519f6eab4a478bc64141927cb073cd037df6b24a8d
    SHA512: 18c68ed76a8f25efabe9a2018827a789c620431286f903e415665d15f885a634<BR>12f98ce4e59ad34e17a11e4137bce2b12dc5bf64b5e81e25321c2a8c58174a0a
    PEiD..: -
    PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x475014<BR>timedatestamp.....: 0x481d4e18 (Sun May 04 05:48:08 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>0x1000 0x72000 0x11400 7.98 8c29549243f9b98983763fec5444e723<BR>.rsrc 0x73000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>.idata 0x74000 0x1000 0x200 1.44 5ca6a77306d6447c9fb4e5dd2a88da5d<BR>Virus 0x75000 0xd5000 0x58a00 7.91 29e3eaad39b33effe12b63a8cd089720<BR><BR>( 2 imports ) <BR>> KERNEL32.dll: CreateFileA, ExitProcess<BR>> COMCTL32.dll: InitCommonControls<BR><BR>( 0 exports ) <BR>
    Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=B819188F...
    packers (F-Prot): Themida

    5 Mai 2008 23:10:01

    ok

    1

    tu peux envoyer
    C:\WINDOWS\System32\msmsnger.exe



    chez Malekal:

    tuto:
    http://www.malekal.com//tuto_upload_fichiers.php

    merci, ça permettra de l'intégrer à nos outils de suppression. :) 

    ++++++++++++++++++

    2

    puis

    Copie (Ctrl+C) le texte ci-dessous :
    File::
    C:\WINDOWS\system32\msmsnger.exe

    Registry::
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "msmsnger"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
    "msmsnger"=-



    Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
    Sauvegarde ce fichier sous le nom de CFScript.txt

    Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture


  • Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  • Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt


    ++++++++

    3

    analyse C:\WINDOWS\System32\CTFMON.EXE, chez virus total, c'est juste pour vérifier car normalement, il est légitime
    6 Mai 2008 13:20:37

    Bonjour
    j'ai envoyé msmsnger.exe chez maleka ^^



    voilà l'analyse de virus total :





    Fichier CTFMON.EXE reçu le 2008.05.06 13:13:35 (CET)Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.5.3.0 2008.05.02 -
    AntiVir 7.8.0.11 2008.05.06 -
    Authentium 4.93.8 2008.05.05 -
    Avast 4.8.1169.0 2008.05.05 -
    AVG 7.5.0.516 2008.05.06 -
    BitDefender 7.2 2008.05.06 -
    CAT-QuickHeal 9.50 2008.05.05 -
    ClamAV 0.92.1 2008.05.06 -
    DrWeb 4.44.0.09170 2008.05.05 -
    eSafe 7.0.15.0 2008.04.28 -
    eTrust-Vet 31.3.5763 2008.05.06 -
    Ewido 4.0 2008.05.05 -
    F-Prot 4.4.2.54 2008.05.05 -
    F-Secure 6.70.13260.0 2008.05.06 -
    Fortinet 3.14.0.0 2008.05.06 -
    Ikarus T3.1.1.26.0 2008.05.06 -
    Kaspersky 7.0.0.125 2008.05.06 -
    McAfee 5288 2008.05.05 -
    Microsoft 1.3408 2008.04.22 -
    NOD32v2 3078 2008.05.06 -
    Norman 5.80.02 2008.05.05 -
    Panda 9.0.0.4 2008.05.06 -
    Prevx1 V2 2008.05.06 -
    Rising 20.43.02.00 2008.05.05 -
    Sophos 4.29.0 2008.05.06 -
    Sunbelt 3.0.1097.0 2008.05.03 -
    Symantec 10 2008.05.06 -
    TheHacker 6.2.92.300 2008.05.03 -
    VBA32 3.12.6.5 2008.05.05 -
    VirusBuster 4.3.26:9 2008.05.05 -
    Webwasher-Gateway 6.6.2 2008.05.06 -

    Information additionnelle
    File size: 13312 bytes
    MD5...: 2c856908ee61424238772508e9fbcbc8
    SHA1..: 6f304e834495061ca97cd416c7dfcd154c032392
    SHA256: ceccdc3adcfc2b7dfe5c4d204ade71051b580b211774dc72614edf6aa058d89c
    SHA512: d1626b18f77b39ae5098664b8f3fa1956a354fc575ea222705743dea0b809178<BR>d4c53893bc76e1cf6644958fff070dc78e328b83905b5ece829b8124645c69b1
    PEiD..: -
    PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x4025c5<BR>timedatestamp.....: 0x3d6dd73f (Thu Aug 29 08:11:43 2002)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x2208 0x2400 6.78 b86458f6f53d505242113a0f59174190<BR>.data 0x4000 0x1d0 0x200 0.90 12579f545b29ed5a45a753c6dd83b7e0<BR>.rsrc 0x5000 0x870 0xa00 3.84 4669119d68e486203e1eb6582fa3bf1b<BR><BR>( 5 imports ) <BR>> ADVAPI32.dll: RegCloseKey, RegSetValueExA, RegCreateKeyA, RegCreateKeyExA, RegOpenKeyExA, RegDeleteValueA<BR>> KERNEL32.dll: ExitProcess, GetModuleHandleA, GetCommandLineA, GetStartupInfoA, lstrcmpiA, FreeLibrary, LoadLibraryA, CreateEventA, GetSystemInfo, GetCurrentProcess, LocalAlloc, LocalFree, lstrcatA, CreateProcessA, OpenEventA, ResetEvent, CloseHandle, GetProcAddress, DeleteCriticalSection, InitializeCriticalSectionAndSpinCount, GetACP, GetVersionExA, GetSystemWindowsDirectoryA, GetSystemDirectoryA, lstrlenA, lstrcpynA<BR>> USER32.dll: EnumWindows, FindWindowA, PostMessageA, SetTimer, KillTimer, MsgWaitForMultipleObjects, PeekMessageA, TranslateMessage, DispatchMessageA, GetMessageA, SetWindowPos, GetSystemMetrics, LoadCursorA, RegisterClassExA, DefWindowProcA, PostQuitMessage, CreateWindowExA, GetClassNameA<BR>> MSCTF.dll: TF_InvalidAssemblyListCacheIfExist, TF_InitSystem, TF_GetGlobalCompartment, TF_CreateCicLoadMutex, TF_PostAllThreadMsg, TF_InvalidAssemblyListCache, TF_UninitSystem<BR>> MSUTB.dll: GetPopupTipbar, ClosePopupTipbar<BR><BR>( 0 exports ) <BR>

    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.5.3.0 2008.05.02 -
    AntiVir 7.8.0.11 2008.05.06 -
    Authentium 4.93.8 2008.05.05 -
    Avast 4.8.1169.0 2008.05.05 -
    AVG 7.5.0.516 2008.05.06 -
    BitDefender 7.2 2008.05.06 -
    CAT-QuickHeal 9.50 2008.05.05 -
    ClamAV 0.92.1 2008.05.06 -
    DrWeb 4.44.0.09170 2008.05.05 -
    eSafe 7.0.15.0 2008.04.28 -
    eTrust-Vet 31.3.5763 2008.05.06 -
    Ewido 4.0 2008.05.05 -
    F-Prot 4.4.2.54 2008.05.05 -
    F-Secure 6.70.13260.0 2008.05.06 -
    Fortinet 3.14.0.0 2008.05.06 -
    Ikarus T3.1.1.26.0 2008.05.06 -
    Kaspersky 7.0.0.125 2008.05.06 -
    McAfee 5288 2008.05.05 -
    Microsoft 1.3408 2008.04.22 -
    NOD32v2 3078 2008.05.06 -
    Norman 5.80.02 2008.05.05 -
    Panda 9.0.0.4 2008.05.06 -
    Prevx1 V2 2008.05.06 -
    Rising 20.43.02.00 2008.05.05 -
    Sophos 4.29.0 2008.05.06 -
    Sunbelt 3.0.1097.0 2008.05.03 -
    Symantec 10 2008.05.06 -
    TheHacker 6.2.92.300 2008.05.03 -
    VBA32 3.12.6.5 2008.05.05 -
    VirusBuster 4.3.26:9 2008.05.05 -
    Webwasher-Gateway 6.6.2 2008.05.06 -

    Information additionnelle
    File size: 13312 bytes
    MD5...: 2c856908ee61424238772508e9fbcbc8
    SHA1..: 6f304e834495061ca97cd416c7dfcd154c032392
    SHA256: ceccdc3adcfc2b7dfe5c4d204ade71051b580b211774dc72614edf6aa058d89c
    SHA512: d1626b18f77b39ae5098664b8f3fa1956a354fc575ea222705743dea0b809178<BR>d4c53893bc76e1cf6644958fff070dc78e328b83905b5ece829b8124645c69b1
    PEiD..: -
    PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x4025c5<BR>timedatestamp.....: 0x3d6dd73f (Thu Aug 29 08:11:43 2002)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x2208 0x2400 6.78 b86458f6f53d505242113a0f59174190<BR>.data 0x4000 0x1d0 0x200 0.90 12579f545b29ed5a45a753c6dd83b7e0<BR>.rsrc 0x5000 0x870 0xa00 3.84 4669119d68e486203e1eb6582fa3bf1b<BR><BR>( 5 imports ) <BR>> ADVAPI32.dll: RegCloseKey, RegSetValueExA, RegCreateKeyA, RegCreateKeyExA, RegOpenKeyExA, RegDeleteValueA<BR>> KERNEL32.dll: ExitProcess, GetModuleHandleA, GetCommandLineA, GetStartupInfoA, lstrcmpiA, FreeLibrary, LoadLibraryA, CreateEventA, GetSystemInfo, GetCurrentProcess, LocalAlloc, LocalFree, lstrcatA, CreateProcessA, OpenEventA, ResetEvent, CloseHandle, GetProcAddress, DeleteCriticalSection, InitializeCriticalSectionAndSpinCount, GetACP, GetVersionExA, GetSystemWindowsDirectoryA, GetSystemDirectoryA, lstrlenA, lstrcpynA<BR>> USER32.dll: EnumWindows, FindWindowA, PostMessageA, SetTimer, KillTimer, MsgWaitForMultipleObjects, PeekMessageA, TranslateMessage, DispatchMessageA, GetMessageA, SetWindowPos, GetSystemMetrics, LoadCursorA, RegisterClassExA, DefWindowProcA, PostQuitMessage, CreateWindowExA, GetClassNameA<BR>> MSCTF.dll: TF_InvalidAssemblyListCacheIfExist, TF_InitSystem, TF_GetGlobalCompartment, TF_CreateCicLoadMutex, TF_PostAllThreadMsg, TF_InvalidAssemblyListCache, TF_UninitSystem<BR>> MSUTB.dll: GetPopupTipbar, ClosePopupTipbar<BR><BR>( 0 exports ) <BR>






    -voilà l'analyse combofix:






    ComboFix 08-05-01.3 - Administrateur 2008-05-06 13:09:47.4 - NTFSx86

    Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
    Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\system32\winsys.exe

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2008-04-06 to 2008-05-06 ))))))))))))))))))))))))))))))))))))
    .

    2008-05-05 19:40 . 2008-05-05 19:40 <REP> d-------- C:\Program Files\Avira
    2008-05-05 19:40 . 2008-05-05 19:40 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
    2008-05-05 19:36 . 2008-05-05 19:39 1,024 --ah----- C:\WINDOWS\system32\config\systemprofile\NtUser.dat.LOG
    2008-05-05 18:16 . 2008-05-05 18:16 <REP> d-------- C:\WINDOWS\ERUNT
    2008-05-04 18:14 . 2008-05-04 18:14 64 --ah----- C:\aaw7boot.cmd
    2008-05-04 12:56 . 2008-05-04 12:56 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
    2008-05-04 12:56 . 2008-05-04 12:56 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-05-04 12:56 . 2008-05-04 12:56 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
    2008-05-02 13:56 . 2008-05-02 13:56 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
    2008-05-02 13:56 . 2008-05-02 13:56 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Grisoft
    2008-05-02 13:56 . 2007-05-30 14:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
    2008-05-02 13:43 . 2008-05-02 13:43 <REP> d-------- C:\Program Files\Trend Micro
    2008-04-25 02:34 . 2008-04-25 02:34 <REP> d-------- C:\Program Files\VideoLAN
    2008-04-25 02:34 . 2008-04-25 02:34 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\vlc
    2008-04-21 17:56 . 2008-04-21 17:56 <REP> d-------- C:\Program Files\Sony Ericsson
    2008-04-21 17:56 . 2008-04-21 17:56 <REP> d-------- C:\Program Files\Fichiers communs\Teleca Shared
    2008-04-21 17:56 . 2008-04-21 17:56 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Teleca
    2008-04-21 17:56 . 2008-04-21 17:56 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Sony Ericsson
    2008-04-21 17:56 . 2008-04-21 17:57 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Teleca
    2008-04-21 17:55 . 2008-04-21 17:56 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
    2008-04-21 17:54 . 2008-04-21 17:55 <REP> d-------- C:\WINDOWS\Downloaded Installations
    2008-04-21 17:54 . 2008-04-21 17:54 89,872 --a------ C:\WINDOWS\system32\drivers\k750mdm.sys
    2008-04-21 17:54 . 2008-04-21 17:54 81,728 --a------ C:\WINDOWS\system32\drivers\k750mgmt.sys
    2008-04-21 17:54 . 2008-04-21 17:54 79,488 --a------ C:\WINDOWS\system32\drivers\k750obex.sys
    2008-04-21 17:54 . 2008-04-21 17:54 55,216 --a------ C:\WINDOWS\system32\drivers\k750bus.sys
    2008-04-21 17:54 . 2008-04-21 17:54 6,576 --a------ C:\WINDOWS\system32\drivers\k750mdfl.sys
    2008-04-21 17:54 . 2008-04-21 17:54 6,144 --a------ C:\WINDOWS\system32\drivers\k750cmnt.sys
    2008-04-21 17:54 . 2008-04-21 17:54 6,144 --a------ C:\WINDOWS\system32\drivers\k750cm.sys
    2008-04-21 17:54 . 2008-04-21 17:54 5,744 --a------ C:\WINDOWS\system32\drivers\k750whnt.sys
    2008-04-21 17:54 . 2008-04-21 17:54 5,744 --a------ C:\WINDOWS\system32\drivers\k750wh.sys
    2008-04-21 17:52 . 2003-08-25 18:06 182,880 --a------ C:\WINDOWS\system32\iuengine.dll
    2008-04-21 17:52 . 2003-08-25 18:06 182,880 --a--c--- C:\WINDOWS\system32\dllcache\iuengine.dll
    2008-04-21 15:58 . 2008-04-21 21:44 <REP> d-------- C:\Program Files\Guitar Pro 5
    2008-04-20 21:57 . 2008-04-20 21:57 <REP> d-------- C:\Program Files\aMSN
    2008-04-20 21:57 . 2008-05-04 17:29 <REP> d-------- C:\Documents and Settings\Administrateur\amsn
    2008-04-20 21:45 . 2008-04-20 21:45 <REP> d-------- C:\Program Files\MSN Messenger
    2008-04-20 21:38 . 2008-05-05 00:44 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
    2008-04-20 21:03 . 2008-04-20 19:35 261 --a------ C:\WINDOWS\system32\$winnt$.inf

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-04-20 18:31 --------- d-----w C:\Program Files\Alwil Software
    2008-04-20 18:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\MSN6
    2008-04-20 18:15 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\MSN6
    2008-04-20 17:57 --------- d-----w C:\Program Files\Realtek Sound Manager
    2008-04-20 17:57 --------- d-----w C:\Program Files\AvRack
    2008-04-20 17:56 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-04-20 17:50 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
    2008-04-20 17:49 --------- d-----w C:\Program Files\ATI Technologies
    2008-04-20 17:49 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\ATI
    2008-04-20 17:28 558,142 ----a-w C:\WINDOWS\java\Packages\Q57XVVPZ.ZIP
    2008-04-20 17:28 155,995 ----a-w C:\WINDOWS\java\Packages\777FF7ZJ.ZIP
    2008-04-20 17:28 --------- d-----w C:\Program Files\microsoft frontpage
    2008-04-20 17:21 --------- d-----w C:\Program Files\Services en ligne
    .

    ((((((((((((((((((((((((((((( snapshot@2008-05-04_18.19.53,34 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2008-05-04 13:32:37 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2008-05-06 10:56:55 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
    + 2008-05-03 18:18:27 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
    + 2008-05-05 16:17:17 2,084,864 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
    + 2008-05-05 16:17:17 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
    + 2008-05-03 18:18:27 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
    + 2008-05-05 16:16:56 2,084,864 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT
    + 2008-05-05 16:16:57 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
    - 2008-05-02 19:47:37 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
    + 2008-05-05 20:28:28 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
    - 2008-05-02 19:47:37 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
    + 2008-05-05 20:28:28 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
    - 2008-05-02 19:47:37 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    + 2008-05-05 20:28:28 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    + 2008-05-05 17:39:59 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat
    + 2008-05-06 10:54:11 41,792 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys
    + 2008-05-06 10:54:11 22,336 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys
    + 2008-05-06 10:54:11 79,424 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys
    + 2007-03-01 08:34:36 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys
    - 2008-04-20 17:45:05 52,764 ----a-w C:\WINDOWS\system32\perfc009.dat
    + 2008-05-05 15:10:43 52,764 ----a-w C:\WINDOWS\system32\perfc009.dat
    - 2008-04-20 17:45:05 63,614 ----a-w C:\WINDOWS\system32\perfc00C.dat
    + 2008-05-05 15:10:43 63,614 ----a-w C:\WINDOWS\system32\perfc00C.dat
    - 2008-04-20 17:45:05 380,350 ----a-w C:\WINDOWS\system32\perfh009.dat
    + 2008-05-05 15:10:43 380,350 ----a-w C:\WINDOWS\system32\perfh009.dat
    - 2008-04-20 17:45:05 445,016 ----a-w C:\WINDOWS\system32\perfh00C.dat
    + 2008-05-05 15:10:43 445,016 ----a-w C:\WINDOWS\system32\perfh00C.dat
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 11:45 13312]
    "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2002-08-20 15:08 1511453]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-28 21:05 344064]
    "SoundMan"="SOUNDMAN.EXE" [2004-11-16 03:20 77824 C:\WINDOWS\SOUNDMAN.EXE]
    "Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17 159744]
    "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]
    "msmsnger"="C:\WINDOWS\System32\msmsnger.exe" [2002-08-29 11:45 438272]
    "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-05-06 12:54 262401]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
    "winsys"="C:\WINDOWS\System32\winsys.exe" [ ]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 11:45 13312]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "UpdatesDisableNotify"=dword:00000001
    "AntiVirusDisableNotify"=dword:00000001
    "AntiVirusOverride"=dword:00000001
    "FirewallOverride"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "C:\\WINDOWS\\System32\\msmsnger.exe"=


    .
    **************************************************************************

    catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-05-06 13:10:38
    Windows 5.1.2600 Service Pack 1 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************
    .
    Temps d'accomplissement: 2008-05-06 13:10:57
    ComboFix-quarantined-files.txt 2008-05-06 11:10:55
    ComboFix2.txt 2008-05-05 16:11:21
    ComboFix3.txt 2008-05-04 16:24:55
    ComboFix4.txt 2008-05-04 16:20:00

    Pre-Run: 16,154,996,736 octets libres
    Post-Run: 16,154,992,640 octets libres

    142







    voilà mon nouveau hijackthis:









    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 13:18:49, on 06/05/2008
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
    C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
    C:\WINDOWS\System32\msmsnger.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [msmsnger] C:\WINDOWS\System32\msmsnger.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\RunServices: [winsys] C:\WINDOWS\System32\winsys.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-21-583907252-507921405-839522115-500\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

    --
    End of file - 3937 bytes




    6 Mai 2008 17:13:51

    re

    il résiste...


    Copie (Ctrl+C) le texte ci-dessous :
    Killall::
    Rootkit::
    C:\WINDOWS\System32\msmsnger.exe

    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "msmsnger"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
    "winsys"=-



    Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
    Sauvegarde ce fichier sous le nom de CFScript.txt

    Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture


  • Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  • Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
    7 Mai 2008 00:09:56

    Bonjour

    -Voilà le rapport combofix:






    ComboFix 08-05-01.3 - Administrateur 2008-05-07 0:04:23.5 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.754 [GMT 2:00]
    Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
    Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt
    * Création d'un nouveau point de restauration

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\System32\msmsnger.exe

    .
    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-06 to 2008-05-06 ))))))))))))))))))))))))))))))))))))
    .

    2008-05-05 19:40 . 2008-05-05 19:40 <REP> d-------- C:\Program Files\Avira
    2008-05-05 19:40 . 2008-05-05 19:40 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
    2008-05-05 19:36 . 2008-05-05 19:39 1,024 --ah----- C:\WINDOWS\system32\config\systemprofile\NtUser.dat.LOG
    2008-05-05 18:16 . 2008-05-05 18:16 <REP> d-------- C:\WINDOWS\ERUNT
    2008-05-04 18:14 . 2008-05-04 18:14 64 --ah----- C:\aaw7boot.cmd
    2008-05-04 12:56 . 2008-05-04 12:56 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
    2008-05-04 12:56 . 2008-05-04 12:56 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-05-04 12:56 . 2008-05-04 12:56 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
    2008-05-02 13:56 . 2008-05-02 13:56 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
    2008-05-02 13:56 . 2008-05-02 13:56 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Grisoft
    2008-05-02 13:56 . 2007-05-30 14:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
    2008-05-02 13:43 . 2008-05-02 13:43 <REP> d-------- C:\Program Files\Trend Micro
    2008-04-25 02:34 . 2008-04-25 02:34 <REP> d-------- C:\Program Files\VideoLAN
    2008-04-25 02:34 . 2008-04-25 02:34 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\vlc
    2008-04-21 17:56 . 2008-04-21 17:56 <REP> d-------- C:\Program Files\Sony Ericsson
    2008-04-21 17:56 . 2008-04-21 17:56 <REP> d-------- C:\Program Files\Fichiers communs\Teleca Shared
    2008-04-21 17:56 . 2008-04-21 17:56 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Teleca
    2008-04-21 17:56 . 2008-04-21 17:56 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Sony Ericsson
    2008-04-21 17:56 . 2008-04-21 17:57 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Teleca
    2008-04-21 17:55 . 2008-04-21 17:56 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
    2008-04-21 17:54 . 2008-04-21 17:55 <REP> d-------- C:\WINDOWS\Downloaded Installations
    2008-04-21 17:54 . 2008-04-21 17:54 89,872 --a------ C:\WINDOWS\system32\drivers\k750mdm.sys
    2008-04-21 17:54 . 2008-04-21 17:54 81,728 --a------ C:\WINDOWS\system32\drivers\k750mgmt.sys
    2008-04-21 17:54 . 2008-04-21 17:54 79,488 --a------ C:\WINDOWS\system32\drivers\k750obex.sys
    2008-04-21 17:54 . 2008-04-21 17:54 55,216 --a------ C:\WINDOWS\system32\drivers\k750bus.sys
    2008-04-21 17:54 . 2008-04-21 17:54 6,576 --a------ C:\WINDOWS\system32\drivers\k750mdfl.sys
    2008-04-21 17:54 . 2008-04-21 17:54 6,144 --a------ C:\WINDOWS\system32\drivers\k750cmnt.sys
    2008-04-21 17:54 . 2008-04-21 17:54 6,144 --a------ C:\WINDOWS\system32\drivers\k750cm.sys
    2008-04-21 17:54 . 2008-04-21 17:54 5,744 --a------ C:\WINDOWS\system32\drivers\k750whnt.sys
    2008-04-21 17:54 . 2008-04-21 17:54 5,744 --a------ C:\WINDOWS\system32\drivers\k750wh.sys
    2008-04-21 17:52 . 2003-08-25 18:06 182,880 --a------ C:\WINDOWS\system32\iuengine.dll
    2008-04-21 17:52 . 2003-08-25 18:06 182,880 --a--c--- C:\WINDOWS\system32\dllcache\iuengine.dll
    2008-04-21 15:58 . 2008-04-21 21:44 <REP> d-------- C:\Program Files\Guitar Pro 5
    2008-04-20 21:57 . 2008-04-20 21:57 <REP> d-------- C:\Program Files\aMSN
    2008-04-20 21:57 . 2008-05-04 17:29 <REP> d-------- C:\Documents and Settings\Administrateur\amsn
    2008-04-20 21:45 . 2008-04-20 21:45 <REP> d-------- C:\Program Files\MSN Messenger
    2008-04-20 21:38 . 2008-05-05 00:44 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
    2008-04-20 21:03 . 2008-04-20 19:35 261 --a------ C:\WINDOWS\system32\$winnt$.inf

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-04-20 18:31 --------- d-----w C:\Program Files\Alwil Software
    2008-04-20 18:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\MSN6
    2008-04-20 18:15 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\MSN6
    2008-04-20 17:57 --------- d-----w C:\Program Files\Realtek Sound Manager
    2008-04-20 17:57 --------- d-----w C:\Program Files\AvRack
    2008-04-20 17:56 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-04-20 17:50 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
    2008-04-20 17:49 --------- d-----w C:\Program Files\ATI Technologies
    2008-04-20 17:49 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\ATI
    2008-04-20 17:28 558,142 ----a-w C:\WINDOWS\java\Packages\Q57XVVPZ.ZIP
    2008-04-20 17:28 155,995 ----a-w C:\WINDOWS\java\Packages\777FF7ZJ.ZIP
    2008-04-20 17:28 --------- d-----w C:\Program Files\microsoft frontpage
    2008-04-20 17:21 --------- d-----w C:\Program Files\Services en ligne
    .

    ((((((((((((((((((((((((((((( snapshot@2008-05-04_18.19.53,34 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2008-05-04 13:32:37 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2008-05-06 22:05:59 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
    + 2008-05-03 18:18:27 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
    + 2008-05-05 16:17:17 2,084,864 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
    + 2008-05-05 16:17:17 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
    + 2008-05-03 18:18:27 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
    + 2008-05-05 16:16:56 2,084,864 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT
    + 2008-05-05 16:16:57 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
    - 2008-05-02 19:47:37 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
    + 2008-05-05 20:28:28 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
    - 2008-05-02 19:47:37 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
    + 2008-05-05 20:28:28 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
    - 2008-05-02 19:47:37 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    + 2008-05-05 20:28:28 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    + 2008-05-05 17:39:59 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat
    + 2008-05-06 10:54:11 41,792 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys
    + 2008-05-06 10:54:11 22,336 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys
    + 2008-05-06 10:54:11 79,424 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys
    + 2007-03-01 08:34:36 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys
    - 2008-04-20 17:45:05 52,764 ----a-w C:\WINDOWS\system32\perfc009.dat
    + 2008-05-05 15:10:43 52,764 ----a-w C:\WINDOWS\system32\perfc009.dat
    - 2008-04-20 17:45:05 63,614 ----a-w C:\WINDOWS\system32\perfc00C.dat
    + 2008-05-05 15:10:43 63,614 ----a-w C:\WINDOWS\system32\perfc00C.dat
    - 2008-04-20 17:45:05 380,350 ----a-w C:\WINDOWS\system32\perfh009.dat
    + 2008-05-05 15:10:43 380,350 ----a-w C:\WINDOWS\system32\perfh009.dat
    - 2008-04-20 17:45:05 445,016 ----a-w C:\WINDOWS\system32\perfh00C.dat
    + 2008-05-05 15:10:43 445,016 ----a-w C:\WINDOWS\system32\perfh00C.dat
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 11:45 13312]
    "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2002-08-20 15:08 1511453]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-28 21:05 344064]
    "SoundMan"="SOUNDMAN.EXE" [2004-11-16 03:20 77824 C:\WINDOWS\SOUNDMAN.EXE]
    "Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17 159744]
    "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]
    "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-05-06 12:54 262401]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 11:45 13312]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "UpdatesDisableNotify"=dword:00000001
    "AntiVirusDisableNotify"=dword:00000001
    "AntiVirusOverride"=dword:00000001
    "FirewallOverride"=dword:00000001

    R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-05-06 12:54]
    R0 SI3112r;ATI-437A Serial ATA Controller;C:\WINDOWS\System32\DRIVERS\SI3112r.sys [2005-06-01 17:40]
    R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-05-06 12:54]

    .
    **************************************************************************

    catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-05-07 00:06:31
    Windows 5.1.2600 Service Pack 1 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\WINDOWS\system32\ati2evxx.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\system32\ati2evxx.exe
    C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
    C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-05-07 0:07:08 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-05-06 22:07:05
    ComboFix2.txt 2008-05-06 11:10:58
    ComboFix3.txt 2008-05-05 16:11:21
    ComboFix4.txt 2008-05-04 16:24:55
    ComboFix5.txt 2008-05-04 16:20:00

    Pre-Run: 16,087,101,440 octets libres
    Post-Run: 16,083,120,128 octets libres

    156








    -voilà un nouveau rapport hijackthis:









    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 00:10:01, on 07/05/2008
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
    C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\internet explorer\iexplore.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

    --
    End of file - 3657 bytes




    7 Mai 2008 14:37:55

    re

    ok, mets à jours windows maintenant: règle 1
    Sécuriser son PC

    supprime C:\QooBox

    puis

    ~Fais une analyse antivirus en ligne sur le site de Kaspersky
    http://webscanner.kaspersky.fr/

    ~ Clique sur Online Scanner.
    ~Accepte l'installation du contrôle ActiveX en cliquant sur le bouton Install.

    ~Sélectionne le poste de travail comme analyse.

    ~Enregistre le rapport en cliquant sur le bouton "Enregistrer rapport sous". Nomme-le, tu feras un copier/coller dans ta prochaine réponse.

    Tuto du scan en ligne
    7 Mai 2008 17:53:27

    Bonjour ^^
    Voilà le rapport par kaspersky








    KASPERSKY ON-LINE SCANNER REPORT
    Wednesday, May 07, 2008 5:48:09 PM
    Système d'exploitation : Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
    Kaspersky On-line Scanner version : 5.0.83.0
    Dernière mise à jour de la base antivirus Kaspersky : 7/05/2008
    Enregistrements dans la base antivirus Kaspersky : 665978


    Paramètres d'analyse
    Analyser avec la base antivirus suivante standard
    Analyser les archives vrai
    Analyser les bases de messagerie vrai

    Cible de l'analyse Poste de travail
    C:\
    D:\
    E:\
    F:\
    G:\
    H:\
    I:\

    Statistiques de l'analyse
    Total d'objets analysés 32329
    Nombre de virus trouvés 0
    Nombre d'objets infectés 0 / 0
    Nombre d'objets suspects 0
    Durée de l'analyse 00:16:19

    Nom de l'objet infecté Nom du virus Dernière action
    C:\Documents and Settings\Administrateur\Application Data\Teleca\Telecalib\Logging\Application logs\SpecificUSB_log.txt L'objet est verrouillé ignoré

    C:\Documents and Settings\Administrateur\Cookies\index.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

    C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\MSHist012008050720080508\index.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\Administrateur\Local Settings\Temp\~DFCCA5.tmp L'objet est verrouillé ignoré

    C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\Administrateur\NTUSER.DAT L'objet est verrouillé ignoré

    C:\Documents and Settings\Administrateur\ntuser.dat.LOG L'objet est verrouillé ignoré

    C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

    C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

    C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

    C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

    C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

    C:\System Volume Information\_restore{0FBFB1DA-BF7F-4F18-B228-743EEC886A40}\RP16\change.log L'objet est verrouillé ignoré

    C:\WINDOWS\Debug\oakley.log L'objet est verrouillé ignoré

    C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

    C:\WINDOWS\Internet Logs\DAM-CUNGZYF0Y9G.ldb L'objet est verrouillé ignoré

    C:\WINDOWS\Internet Logs\fwdbglog.txt L'objet est verrouillé ignoré

    C:\WINDOWS\Internet Logs\fwpktlog.txt L'objet est verrouillé ignoré

    C:\WINDOWS\Internet Logs\IAMDB.RDB L'objet est verrouillé ignoré

    C:\WINDOWS\Internet Logs\tvDebug.log L'objet est verrouillé ignoré

    C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

    C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

    C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

    C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

    C:\WINDOWS\TEMP\ZLT05b2f.TMP L'objet est verrouillé ignoré

    C:\WINDOWS\TEMP\ZLT05b32.TMP L'objet est verrouillé ignoré

    Analyse terminée.













    voilà un nouveau hijack:













    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:51:25, on 07/05/2008
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
    C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    --
    End of file - 4122 bytes
    7 Mai 2008 21:30:39

    re

    tu n'as pas fait tout ce que je demandais...

    pour la mise à jours de XP???
    7 Mai 2008 22:38:49

    Re

    En fait j'ai préféré installer les différents composants comme CCleaner avant et j'ai complètement oublié la mise à jour XD

    Je viens de régler ce petit détail ^^

    Voilà le hijackthis :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 22:41:19, on 07/05/2008
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
    C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
    C:\Program Files\internet explorer\iexplore.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Cont...
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    --
    End of file - 4319 bytes
    7 Mai 2008 23:15:03

    RE
    Et un nouveau rapport Kaspersky un ...



    KASPERSKY ON-LINE SCANNER REPORT
    Wednesday, May 07, 2008 11:14:31 PM
    Système d'exploitation : Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
    Kaspersky On-line Scanner version : 5.0.83.0
    Dernière mise à jour de la base antivirus Kaspersky : 7/05/2008
    Enregistrements dans la base antivirus Kaspersky : 666564


    Paramètres d'analyse
    Analyser avec la base antivirus suivante standard
    Analyser les archives vrai
    Analyser les bases de messagerie vrai

    Cible de l'analyse Poste de travail
    C:\
    D:\
    E:\
    F:\
    G:\
    H:\
    I:\

    Statistiques de l'analyse
    Total d'objets analysés 34482
    Nombre de virus trouvés 0
    Nombre d'objets infectés 0 / 0
    Nombre d'objets suspects 0
    Durée de l'analyse 00:28:26

    Nom de l'objet infecté Nom du virus Dernière action
    C:\Documents and Settings\Administrateur\Application Data\Teleca\Telecalib\Logging\Application logs\SpecificUSB_log.txt L'objet est verrouillé ignoré

    C:\Documents and Settings\Administrateur\Cookies\index.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

    C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\MSHist012008050720080508\index.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\Administrateur\NTUSER.DAT L'objet est verrouillé ignoré

    C:\Documents and Settings\Administrateur\ntuser.dat.LOG L'objet est verrouillé ignoré

    C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

    C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

    C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

    C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

    C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

    C:\System Volume Information\_restore{0FBFB1DA-BF7F-4F18-B228-743EEC886A40}\RP21\change.log L'objet est verrouillé ignoré

    C:\WINDOWS\Debug\oakley.log L'objet est verrouillé ignoré

    C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

    C:\WINDOWS\Internet Logs\DAM-CUNGZYF0Y9G.ldb L'objet est verrouillé ignoré

    C:\WINDOWS\Internet Logs\fwdbglog.txt L'objet est verrouillé ignoré

    C:\WINDOWS\Internet Logs\fwpktlog.txt L'objet est verrouillé ignoré

    C:\WINDOWS\Internet Logs\IAMDB.RDB L'objet est verrouillé ignoré

    C:\WINDOWS\Internet Logs\tvDebug.log L'objet est verrouillé ignoré

    C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

    C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb L'objet est verrouillé ignoré

    C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log L'objet est verrouillé ignoré

    C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edbtmp.log L'objet est verrouillé ignoré

    C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb L'objet est verrouillé ignoré

    C:\WINDOWS\SoftwareDistribution\Download\4ad242756613df3e539d49e3db7fff27\download\BIT2DC.tmp L'objet est verrouillé ignoré

    C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

    C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

    C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

    C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

    C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

    C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

    C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

    C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

    C:\WINDOWS\TEMP\ZLT06cd4.TMP L'objet est verrouillé ignoré

    C:\WINDOWS\TEMP\ZLT06cd7.TMP L'objet est verrouillé ignoré

    C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

    D:\System Volume Information\_restore{0FBFB1DA-BF7F-4F18-B228-743EEC886A40}\RP21\change.log L'objet est verrouillé ignoré

    Analyse terminée.
    8 Mai 2008 18:14:11

    bonjour

    Citation :
    Je viens de régler ce petit détail ^^

    Voilà le hijackthis :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 22:41:19, on 07/05/2008
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


    tu n'as rien réglé du tout

    clique ici:
    http://windowsupdate.microsoft.com/

    avec internet explorer (pas avec firefox)

    et fais tes mises à jours, sinon, tu reviens la semaine prochaine :D 

    9 Mai 2008 01:11:47

    Bonjour ^^

    en fait j'ai du faire la mise à jour et j'ai mis sur mise à jour automatique je ne comprend pas pourquoi il ne l'a pas fait entièrement
    Du coup je l'est refais avec installation du pack sp2 la je pense c'est bon ^^

    voilà Hijackthis:


    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 01:08:07, on 09/05/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\msiexec.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
    C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
    \?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
    C:\Program Files\Windows Live\installer\WLSetupSvc.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\Windows Live\Messenger\usnsvc.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Cont...
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    --
    End of file - 4878 bytes


    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS