Se connecter / S'enregistrer
Votre question

Infection virus

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
25 Avril 2008 20:49:53

bonjour,
je suis infecté par un virus qui envoie des mails, beaucoup de mails. c'est avast qui s'en ait aperçu mais il ne trouve pas le virus. J'ai aussi fait tourner ccleaner, ad aware, a-square, spybot sans succès. Voici un log hijack de la situation:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:42:42, on 25/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Atheros\ACU.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\Wireless Console 2\wcourier.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\3M\PSNLite\PsnLite.exe
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RemoteControlService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\StkCSrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.altavista.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ACU] "C:\Program Files\Atheros\ACU.exe" -nogui
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [Wireless Console 2] C:\Program Files\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [advap32] "C:\Documents and Settings\Propriétaire\Bureau\.//..//~tmp1174.exe" /r
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?401b096f1cc14d46b247fc2bc954fbf
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?401b096f1cc14d46b247fc2bc954fbf
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Service de configuration Atheros (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ITE Remote Control Service (ITECIRService) - ITE Tech. Inc. - C:\WINDOWS\system32\RemoteControlService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Syntek AVStream USB2.0 WebCam Service (StkSSrv) - Syntek America Inc. - C:\WINDOWS\System32\StkCSrv.exe

--
End of file - 8206 bytes

Merci d'avance pour votre aide !!!

Autres pages sur : infection virus

25 Avril 2008 21:48:38

bonsoir

Cette procédure doit être imprimée pour que tu puisses l’avoir sous les yeux quand tu seras en mode sans échec.

Télécharge SDFix(créé par AndyManchesta) et sauvegarde le sur ton Bureau.
***Si le lien ne fonctionne pas, essaie celui-ci : http://download.bleepingcomputer.com/andymanchesta/SDFi... ***

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.
    Déroule la liste des instructions ci-dessous :
  • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
    25 Avril 2008 23:45:15

    Merci pour ta réponse rapide !

    J'ai suivi toutes tes instructions.
    Avast continue de détecter un envoi de mails mais j'ai l'impression que la fréquence des envois a diminué, c'est déjà ça.

    Voici le log du fix:


    SDFix: Version 1.174
    Run by Propri‚taire on 25/04/2008 at 22:30

    Microsoft Windows XP [version 5.1.2600]
    Running From: C:\SDFix

    Checking Services :


    Restoring Windows Registry Values
    Restoring Windows Default Hosts File

    Rebooting


    Checking Files :

    Trojan Files Found:

    C:\Documents and Settings\Propri‚taire\~tmp1174.exe - Deleted
    C:\WINDOWS\system32\WLCtrl32.dll - Deleted





    Removing Temp Files

    ADS Check :



    Final Check :

    catchme 0.3.1353.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-04-25 23:31:58
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden services & system hive ...

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
    "s1"=dword:2df9c43f
    "s2"=dword:110480d0
    "h0"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
    "p0"="C:\Program Files\DAEMON Tools Lite\"
    "h0"=dword:00000000
    "khjeh"=hex:47,12,17,f8,2d,3b,e4,52,98,30,ea,2b,6d,e5,98,e4,4a,98,47,a9,fd,..

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
    "a0"=hex:20,01,00,00,58,71,5e,fd,d9,40,e8,fd,10,2e,a9,d3,dc,1a,63,63,7e,..
    "khjeh"=hex:af,3d,46,38,22,20,a4,84,56,d5,31,1a,c6,cf,0b,1a,ed,ee,89,3e,3c,..

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
    "khjeh"=hex:a2,2d,f5,20,e5,2c,2f,8a,d3,8f,59,44,73,66,b1,64,5a,95,37,de,ee,..
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
    "p0"="C:\Program Files\DAEMON Tools Lite\"
    "h0"=dword:00000000
    "khjeh"=hex:47,12,17,f8,2d,3b,e4,52,98,30,ea,2b,6d,e5,98,e4,4a,98,47,a9,fd,..

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
    "a0"=hex:20,01,00,00,58,71,5e,fd,d9,40,e8,fd,10,2e,a9,d3,dc,1a,63,63,7e,..
    "khjeh"=hex:af,3d,46,38,22,20,a4,84,56,d5,31,1a,c6,cf,0b,1a,ed,ee,89,3e,3c,..

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
    "khjeh"=hex:a2,2d,f5,20,e5,2c,2f,8a,d3,8f,59,44,73,66,b1,64,5a,95,37,de,ee,..

    scanning hidden registry entries ...

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
    "TracesProcessed"=dword:00000000
    "TracesSuccessful"=dword:00000000
    "LastTraceFailure"=dword:00000000

    scanning hidden files ...

    C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\G12R41EN\ic_eu_truste[1].gif 1907 bytes

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 14


    Remaining Services :




    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
    "C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
    "C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
    "C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
    "C:\\Program Files\\Mozilla Firefox\\firefox.exe"="C:\\Program Files\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
    "C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype. Take a deep breath "

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
    "C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

    Remaining Files :


    File Backups: - C:\SDFix\backups\backups.zip

    Files with Hidden Attributes :

    Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
    Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
    Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
    Thu 14 Feb 2008 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

    Finished!








    et le nouveau log Hijack:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 23:39:33, on 25/04/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\acs.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\a-squared Free\a2service.exe
    C:\WINDOWS\system32\RemoteControlService.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\StkCSrv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\notepad.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Atheros\ACU.exe
    C:\WINDOWS\ATK0100\HControl.exe
    C:\Program Files\Wireless Console 2\wcourier.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
    C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\DAEMON Tools Lite\daemon.exe
    C:\Program Files\SuperCopier\SuperCopier.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\3M\PSNLite\PsnLite.exe
    C:\PROGRA~1\3M\PSNLite\PSNGive.exe
    C:\WINDOWS\ATK0100\ATKOSD.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.altavista.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [ACU] "C:\Program Files\Atheros\ACU.exe" -nogui
    O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
    O4 - HKLM\..\Run: [Wireless Console 2] C:\Program Files\Wireless Console 2\wcourier.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
    O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?401b096f1cc14d46b247fc2bc954fbf
    O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?401b096f1cc14d46b247fc2bc954fbf
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
    O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: Service de configuration Atheros (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: ITE Remote Control Service (ITECIRService) - ITE Tech. Inc. - C:\WINDOWS\system32\RemoteControlService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Syntek AVStream USB2.0 WebCam Service (StkSSrv) - Syntek America Inc. - C:\WINDOWS\System32\StkCSrv.exe

    --
    End of file - 7867 bytes


    En espérant que tout ceci te permette d'y voir plus clair.

    Contenus similaires
    26 Avril 2008 12:29:35

    bonjour

    SDFix en a traité un sur les deux...

    1

    Ouvre Spybot , clique sur l'onglet Mode et choisis Mode Avancé
    Ne tiens pas compte de l'avertissement
    En bas à gauche , clique sur Outils
    Toujours dans la colonne de gauche , clique sur Résident ( pas dans la fenêtre centrale )
    Et décoche l'option Resident "TeaTimer".......

    2

    ~Télécharge OTMoveIt (d'OldTimer). Sauvegarde-le sur ton Bureau.

    ~Lance Hijackthis “Do a system scan only”.
    Coche les lignes qui suivent si encore présentes et uniquement celles-là.

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    Inconnu
    O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
    O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\

    Clique sur Fix checked (en bas à gauche)


    Sélectionne TOUS les emplacements en gras ci-dessous :

    C:\WINDOWS\SYSTEM32\WinNt32.dll

    ---> Clique-droit puis Copier (ou Ctrl+C)

    Double-clique sur OTMoveIt.exe afin de le lancer.
    Fais un Clique-droit sur le cadre de gauche puis choisis Coller (ou Ctrl+V).
    Clique maintenant sur MoveIt![/#f]

    [#ff0e00]Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.

    Accepte en cliquant sur YES.

    Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
    Le nom du rapport correspond au moment de sa création : date_heure.log


    26 Avril 2008 14:49:08

    Voilà:

    DllUnregisterServer procedure not found in C:\WINDOWS\SYSTEM32\WinNt32.dll
    C:\WINDOWS\SYSTEM32\WinNt32.dll NOT unregistered.
    C:\WINDOWS\SYSTEM32\WinNt32.dll moved successfully.

    OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 04262008_143629
    26 Avril 2008 15:09:24

    Au cas où tu me poses la question, Avast détecte encore des mails sortants non identifiés
    26 Avril 2008 23:38:34

    bonsoir

    Télécharge MalwareByte's Anti-Malware sur ton Bureau.
    Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.

    Une fois l'installation et la mise à jour effectuées, redémarre en mode sans échec.
    AIDE : Redémarrer en mode sans échec

  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche, clic sur"Rechercher".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
    -- si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
    -- si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau afin de le poster dans ta prochaine réponse.
    [#ff0000]REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.[/#f]

    AIDE : Tuto en images sur MBAM

    27 Avril 2008 00:26:05

    Le programme n'a rien trouvé.

    Le rapport:
    Malwarebytes' Anti-Malware 1.11
    Version de la base de données: 687

    Type de recherche: Examen complet (C:\|D:\|)
    Eléments examinés: 57020
    Temps écoulé: 15 minute(s), 16 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    27 Avril 2008 10:22:00

    J'ai installé AntiVir à la place d'avast, sur le conseil du topic "quel antivirus choisir?". Il a trouvé 35 infections différentes ! Par contre il y a un fichier infecté qu'il n'arrive pas à supprimer ou à mettre en quarantaine:

    C:\WINDOWS\system32\WinNt32.dll
    [DETECTION] Is the Trojan horse TR/Spy.Gen
    [WARNING] The file could not be deleted!


    Voici le rapport complet:



    Avira AntiVir Personal
    Report file date: dimanche 27 avril 2008 09:14

    Scanning for 1237787 virus strains and unwanted programs.

    Licensed to: Avira AntiVir PersonalEdition Classic
    Serial number: 0000149996-ADJIE-0001
    Platform: Windows XP
    Windows version: (Service Pack 2) [5.1.2600]
    Boot mode: Normally booted
    Username: SYSTEM
    Computer name: PROPRI-EC671DA5

    Version information:
    BUILD.DAT : 8.1.00.295 16479 Bytes 09/04/2008 16:24:00
    AVSCAN.EXE : 8.1.2.12 311553 Bytes 18/03/2008 09:02:56
    AVSCAN.DLL : 8.1.1.0 53505 Bytes 07/02/2008 08:43:37
    LUKE.DLL : 8.1.2.9 151809 Bytes 28/02/2008 08:41:23
    LUKERES.DLL : 8.1.2.1 12033 Bytes 21/02/2008 08:28:40
    ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 10:33:34
    ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 13:08:58
    ANTIVIR2.VDF : 7.0.3.197 1260032 Bytes 22/04/2008 07:13:37
    ANTIVIR3.VDF : 7.0.3.216 137216 Bytes 25/04/2008 07:13:38
    Engineversion : 8.1.0.35
    AEVDF.DLL : 8.1.0.5 102772 Bytes 25/02/2008 09:58:21
    AESCRIPT.DLL : 8.1.0.27 233851 Bytes 27/04/2008 07:13:44
    AESCN.DLL : 8.1.0.14 119156 Bytes 27/04/2008 07:13:43
    AERDL.DLL : 8.1.0.20 418165 Bytes 27/04/2008 07:13:43
    AEPACK.DLL : 8.1.1.2 364917 Bytes 27/04/2008 07:13:42
    AEOFFICE.DLL : 8.1.0.18 192890 Bytes 27/04/2008 07:13:42
    AEHEUR.DLL : 8.1.0.20 1196406 Bytes 27/04/2008 07:13:41
    AEHELP.DLL : 8.1.0.14 115063 Bytes 27/04/2008 07:13:40
    AEGEN.DLL : 8.1.0.18 299381 Bytes 27/04/2008 07:13:39
    AEEMU.DLL : 8.1.0.5 430450 Bytes 07/04/2008 15:34:43
    AECORE.DLL : 8.1.0.27 168310 Bytes 27/04/2008 07:13:39
    AVWINLL.DLL : 1.0.0.7 14593 Bytes 23/01/2008 17:07:53
    AVPREF.DLL : 8.0.0.1 25857 Bytes 18/02/2008 10:37:50
    AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:26:47
    AVREG.DLL : 8.0.0.0 30977 Bytes 23/01/2008 17:07:49
    AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:23
    AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28/02/2008 08:31:31
    SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
    SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23/01/2008 17:08:39
    NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:10
    RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10/03/2008 14:37:25
    RCTEXT.DLL : 8.0.32.0 86273 Bytes 06/03/2008 12:02:11

    Configuration settings for the scan:
    Jobname..........................: Complete system scan
    Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
    Logging..........................: low
    Primary action...................: interactive
    Secondary action.................: ignore
    Scan master boot sector..........: on
    Scan boot sector.................: on
    Boot sectors.....................: C:, D:,
    Scan memory......................: on
    Process scan.....................: on
    Scan registry....................: on
    Search for rootkits..............: off
    Scan all files...................: Intelligent file selection
    Scan archives....................: on
    Recursion depth..................: 20
    Smart extensions.................: on
    Macro heuristic..................: on
    File heuristic...................: medium

    Start of the scan: dimanche 27 avril 2008 09:14

    The scan of running processes will be started
    Scan process 'avscan.exe' - '1' Module(s) have been scanned
    Scan process 'avcenter.exe' - '1' Module(s) have been scanned
    Scan process 'avgnt.exe' - '1' Module(s) have been scanned
    Scan process 'avguard.exe' - '1' Module(s) have been scanned
    Scan process 'sched.exe' - '1' Module(s) have been scanned
    Scan process 'WLLoginProxy.exe' - '1' Module(s) have been scanned
    Scan process 'IEXPLORE.EXE' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'PSNGive.exe' - '1' Module(s) have been scanned
    Scan process 'ATKOSD.exe' - '1' Module(s) have been scanned
    Scan process 'PsnLite.exe' - '1' Module(s) have been scanned
    Scan process 'SuperCopier.exe' - '1' Module(s) have been scanned
    Scan process 'daemon.exe' - '1' Module(s) have been scanned
    Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned
    Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
    Scan process 'jusched.exe' - '1' Module(s) have been scanned
    Scan process 'winampa.exe' - '1' Module(s) have been scanned
    Scan process 'wcourier.exe' - '1' Module(s) have been scanned
    Scan process 'HControl.exe' - '1' Module(s) have been scanned
    Scan process 'ACU.exe' - '1' Module(s) have been scanned
    Scan process 'rundll32.exe' - '1' Module(s) have been scanned
    Scan process 'RTHDCPL.exe' - '1' Module(s) have been scanned
    Scan process 'alg.exe' - '1' Module(s) have been scanned
    Scan process 'wscntfy.exe' - '1' Module(s) have been scanned
    Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned
    Scan process 'StkCSrv.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
    Scan process 'RemoteControlService.exe' - '1' Module(s) have been scanned
    Scan process 'a2service.exe' - '1' Module(s) have been scanned
    Scan process 'acs.exe' - '1' Module(s) have been scanned
    Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
    Scan process 'aawservice.exe' - '1' Module(s) have been scanned
    Scan process 'explorer.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'lsass.exe' - '1' Module(s) have been scanned
    Scan process 'services.exe' - '1' Module(s) have been scanned
    Scan process 'winlogon.exe' - '1' Module(s) have been scanned
    Scan process 'csrss.exe' - '1' Module(s) have been scanned
    Scan process 'smss.exe' - '1' Module(s) have been scanned
    45 processes with 45 modules were scanned

    Starting master boot sector scan:
    Master boot sector HD0
    [INFO] No virus was found!

    Start scanning boot sectors:
    Boot sector 'C:\'
    [INFO] No virus was found!
    Boot sector 'D:\'
    [INFO] No virus was found!

    Starting to scan the registry.
    C:\WINDOWS\system32\WinNt32.dll
    [DETECTION] Is the Trojan horse TR/Spy.Gen
    [WARNING] An error has occurred and the file was not deleted. ErrorID: 26003
    [WARNING]

    The registry was scanned ( '35' files ).


    Starting the file scan:

    Begin scan in 'C:\'
    C:\pagefile.sys
    [WARNING] The file could not be opened!
    C:\SDFix\backups\backups.zip
    [0] Archive type: ZIP
    --> backups/WLCtrl32.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    --> backups/~tmp1174.exe
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [WARNING] The file was ignored!
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP102\A0008874.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '48442b72.qua'!
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP102\A0008888.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '48442b75.qua'!
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP103\snapshot\MFEX-1.DAT
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '48592b8f.qua'!
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP103\snapshot\MFEX-2.DAT
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '48592b92.qua'!
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP104\A0008911.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '48442b7f.qua'!
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP104\snapshot\MFEX-1.DAT
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was moved to '48592b99.qua'!
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP104\snapshot\MFEX-2.DAT
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was deleted!
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP105\A0008930.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was deleted!
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP105\snapshot\MFEX-1.DAT
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was deleted!
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP105\snapshot\MFEX-2.DAT
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was deleted!
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP106\A0009129.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was deleted!
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP106\A0009155.dll
    [DETECTION] Is the Trojan horse TR/Spy.Gen
    [NOTE] The file was deleted!
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP106\A0009170.dll
    [DETECTION] Is the Trojan horse TR/Spy.Gen
    [NOTE] The file was deleted!
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP106\A0009174.exe
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was deleted!
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP106\A0009175.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was deleted!
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP106\A0009176.dll
    [DETECTION] Is the Trojan horse TR/Spy.Gen
    [NOTE] The file was deleted!
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP106\A0009188.dll
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was deleted!
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP106\A0009189.exe
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was deleted!
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP106\A0009224.dll
    [DETECTION] Is the Trojan horse TR/Spy.Gen
    [NOTE] The file was deleted!
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP106\A0009236.dll
    [DETECTION] Is the Trojan horse TR/Spy.Gen
    [NOTE] The file was deleted!
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP106\A0009266.dll
    [DETECTION] Is the Trojan horse TR/Spy.Gen
    [NOTE] The file was deleted!
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP106\A0010266.dll
    [DETECTION] Is the Trojan horse TR/Spy.Gen
    [NOTE] The file was deleted!
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP106\A0010281.dll
    [DETECTION] Is the Trojan horse TR/Spy.Gen
    [NOTE] The file was deleted!
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP106\A0010292.dll
    [DETECTION] Is the Trojan horse TR/Spy.Gen
    [NOTE] The file was deleted!
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP106\A0010296.dll
    [DETECTION] Is the Trojan horse TR/Spy.Gen
    [NOTE] The file was deleted!
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP106\A0010308.dll
    [DETECTION] Is the Trojan horse TR/Spy.Gen
    [NOTE] The file was deleted!
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP106\A0010329.dll
    [DETECTION] Is the Trojan horse TR/Spy.Gen
    [NOTE] The file was deleted!
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP106\A0010453.dll
    [DETECTION] Is the Trojan horse TR/Spy.Gen
    [NOTE] The file was deleted!
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP106\snapshot\MFEX-1.DAT
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was deleted!
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP106\snapshot\MFEX-2.DAT
    [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
    [NOTE] The file was deleted!
    C:\WINDOWS\system32\WinNt32.dll
    [DETECTION] Is the Trojan horse TR/Spy.Gen
    [WARNING] The file could not be deleted!
    C:\WINDOWS\system32\drivers\Mve32.sys
    [WARNING] The file could not be opened!
    C:\WINDOWS\system32\drivers\sptd.sys
    [WARNING] The file could not be opened!
    C:\_OTMoveIt\MovedFiles\04262008_143629\WINDOWS\SYSTEM32\WinNt32.dll
    [DETECTION] Is the Trojan horse TR/Spy.Gen
    [NOTE] The file was deleted!
    Begin scan in 'D:\'


    End of the scan: dimanche 27 avril 2008 09:43
    Used time: 28:41 min

    The scan has been done completely.

    2984 Scanning directories
    133814 Files were scanned
    35 viruses and/or unwanted programs were found
    0 Files were classified as suspicious:
    25 files were deleted
    0 files were repaired
    6 files were moved to quarantine
    0 files were renamed
    3 Files cannot be scanned
    133779 Files not concerned
    897 Archives were scanned
    6 Warnings
    31 Notes

    27 Avril 2008 19:31:33

    bonsoir
    Désactive ton antivirus et tout autre type de protection.
    Télécharge ComboFix de sUBs :
    ComboFix.exe
    et sauvegarde le sur ton bureau et pas ailleurs!

    Double-clic sur ComboFix, Il va te poser une question, suis les invites puis attends que combofix ait terminé, il est possible que ton PC reboot, c’est normal, un rapport sera créé.Poste le rapport:C:\Combofix.txt
    clique dessus pour l'ouvrir, puis édition "sélectionner tout", édition "copier"

    viens sur le forum et édition "coller"

    ajoute un nouveau rapport Hijackthis.
    27 Avril 2008 19:50:22

    Voici le rapport Combo Fix:

    ComboFix 08-04-26.5 - Propriétaire 2008-04-27 19:45:16.1 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.490 [GMT 2:00]
    Endroit: C:\Documents and Settings\Propriétaire\Bureau\ComboFix.exe
    * Création d'un nouveau point de restauration

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\system32\dllcache\spoolsv.exe

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2008-03-27 to 2008-04-27 ))))))))))))))))))))))))))))))))))))
    .

    2008-04-27 18:14 . 2008-04-27 18:14 244 --ah----- C:\sqmnoopt14.sqm
    2008-04-27 18:14 . 2008-04-27 18:14 232 --ah----- C:\sqmdata14.sqm
    2008-04-27 10:02 . 2008-04-27 10:02 244 --ah----- C:\sqmnoopt13.sqm
    2008-04-27 10:02 . 2008-04-27 10:02 232 --ah----- C:\sqmdata13.sqm
    2008-04-27 09:12 . 2008-04-27 09:12 <REP> d-------- C:\Program Files\Avira
    2008-04-27 09:12 . 2008-04-27 09:12 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
    2008-04-27 09:03 . 2008-04-27 09:03 244 --ah----- C:\sqmnoopt12.sqm
    2008-04-27 09:03 . 2008-04-27 09:03 232 --ah----- C:\sqmdata12.sqm
    2008-04-26 23:54 . 2008-04-26 23:54 244 --ah----- C:\sqmnoopt11.sqm
    2008-04-26 23:54 . 2008-04-26 23:54 232 --ah----- C:\sqmdata11.sqm
    2008-04-26 23:52 . 2008-04-26 23:52 <REP> d-------- C:\Documents and Settings\Propriétaire\Application Data\Malwarebytes
    2008-04-26 23:51 . 2008-04-26 23:51 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
    2008-04-26 23:51 . 2008-04-26 23:51 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-04-26 18:45 . 2008-04-26 18:45 244 --ah----- C:\sqmnoopt10.sqm
    2008-04-26 18:45 . 2008-04-26 18:45 232 --ah----- C:\sqmdata10.sqm
    2008-04-26 14:46 . 2008-04-27 18:15 10,240 --a------ C:\WINDOWS\system32\WinNt32.dll
    2008-04-26 14:36 . 2008-04-26 14:36 <REP> d-------- C:\_OTMoveIt
    2008-04-26 10:54 . 2008-04-26 10:54 244 --ah----- C:\sqmnoopt09.sqm
    2008-04-26 10:54 . 2008-04-26 10:54 232 --ah----- C:\sqmdata09.sqm
    2008-04-26 10:53 . 2008-04-27 19:46 944,160 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
    2008-04-26 10:53 . 2008-04-27 18:14 12,704 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
    2008-04-26 10:52 . 2008-04-26 10:52 244 --ah----- C:\sqmnoopt07.sqm
    2008-04-26 10:52 . 2008-04-26 10:52 232 --ah----- C:\sqmdata07.sqm
    2008-04-26 10:52 . 2008-04-26 10:52 172 --ah----- C:\sqmnoopt08.sqm
    2008-04-26 10:52 . 2008-04-26 10:52 172 --ah----- C:\sqmdata08.sqm
    2008-04-26 10:50 . 2008-04-26 10:50 <REP> d-------- C:\Program Files\Zone Labs
    2008-04-26 10:50 . 2008-04-26 10:50 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier
    2008-04-26 10:49 . 2008-04-27 13:46 <REP> d-------- C:\WINDOWS\Internet Logs
    2008-04-25 23:49 . 2008-04-25 23:49 244 --ah----- C:\sqmnoopt06.sqm
    2008-04-25 23:49 . 2008-04-25 23:49 232 --ah----- C:\sqmdata06.sqm
    2008-04-25 22:29 . 2008-04-25 22:29 <REP> d-------- C:\WINDOWS\ERUNT
    2008-04-25 22:25 . 2008-04-25 22:25 244 --ah----- C:\sqmnoopt05.sqm
    2008-04-25 22:25 . 2008-04-25 22:25 244 --ah----- C:\sqmnoopt04.sqm
    2008-04-25 22:25 . 2008-04-25 22:25 232 --ah----- C:\sqmdata05.sqm
    2008-04-25 22:25 . 2008-04-25 22:25 232 --ah----- C:\sqmdata04.sqm
    2008-04-25 22:24 . 2008-04-25 23:33 <REP> d-------- C:\SDFix
    2008-04-25 20:16 . 2008-04-25 20:16 244 --ah----- C:\sqmnoopt03.sqm
    2008-04-25 20:16 . 2008-04-25 20:16 232 --ah----- C:\sqmdata03.sqm
    2008-04-25 19:04 . 2008-04-27 18:16 14,976 --a------ C:\WINDOWS\system32\drivers\Mve32.sys
    2008-04-25 19:04 . 2008-04-27 18:16 10,240 --a------ C:\WINDOWS\system32\WinData.cab
    2008-04-25 19:01 . 2008-04-25 19:01 244 --ah----- C:\sqmnoopt02.sqm
    2008-04-25 19:01 . 2008-04-25 19:01 232 --ah----- C:\sqmdata02.sqm
    2008-04-25 18:59 . 2008-04-25 18:59 <REP> d-------- C:\Program Files\Lavasoft
    2008-04-25 18:59 . 2008-04-25 19:00 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
    2008-04-25 18:10 . 2008-04-25 18:10 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
    2008-04-25 18:05 . 2008-04-25 18:05 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
    2008-04-25 18:05 . 2008-04-25 18:55 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2008-04-25 18:03 . 2008-04-25 19:46 <REP> d-------- C:\Program Files\a-squared Free
    2008-04-25 17:57 . 2008-04-25 17:57 <REP> d-------- C:\Program Files\Trend Micro
    2008-04-23 11:21 . 2001-08-23 17:04 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
    2008-04-23 11:21 . 2001-08-23 17:04 12,288 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys
    2008-04-23 11:21 . 2001-08-17 22:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
    2008-04-23 11:21 . 2001-08-17 22:02 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys
    2008-04-22 12:47 . 2008-04-22 12:47 244 --ah----- C:\sqmnoopt01.sqm
    2008-04-22 12:47 . 2008-04-22 12:47 232 --ah----- C:\sqmdata01.sqm
    2008-04-06 23:48 . 2008-04-27 00:29 <REP> d-------- C:\Documents and Settings\Propriétaire\Application Data\skypePM
    2008-04-06 23:48 . 2008-04-06 23:48 32 --a------ C:\Documents and Settings\All Users\Application Data\ezsid.dat
    2008-04-06 23:35 . 2008-04-27 17:49 <REP> d-------- C:\Documents and Settings\Propriétaire\Application Data\Skype
    2008-04-06 23:34 . 2008-04-06 23:34 <REP> d-------- C:\Program Files\Skype
    2008-04-06 23:34 . 2008-04-06 23:34 <REP> d-------- C:\Program Files\Fichiers communs\Skype
    2008-04-06 23:34 . 2008-04-06 23:34 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Skype
    2008-03-30 20:07 . 2008-03-30 20:07 <REP> d-------- C:\Program Files\SuperCopier

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-04-25 19:09 --------- d-----w C:\Program Files\eMule
    2008-04-15 20:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
    2008-04-02 19:08 54,672 ----a-w C:\WINDOWS\system32\vsutil_loc040c.dll
    2008-04-02 19:08 42,384 ----a-w C:\WINDOWS\zllsputility_loc040c.dll
    2008-04-02 19:08 21,904 ----a-w C:\WINDOWS\system32\imsinstall_loc040c.dll
    2008-04-02 19:08 17,808 ----a-w C:\WINDOWS\system32\imslsp_install_loc040c.dll
    2008-04-02 19:07 75,248 ----a-w C:\WINDOWS\zllsputility.exe
    2008-04-02 19:07 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll
    2008-03-25 23:00 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\Winamp
    2008-03-12 21:58 --------- d-----w C:\Program Files\Google
    2008-03-08 14:44 --------- d-----w C:\Program Files\Fichiers communs\Adobe
    2008-03-08 14:10 --------- d-----w C:\Program Files\Java
    .

    ------- Sigcheck -------

    2008-01-12 20:41 359040 6a603809f598332dbedd535bdbce313e C:\WINDOWS\system32\dllcache\TCPIP.SYS
    2008-01-12 20:41 359040 6a603809f598332dbedd535bdbce313e C:\WINDOWS\system32\drivers\TCPIP.SYS
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
    "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 13:55 5674352]
    "DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2008-01-17 18:51 486856]
    "SuperCopier.exe"="C:\Program Files\SuperCopier\SuperCopier.exe" [2003-04-25 00:03 683520]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "RTHDCPL"="RTHDCPL.EXE" [2006-11-14 18:21 16270848 C:\WINDOWS\RTHDCPL.exe]
    "SkyTel"="SkyTel.EXE" [2006-05-16 19:04 2879488 C:\WINDOWS\SkyTel.exe]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-04-27 11:48 7561216]
    "nwiz"="nwiz.exe" [2006-04-27 11:48 1519616 C:\WINDOWS\system32\nwiz.exe]
    "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-04-27 11:48 86016]
    "ACU"="C:\Program Files\Atheros\ACU.exe" [2006-08-07 20:15 336014]
    "HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2006-08-23 23:22 110592]
    "Wireless Console 2"="C:\Program Files\Wireless Console 2\wcourier.exe" [2005-10-17 18:09 987136]
    "WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2007-12-20 17:16 37376]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-12-11 11:56 286720]
    "kab - Shutdown Timer"="" []
    "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
    "ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-04-02 21:07 919016]
    "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]
    "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 13:55 5674352]

    C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Post-it© Software Notes Lite.lnk - C:\Program Files\3M\PSNLite\PsnLite.exe [2004-10-15 15:26:54 2080768]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WinNt32]
    WinNt32.dll 2008-04-27 18:15 10240 C:\WINDOWS\system32\WinNt32.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "VIDC.YV12"= yv12vfw.dll

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Blu08.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Gpx54.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Gqa08.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Gqy76.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Hra22.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Mve32.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Nwf43.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Sck10.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Sck32.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Xiq33.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Yjr11.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\MSN Messenger\\livecall.exe"=
    "C:\\Program Files\\eMule\\emule.exe"=
    "C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
    "C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
    "C:\\Program Files\\Skype\\Phone\\Skype.exe"=

    R0 Mve32;Mve32;C:\WINDOWS\system32\Drivers\Mve32.sys [2008-04-27 18:16]
    R2 ITECIRService;ITE Remote Control Service;C:\WINDOWS\system32\RemoteControlService.exe [2005-12-12 10:55]
    R2 StkSSrv;Syntek AVStream USB2.0 WebCam Service;C:\WINDOWS\System32\StkCSrv.exe [2006-12-12 02:31]
    R3 ASNDIS5;ASNDIS5 Protocol Driver;C:\WINDOWS\ATK0100\ASNDIS5.SYS [2004-05-28 11:13]
    R3 ITECIR;ITE CIR Driver;C:\WINDOWS\system32\DRIVERS\ITECIR.sys [2004-04-22 16:03]
    R3 nvsmu;nvsmu;C:\WINDOWS\system32\DRIVERS\nvsmu.sys [2006-03-07 06:49]
    R3 StkCMini;Syntek AVStream USB2.0 1.3M WebCam;C:\WINDOWS\system32\Drivers\StkCMini.sys [2007-01-20 09:19]
    S0 Blu08;Blu08;C:\WINDOWS\system32\Drivers\Blu08.sys []
    S0 Gqa08;Gqa08;C:\WINDOWS\system32\Drivers\Gqa08.sys []
    S0 Gqy76;Gqy76;C:\WINDOWS\system32\Drivers\Gqy76.sys []
    S0 Hra22;Hra22;C:\WINDOWS\system32\Drivers\Hra22.sys []
    S0 Nwf43;Nwf43;C:\WINDOWS\system32\Drivers\Nwf43.sys []
    S0 Sck10;Sck10;C:\WINDOWS\system32\Drivers\Sck10.sys []
    S0 Sck32;Sck32;C:\WINDOWS\system32\Drivers\Sck32.sys []
    S0 Xiq33;Xiq33;C:\WINDOWS\system32\Drivers\Xiq33.sys []
    S0 Yjr11;Yjr11;C:\WINDOWS\system32\Drivers\Yjr11.sys []

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bb32cd06-0e58-11dd-bf9b-001bfc0c52d4}]
    \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
    "2008-04-07 07:30:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - C:\Program Files\Apple Software Update\SoftwareUpdate.exe
    "2008-04-27 17:43:00 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"
    - C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE
    .
    **************************************************************************

    catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-04-27 19:46:39
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 13

    **************************************************************************
    .
    --------------------- DLLs a chargé sous des processus courants ---------------------

    PROCESS: C:\WINDOWS\system32\winlogon.exe
    -> C:\WINDOWS\system32\WinNt32.dll
    .
    Temps d'accomplissement: 2008-04-27 19:47:21
    ComboFix-quarantined-files.txt 2008-04-27 17:47:19

    Pre-Run: 49,443,618,816 octets libres
    Post-Run: 49,530,650,624 octets libres

    207





    et le Hijack:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:49:59, on 27/04/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\acs.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\Atheros\ACU.exe
    C:\WINDOWS\ATK0100\HControl.exe
    C:\Program Files\Wireless Console 2\wcourier.exe
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\DAEMON Tools Lite\daemon.exe
    C:\Program Files\SuperCopier\SuperCopier.exe
    C:\Program Files\3M\PSNLite\PsnLite.exe
    C:\Program Files\a-squared Free\a2service.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\system32\RemoteControlService.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\PROGRA~1\3M\PSNLite\PSNGive.exe
    C:\WINDOWS\System32\StkCSrv.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\ATK0100\ATKOSD.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\notepad.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.altavista.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [ACU] "C:\Program Files\Atheros\ACU.exe" -nogui
    O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
    O4 - HKLM\..\Run: [Wireless Console 2] C:\Program Files\Wireless Console 2\wcourier.exe
    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
    O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?401b096f1cc14d46b247fc2bc954fbf
    O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?401b096f1cc14d46b247fc2bc954fbf
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: Service de configuration Atheros (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
    O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: ITE Remote Control Service (ITECIRService) - ITE Tech. Inc. - C:\WINDOWS\system32\RemoteControlService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Syntek AVStream USB2.0 WebCam Service (StkSSrv) - Syntek America Inc. - C:\WINDOWS\System32\StkCSrv.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    --
    End of file - 7808 bytes
    27 Avril 2008 19:59:08

    re

    je te préviens tout de suite, je sens que ça va être sportif...
    quelques analyses avant que je rédige le script:

    1

    Rends toi sur ce lien : Virus Total
  • Clique sur Parcourir
  • Rends toi jusque sur ce fichier si tu le trouves :

    C:\WINDOWS\system32\Drivers\Mve32.sys

  • Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  • Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  • Une nouvelle fenêtre de ton navigateur va apparaître
  • Clique alors sur cette image :
  • Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  • Enfin colle le résultat dans ta prochaine réponse.
    Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
    Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.

    2

    ~Fais une analyse antivirus en ligne sur le site de Kaspersky
    http://webscanner.kaspersky.fr/

    ~ Clique sur Online Scanner.
    ~Accepte l'installation du contrôle ActiveX en cliquant sur le bouton Install.

    ~Sélectionne le poste de travail comme analyse.

    ~Enregistre le rapport en cliquant sur le bouton "Enregistrer rapport sous". Nomme-le, tu feras un copier/coller dans ta prochaine réponse.

    Tuto du scan en ligne
    27 Avril 2008 22:06:28


    Résultat de Virus Total:


    Fichier Ahm74.sys reçu le 2008.04.27 13:57:10 (CET)
    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.4.25.2 2008.04.25 -
    AntiVir 7.8.0.10 2008.04.25 -
    Authentium 4.93.8 2008.04.27 -
    Avast 4.8.1169.0 2008.04.26 -
    AVG 7.5.0.516 2008.04.27 -
    BitDefender 7.2 2008.04.27 -
    CAT-QuickHeal 9.50 2008.04.26 -
    ClamAV 0.92.1 2008.04.27 -
    DrWeb 4.44.0.09170 2008.04.27 Trojan.NtRootKit.1051
    eSafe 7.0.15.0 2008.04.21 -
    eTrust-Vet 31.3.5736 2008.04.26 -
    Ewido 4.0 2008.04.27 -
    F-Prot 4.4.2.54 2008.04.26 W32/Agent.BD.gen!Eldorado
    F-Secure 6.70.13260.0 2008.04.26 -
    FileAdvisor 1 2008.04.27 -
    Fortinet 3.14.0.0 2008.04.27 -
    Ikarus T3.1.1.26 2008.04.27 -
    Kaspersky 7.0.0.125 2008.04.27 Trojan-Downloader.Win32.Agent.nsl
    McAfee 5282 2008.04.25 -
    Microsoft 1.3408 2008.04.22 -
    NOD32v2 3057 2008.04.26 -
    Norman 5.80.02 2008.04.25 -
    Panda 9.0.0.4 2008.04.27 -
    Prevx1 V2 2008.04.27 -
    Rising 20.41.62.00 2008.04.27 -
    Sophos 4.28.0 2008.04.26 -
    Sunbelt 3.0.1056.0 2008.04.17 -
    Symantec 10 2008.04.27 -
    TheHacker 6.2.92.294 2008.04.26 -
    VBA32 3.12.6.5 2008.04.26 -
    VirusBuster 4.3.26:9 2008.04.26 -
    Webwasher-Gateway 6.6.2 2008.04.27 -
    Information additionnelle
    File size: 14976 bytes
    MD5...: a7a29dc9da474a1e38d5bd2f9ddc8ae2
    SHA1..: b7f31e839e3f810ae3c3fabfd2d10272386b5ebe
    SHA256: fae2cf813cf53b54ad2ad9dc0edf6f26cf01fed47849225340d1cf3ea75e079e
    SHA512: c9cc12a0583a9317cce021339d23a9fa402872b19753a22d566ba2b2c54b6edc<br>b483b1830b4a6e0cd956006816a696510910e9b32b5c1f0146eaac65f3040756
    PEiD..: -
    PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x10b00<br>timedatestamp.....: 0x4811c77b (Fri Apr 25 11:58:51 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 6 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x480 0x27d4 0x2800 5.68 66702b7907273ffb204a09702183d0fc<br>.rdata 0x2c80 0x150 0x180 3.93 48d734868e0ed758551b3efa5bf9e9ef<br>.data 0x2e00 0x2d1 0x300 0.29 f516f6e2f43e3065a9efe9c532267207<br>INIT 0x3100 0x554 0x580 5.20 adbc18ca41ddff01a1e761503461e605<br>.rsrc 0x3680 0x10 0x80 0.00 f09f35a5637839458e462e6350ecbce4<br>.reloc 0x3700 0x312 0x380 4.98 ca18226286e436f65d4f0bc1e6e5005e<br><br>( 1 imports ) <br>> ntoskrnl.exe: RtlAppendUnicodeStringToString, wcslen, memset, RtlInitUnicodeString, ZwClose, ZwSetValueKey, ZwCreateKey, strcmp, PsLookupProcessByProcessId, ExFreePoolWithTag, wcsncpy, ZwQueryValueKey, ZwOpenKey, wcsncat, wcscpy, PsSetCreateProcessNotifyRoutine, IoDeleteDevice, IoCreateSymbolicLink, IoRegisterShutdownNotification, IoCreateDevice, IofCompleteRequest, ZwQueryInformationFile, ZwReadFile, ExAllocatePool, ZwCreateFile, ZwWriteFile, IoRegisterFsRegistrationChange, KeInitializeMutex, ObfDereferenceObject, ObReferenceObjectByName, IoDriverObjectType, RtlAppendUnicodeToString, ZwQueryDirectoryObject, ZwOpenDirectoryObject, KeReleaseMutex, KeWaitForSingleObject, memcpy, ExAllocatePoolWithTag, MmIsAddressValid, CmRegisterCallback, ExInitializeResourceLite, KeDelayExecutionThread, KeLeaveCriticalRegion, ExReleaseResourceLite, ExAcquireResourceExclusiveLite, KeEnterCriticalRegion, RtlCopyUnicodeString, RtlCompareUnicodeString, ExAcquireResourceSharedLite, ObQueryNameString, ZwEnumerateValueKey, ExQueueWorkItem<br><br>( 0 exports ) <br>

    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.4.25.2 2008.04.25 -
    AntiVir 7.8.0.10 2008.04.25 -
    Authentium 4.93.8 2008.04.27 -
    Avast 4.8.1169.0 2008.04.26 -
    AVG 7.5.0.516 2008.04.27 -
    BitDefender 7.2 2008.04.27 -
    CAT-QuickHeal 9.50 2008.04.26 -
    ClamAV 0.92.1 2008.04.27 -
    DrWeb 4.44.0.09170 2008.04.27 Trojan.NtRootKit.1051
    eSafe 7.0.15.0 2008.04.21 -
    eTrust-Vet 31.3.5736 2008.04.26 -
    Ewido 4.0 2008.04.27 -
    F-Prot 4.4.2.54 2008.04.26 W32/Agent.BD.gen!Eldorado
    F-Secure 6.70.13260.0 2008.04.26 -
    FileAdvisor 1 2008.04.27 -
    Fortinet 3.14.0.0 2008.04.27 -
    Ikarus T3.1.1.26 2008.04.27 -
    Kaspersky 7.0.0.125 2008.04.27 Trojan-Downloader.Win32.Agent.nsl
    McAfee 5282 2008.04.25 -
    Microsoft 1.3408 2008.04.22 -
    NOD32v2 3057 2008.04.26 -
    Norman 5.80.02 2008.04.25 -
    Panda 9.0.0.4 2008.04.27 -
    Prevx1 V2 2008.04.27 -
    Rising 20.41.62.00 2008.04.27 -
    Sophos 4.28.0 2008.04.26 -
    Sunbelt 3.0.1056.0 2008.04.17 -
    Symantec 10 2008.04.27 -
    TheHacker 6.2.92.294 2008.04.26 -
    VBA32 3.12.6.5 2008.04.26 -
    VirusBuster 4.3.26:9 2008.04.26 -
    Webwasher-Gateway 6.6.2 2008.04.27 -

    Information additionnelle
    File size: 14976 bytes
    MD5...: a7a29dc9da474a1e38d5bd2f9ddc8ae2
    SHA1..: b7f31e839e3f810ae3c3fabfd2d10272386b5ebe
    SHA256: fae2cf813cf53b54ad2ad9dc0edf6f26cf01fed47849225340d1cf3ea75e079e
    SHA512: c9cc12a0583a9317cce021339d23a9fa402872b19753a22d566ba2b2c54b6edc<br>b483b1830b4a6e0cd956006816a696510910e9b32b5c1f0146eaac65f3040756
    PEiD..: -
    PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x10b00<br>timedatestamp.....: 0x4811c77b (Fri Apr 25 11:58:51 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 6 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x480 0x27d4 0x2800 5.68 66702b7907273ffb204a09702183d0fc<br>.rdata 0x2c80 0x150 0x180 3.93 48d734868e0ed758551b3efa5bf9e9ef<br>.data 0x2e00 0x2d1 0x300 0.29 f516f6e2f43e3065a9efe9c532267207<br>INIT 0x3100 0x554 0x580 5.20 adbc18ca41ddff01a1e761503461e605<br>.rsrc 0x3680 0x10 0x80 0.00 f09f35a5637839458e462e6350ecbce4<br>.reloc 0x3700 0x312 0x380 4.98 ca18226286e436f65d4f0bc1e6e5005e<br><br>( 1 imports ) <br>> ntoskrnl.exe: RtlAppendUnicodeStringToString, wcslen, memset, RtlInitUnicodeString, ZwClose, ZwSetValueKey, ZwCreateKey, strcmp, PsLookupProcessByProcessId, ExFreePoolWithTag, wcsncpy, ZwQueryValueKey, ZwOpenKey, wcsncat, wcscpy, PsSetCreateProcessNotifyRoutine, IoDeleteDevice, IoCreateSymbolicLink, IoRegisterShutdownNotification, IoCreateDevice, IofCompleteRequest, ZwQueryInformationFile, ZwReadFile, ExAllocatePool, ZwCreateFile, ZwWriteFile, IoRegisterFsRegistrationChange, KeInitializeMutex, ObfDereferenceObject, ObReferenceObjectByName, IoDriverObjectType, RtlAppendUnicodeToString, ZwQueryDirectoryObject, ZwOpenDirectoryObject, KeReleaseMutex, KeWaitForSingleObject, memcpy, ExAllocatePoolWithTag, MmIsAddressValid, CmRegisterCallback, ExInitializeResourceLite, KeDelayExecutionThread, KeLeaveCriticalRegion, ExReleaseResourceLite, ExAcquireResourceExclusiveLite, KeEnterCriticalRegion, RtlCopyUnicodeString, RtlCompareUnicodeString, ExAcquireResourceSharedLite, ObQueryNameString, ZwEnumerateValueKey, ExQueueWorkItem<br><br>( 0 exports ) <br>


    Résultat de Kapersky:

    -------------------------------------------------------------------------------
    KASPERSKY ON-LINE SCANNER REPORT
    Sunday, April 27, 2008 10:00:53 PM
    Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
    Kaspersky On-line Scanner version : 5.0.83.0
    Dernière mise à jour de la base antivirus Kaspersky : 27/04/2008
    Enregistrements dans la base antivirus Kaspersky : 650416
    -------------------------------------------------------------------------------

    Paramètres d'analyse:
    Analyser avec la base antivirus suivante: standard
    Analyser les archives: vrai
    Analyser les bases de messagerie: vrai

    Cible de l'analyse - Poste de travail:
    C:\
    D:\
    E:\
    G:\

    Statistiques de l'analyse:
    Total d'objets analysés: 31069
    Nombre de virus trouvés: 1
    Nombre d'objets infectés: 20 / 0
    Nombre d'objets suspects: 0
    Durée de l'analyse: 00:37:44

    Nom de l'objet infecté / Nom du virus / Dernière action
    C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Temp\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\Propriétaire\Application Data\3M\PSNotes\PSNData L'objet est verrouillé ignoré
    C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\7l223whs.default\cert8.db L'objet est verrouillé ignoré
    C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\7l223whs.default\formhistory.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\7l223whs.default\history.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\7l223whs.default\key3.db L'objet est verrouillé ignoré
    C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\7l223whs.default\parent.lock L'objet est verrouillé ignoré
    C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\7l223whs.default\search.sqlite L'objet est verrouillé ignoré
    C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\7l223whs.default\urlclassifier2.sqlite L'objet est verrouillé ignoré
    C:\Documents and Settings\Propriétaire\Cookies\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\7l223whs.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré
    C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\7l223whs.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré
    C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\7l223whs.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré
    C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\7l223whs.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré
    C:\Documents and Settings\Propriétaire\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\Propriétaire\Local Settings\Historique\History.IE5\MSHist012008042720080428\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF6DEA.tmp L'objet est verrouillé ignoré
    C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF8244.tmp L'objet est verrouillé ignoré
    C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DFF2A7.tmp L'objet est verrouillé ignoré
    C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\Propriétaire\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\Propriétaire\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP106\A0009163.sys Infecté : Trojan-Downloader.Win32.Agent.nsl ignoré
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP106\A0009184.sys Infecté : Trojan-Downloader.Win32.Agent.nsl ignoré
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP106\A0009229.sys Infecté : Trojan-Downloader.Win32.Agent.nsl ignoré
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP106\A0009242.sys Infecté : Trojan-Downloader.Win32.Agent.nsl ignoré
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP106\A0009262.sys Infecté : Trojan-Downloader.Win32.Agent.nsl ignoré
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP106\A0010276.sys Infecté : Trojan-Downloader.Win32.Agent.nsl ignoré
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP106\A0010288.sys Infecté : Trojan-Downloader.Win32.Agent.nsl ignoré
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP106\A0010303.sys Infecté : Trojan-Downloader.Win32.Agent.nsl ignoré
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP106\A0010327.sys Infecté : Trojan-Downloader.Win32.Agent.nsl ignoré
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP106\A0010336.sys Infecté : Trojan-Downloader.Win32.Agent.nsl ignoré
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP107\A0010461.sys Infecté : Trojan-Downloader.Win32.Agent.nsl ignoré
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP107\A0010470.sys Infecté : Trojan-Downloader.Win32.Agent.nsl ignoré
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP107\A0010472.dll Infecté : Trojan-Downloader.Win32.Agent.nsl ignoré
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP107\A0010476.dll Infecté : Trojan-Downloader.Win32.Agent.nsl ignoré
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP107\A0010488.sys Infecté : Trojan-Downloader.Win32.Agent.nsl ignoré
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP107\A0010490.dll Infecté : Trojan-Downloader.Win32.Agent.nsl ignoré
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP107\A0010496.sys Infecté : Trojan-Downloader.Win32.Agent.nsl ignoré
    C:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP108\change.log L'objet est verrouillé ignoré
    C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
    C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
    C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
    C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\ODiag.evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\OSession.evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\drivers\fidbox.dat L'objet est verrouillé ignoré
    C:\WINDOWS\system32\drivers\fidbox.idx L'objet est verrouillé ignoré
    C:\WINDOWS\system32\drivers\Mve32.sys Infecté : Trojan-Downloader.Win32.Agent.nsl ignoré
    C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\system32\WinData.cab Infecté : Trojan-Downloader.Win32.Agent.nsl ignoré
    C:\WINDOWS\system32\WinNt32.dll Infecté : Trojan-Downloader.Win32.Agent.nsl ignoré
    C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
    C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
    D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
    D:\System Volume Information\_restore{99065ACA-F02C-467A-9B5F-F78AF8B6BAA6}\RP108\change.log L'objet est verrouillé ignoré

    Analyse terminée.
    28 Avril 2008 12:40:11

    bonjour
    L'outil aura besoin d'accéder au net pour envoyer des fichiers infectieux à un développeur. Donc accepte quand il te le demande stp.
    un fichier va se créer sur ton bureau: [27] date et heure de passage de l'outil
    Il faudra que tu envoies le zip à l'endroit demandé avec un lien vers cette discussion. (en faisant un copier, coller, tu verras, c'est simple)
    merci :) 


    Copie (Ctrl+C) le texte ci-dessous :

    Collect::[27]
    C:\WINDOWS\system32\Drivers\Mve32.sys
    C:\WINDOWS\system32\WinData.cab
    C:\WINDOWS\system32\WinNt32.dll

    Driver::
    Mve32
    Blu08
    Gqa08
    Gqy76
    Hra22
    Nwf43
    Sck10
    Sck32
    Xiq33
    Yjr11

    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "kab - Shutdown Timer"=-
    [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WinNt32]
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Blu08.sys]
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Gpx54.sys]
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Gqa08.sys]
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Gqy76.sys]
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Hra22.sys]
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Mve32.sys]
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Nwf43.sys]
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Sck10.sys]
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Sck32.sys]
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Xiq33.sys]
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Yjr11.sys]



    Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
    Sauvegarde ce fichier sous le nom de CFScript.txt

    Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture


  • Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  • Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    28 Avril 2008 14:20:20

    Bonjour sham-rock,

    tout d'abord, avant de voir ta réponse, Antivir a détecté le virus dans Mve32.sys ce matin, je lui ai demandé de le mettre en quarantaine et il a réussi.
    après j'ai vu ton message et que tu voulais notamment ce fichier, je sais pas si tu en as particulièrement besoin mais j'ai essayé de le restaurer de la quarantaine, sans succès, antivir refusait.

    ensuite j'ai lancé une première foix combo.fix avec le txt de ton message.
    il a redémarré à la fin mais il n'a pas créé de rapport

    ensuite j'ai désinstallé antivir et zonealarm en attendant la fin de la désinfection pour ne plus être dérangé.

    j'ai relancé combo.fix avec le txt et voici le rapport obtenu, (sans redémarrage ce coup ci):

    ComboFix 08-04-26.5 - Propriétaire 2008-04-28 14:05:11.3 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.597 [GMT 2:00]
    Endroit: C:\Documents and Settings\Propriétaire\Bureau\ComboFix.exe
    Command switches used :: C:\Documents and Settings\Propriétaire\Bureau\CFScript.txt
    * Création d'un nouveau point de restauration

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    ---- Previous Run -------
    .
    C:\WINDOWS\system32\WinData.cab
    C:\WINDOWS\system32\WinNt32.dll

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_MVE32
    -------\Service_Blu08
    -------\Service_Gqa08
    -------\Service_Gqy76
    -------\Service_Hra22
    -------\Service_Mve32
    -------\Service_Nwf43
    -------\Service_Sck10
    -------\Service_Sck32
    -------\Service_Xiq33
    -------\Service_Yjr11


    ((((((((((((((((((((((((((((( Fichiers créés 2008-03-28 to 2008-04-28 ))))))))))))))))))))))))))))))))))))
    .

    2008-04-28 09:07 . 2008-04-28 09:07 244 --ah----- C:\sqmnoopt15.sqm
    2008-04-28 09:07 . 2008-04-28 09:07 232 --ah----- C:\sqmdata15.sqm
    2008-04-27 20:31 . 2008-04-27 20:31 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
    2008-04-27 18:14 . 2008-04-27 18:14 244 --ah----- C:\sqmnoopt14.sqm
    2008-04-27 18:14 . 2008-04-27 18:14 232 --ah----- C:\sqmdata14.sqm
    2008-04-27 10:02 . 2008-04-27 10:02 244 --ah----- C:\sqmnoopt13.sqm
    2008-04-27 10:02 . 2008-04-27 10:02 232 --ah----- C:\sqmdata13.sqm
    2008-04-27 09:12 . 2008-04-28 13:58 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
    2008-04-27 09:03 . 2008-04-27 09:03 244 --ah----- C:\sqmnoopt12.sqm
    2008-04-27 09:03 . 2008-04-27 09:03 232 --ah----- C:\sqmdata12.sqm
    2008-04-26 23:54 . 2008-04-26 23:54 244 --ah----- C:\sqmnoopt11.sqm
    2008-04-26 23:54 . 2008-04-26 23:54 232 --ah----- C:\sqmdata11.sqm
    2008-04-26 23:52 . 2008-04-26 23:52 <REP> d-------- C:\Documents and Settings\Propriétaire\Application Data\Malwarebytes
    2008-04-26 23:51 . 2008-04-26 23:51 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
    2008-04-26 23:51 . 2008-04-26 23:51 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-04-26 18:45 . 2008-04-26 18:45 244 --ah----- C:\sqmnoopt10.sqm
    2008-04-26 18:45 . 2008-04-26 18:45 232 --ah----- C:\sqmdata10.sqm
    2008-04-26 14:36 . 2008-04-26 14:36 <REP> d-------- C:\_OTMoveIt
    2008-04-26 10:54 . 2008-04-26 10:54 244 --ah----- C:\sqmnoopt09.sqm
    2008-04-26 10:54 . 2008-04-26 10:54 232 --ah----- C:\sqmdata09.sqm
    2008-04-26 10:53 . 2008-04-28 13:58 1,378,336 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
    2008-04-26 10:53 . 2008-04-28 13:58 18,272 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
    2008-04-26 10:52 . 2008-04-26 10:52 244 --ah----- C:\sqmnoopt07.sqm
    2008-04-26 10:52 . 2008-04-26 10:52 232 --ah----- C:\sqmdata07.sqm
    2008-04-26 10:52 . 2008-04-26 10:52 172 --ah----- C:\sqmnoopt08.sqm
    2008-04-26 10:52 . 2008-04-26 10:52 172 --ah----- C:\sqmdata08.sqm
    2008-04-26 10:50 . 2008-04-28 14:00 <REP> d-------- C:\WINDOWS\system32\ZoneLabs
    2008-04-26 10:50 . 2008-04-26 10:50 <REP> d-------- C:\Program Files\Zone Labs
    2008-04-26 10:50 . 2008-04-26 10:50 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier
    2008-04-26 10:50 . 2008-04-02 21:08 54,672 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll
    2008-04-26 10:50 . 2008-04-02 21:08 42,384 --a------ C:\WINDOWS\zllsputility_loc040c.dll
    2008-04-26 10:50 . 2008-04-02 21:08 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc040c.dll
    2008-04-26 10:50 . 2008-04-02 21:08 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc040c.dll
    2008-04-26 10:50 . 2004-04-27 05:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
    2008-04-26 10:50 . 2008-04-26 10:52 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
    2008-04-26 10:49 . 2008-04-28 14:00 <REP> d-------- C:\WINDOWS\Internet Logs
    2008-04-25 23:49 . 2008-04-25 23:49 244 --ah----- C:\sqmnoopt06.sqm
    2008-04-25 23:49 . 2008-04-25 23:49 232 --ah----- C:\sqmdata06.sqm
    2008-04-25 22:29 . 2008-04-25 22:29 <REP> d-------- C:\WINDOWS\ERUNT
    2008-04-25 22:25 . 2008-04-25 22:25 244 --ah----- C:\sqmnoopt05.sqm
    2008-04-25 22:25 . 2008-04-25 22:25 244 --ah----- C:\sqmnoopt04.sqm
    2008-04-25 22:25 . 2008-04-25 22:25 232 --ah----- C:\sqmdata05.sqm
    2008-04-25 22:25 . 2008-04-25 22:25 232 --ah----- C:\sqmdata04.sqm
    2008-04-25 22:24 . 2008-04-25 23:33 <REP> d-------- C:\SDFix
    2008-04-25 20:16 . 2008-04-25 20:16 244 --ah----- C:\sqmnoopt03.sqm
    2008-04-25 20:16 . 2008-04-25 20:16 232 --ah----- C:\sqmdata03.sqm
    2008-04-25 19:01 . 2008-04-25 19:01 244 --ah----- C:\sqmnoopt02.sqm
    2008-04-25 19:01 . 2008-04-25 19:01 232 --ah----- C:\sqmdata02.sqm
    2008-04-25 18:59 . 2008-04-25 18:59 <REP> d-------- C:\Program Files\Lavasoft
    2008-04-25 18:59 . 2008-04-25 19:00 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
    2008-04-25 18:10 . 2008-04-25 18:10 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
    2008-04-25 18:05 . 2008-04-25 18:05 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
    2008-04-25 18:05 . 2008-04-25 18:55 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2008-04-25 18:03 . 2008-04-25 19:46 <REP> d-------- C:\Program Files\a-squared Free
    2008-04-25 17:57 . 2008-04-25 17:57 <REP> d-------- C:\Program Files\Trend Micro
    2008-04-23 11:21 . 2001-08-23 17:04 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
    2008-04-23 11:21 . 2001-08-23 17:04 12,288 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys
    2008-04-23 11:21 . 2001-08-17 22:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
    2008-04-23 11:21 . 2001-08-17 22:02 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys
    2008-04-22 12:47 . 2008-04-22 12:47 244 --ah----- C:\sqmnoopt01.sqm
    2008-04-22 12:47 . 2008-04-22 12:47 232 --ah----- C:\sqmdata01.sqm
    2008-04-06 23:48 . 2008-04-27 00:29 <REP> d-------- C:\Documents and Settings\Propriétaire\Application Data\skypePM
    2008-04-06 23:48 . 2008-04-06 23:48 32 --a------ C:\Documents and Settings\All Users\Application Data\ezsid.dat
    2008-04-06 23:35 . 2008-04-27 17:49 <REP> d-------- C:\Documents and Settings\Propriétaire\Application Data\Skype
    2008-04-06 23:34 . 2008-04-06 23:34 <REP> d-------- C:\Program Files\Skype
    2008-04-06 23:34 . 2008-04-06 23:34 <REP> d-------- C:\Program Files\Fichiers communs\Skype
    2008-04-06 23:34 . 2008-04-06 23:34 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Skype
    2008-03-30 20:07 . 2008-03-30 20:07 <REP> d-------- C:\Program Files\SuperCopier

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-04-28 07:29 --------- d-----w C:\Program Files\eMule
    2008-04-15 20:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
    2008-03-25 23:00 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\Winamp
    2008-03-12 21:58 --------- d-----w C:\Program Files\Google
    2008-03-08 14:44 --------- d-----w C:\Program Files\Fichiers communs\Adobe
    2008-03-08 14:10 --------- d-----w C:\Program Files\Java
    .

    ------- Sigcheck -------

    2008-01-12 20:41 359040 6a603809f598332dbedd535bdbce313e C:\WINDOWS\system32\dllcache\TCPIP.SYS
    2008-01-12 20:41 359040 6a603809f598332dbedd535bdbce313e C:\WINDOWS\system32\drivers\TCPIP.SYS
    .
    ((((((((((((((((((((((((((((( snapshot@2008-04-27_19.47.09,17 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2008-04-27 16:15:26 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2008-04-28 12:00:57 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
    - 2008-04-27 17:44:35 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
    + 2008-04-28 11:42:25 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
    - 2008-04-27 17:44:35 81,920 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
    + 2008-04-28 11:42:25 114,688 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
    + 2008-04-28 07:11:40 147,456 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008042120080428\index.dat
    + 2008-04-28 11:44:47 65,536 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008042820080429\index.dat
    + 2005-05-16 17:34:48 213,048 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavss.dll
    + 2006-03-20 11:17:24 65,536 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe
    + 2006-03-20 11:17:20 798,720 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
    "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 13:55 5674352]
    "DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2008-01-17 18:51 486856]
    "SuperCopier.exe"="C:\Program Files\SuperCopier\SuperCopier.exe" [2003-04-25 00:03 683520]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "RTHDCPL"="RTHDCPL.EXE" [2006-11-14 18:21 16270848 C:\WINDOWS\RTHDCPL.exe]
    "SkyTel"="SkyTel.EXE" [2006-05-16 19:04 2879488 C:\WINDOWS\SkyTel.exe]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-04-27 11:48 7561216]
    "nwiz"="nwiz.exe" [2006-04-27 11:48 1519616 C:\WINDOWS\system32\nwiz.exe]
    "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-04-27 11:48 86016]
    "ACU"="C:\Program Files\Atheros\ACU.exe" [2006-08-07 20:15 336014]
    "HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2006-08-23 23:22 110592]
    "Wireless Console 2"="C:\Program Files\Wireless Console 2\wcourier.exe" [2005-10-17 18:09 987136]
    "WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2007-12-20 17:16 37376]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-12-11 11:56 286720]
    "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]
    "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 13:55 5674352]

    C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Post-it© Software Notes Lite.lnk - C:\Program Files\3M\PSNLite\PsnLite.exe [2004-10-15 15:26:54 2080768]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "VIDC.YV12"= yv12vfw.dll

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\MSN Messenger\\livecall.exe"=
    "C:\\Program Files\\eMule\\emule.exe"=
    "C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
    "C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
    "C:\\Program Files\\Skype\\Phone\\Skype.exe"=

    R2 ITECIRService;ITE Remote Control Service;C:\WINDOWS\system32\RemoteControlService.exe [2005-12-12 10:55]
    R2 StkSSrv;Syntek AVStream USB2.0 WebCam Service;C:\WINDOWS\System32\StkCSrv.exe [2006-12-12 02:31]
    R3 ASNDIS5;ASNDIS5 Protocol Driver;C:\WINDOWS\ATK0100\ASNDIS5.SYS [2004-05-28 11:13]
    R3 ITECIR;ITE CIR Driver;C:\WINDOWS\system32\DRIVERS\ITECIR.sys [2004-04-22 16:03]
    R3 nvsmu;nvsmu;C:\WINDOWS\system32\DRIVERS\nvsmu.sys [2006-03-07 06:49]
    R3 StkCMini;Syntek AVStream USB2.0 1.3M WebCam;C:\WINDOWS\system32\Drivers\StkCMini.sys [2007-01-20 09:19]

    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
    "2008-04-28 07:30:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - C:\Program Files\Apple Software Update\SoftwareUpdate.exe
    "2008-04-28 11:43:00 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"
    - C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE
    .
    **************************************************************************

    catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-04-28 14:06:04
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 13

    **************************************************************************
    .
    Temps d'accomplissement: 2008-04-28 14:06:38
    ComboFix-quarantined-files.txt 2008-04-28 12:06:32
    ComboFix2.txt 2008-04-27 17:47:22

    Pre-Run: 46,922,100,736 octets libres
    Post-Run: 46,913,830,912 octets libres

    194



    et enfin, j'ai bien un fichier "[27]-Submit_2008-04-28@13.48.zip" sur mon bureau mais j'ai du louper le moment où on me disait où le poster...
    28 Avril 2008 17:14:03

    re

    dommage, c'était le driver que je voulais. ;O

    supprime le dossier:[27]-Submit_2008-04-28@13.48.zip"

    réinstalle antivir et zone alarm et reposte un log hijackthis stp
    28 Avril 2008 19:27:37

    j'ai réinstallé antivir et zonealarm

    Log Hijack:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:25:34, on 28/04/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\acs.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\a-squared Free\a2service.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\system32\RemoteControlService.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\StkCSrv.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Atheros\ACU.exe
    C:\WINDOWS\ATK0100\HControl.exe
    C:\Program Files\Wireless Console 2\wcourier.exe
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
    C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\DAEMON Tools Lite\daemon.exe
    C:\Program Files\SuperCopier\SuperCopier.exe
    C:\WINDOWS\ATK0100\ATKOSD.exe
    C:\Program Files\3M\PSNLite\PsnLite.exe
    C:\PROGRA~1\3M\PSNLite\PSNGive.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.altavista.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [ACU] "C:\Program Files\Atheros\ACU.exe" -nogui
    O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
    O4 - HKLM\..\Run: [Wireless Console 2] C:\Program Files\Wireless Console 2\wcourier.exe
    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
    O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?401b096f1cc14d46b247fc2bc954fbf
    O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?401b096f1cc14d46b247fc2bc954fbf
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: Service de configuration Atheros (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
    O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: ITE Remote Control Service (ITECIRService) - ITE Tech. Inc. - C:\WINDOWS\system32\RemoteControlService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Syntek AVStream USB2.0 WebCam Service (StkSSrv) - Syntek America Inc. - C:\WINDOWS\System32\StkCSrv.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    --
    End of file - 8159 bytes
    28 Avril 2008 20:51:05

    bien

    d'autres soucis?
    29 Avril 2008 09:36:24

    Non c'est OK, merci !!
    29 Avril 2008 12:13:52

    bonjour

    Supprime tous les programmes installés pour la désinfection.


    Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.



    Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.

    ~Edite ton premier message (en cliquant sur la gomme) et marque [résolu] dans le titre.

    :hello: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS