Se connecter / S'enregistrer
Votre question

Pc Out ! Gros gros gros problèmes ! [RESOLU]

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
6 Mars 2008 21:31:32

Bonjour !

Bon, j'ai déjà écrit un sujet pour mon pc qui d'ailleurs a été merveilleusement bien désinfecté par Sham_rock que je remercie encore une fois.

Cette fois-ci, il s'agit du pc de mon père. Il marchait encore il y a une semaine, mais là ...

Pour commencer, le démarrage se passe tranquillement jusqu'au démarrage de W$. Les programmes se lancent un à un mais un premier message d'erreur survient :



Il ne faut surtout pas cliquer sur "ok" ou fermer la fenêtre au risque que le pc affiche une succession de messages du même type.
Puis, se disant qu'il était grand temps de se lancer dans la désinfection ^^, on ouvre Internet Explorer. On peut alors naviguer quelques minutes et puis un deuxième message d'erreur nous parvient :



Idem que pour le premier, il faut éviter de fermer la fenêtre.
Puis très vite les choses se gâtent et Internet Explorer se bloque. Toutes les fenêtres ouvertes basculent sur une erreur de syntaxe et si l'on veut aller sur une nouvelle page, IE charge et dès la fin du chargement, la fenêtre rebascule sur l'erreur de syntaxe :



Nous voilà donc privé d'Internet. Le seul moyen qui nous restait : copier les screenshots sur une clé USB puis les mettre sur mon pc pour écrire ce nouveau sujet. On ouvre donc l'explorer et là ! Horreur :



Remarquez cette multitude de fichiers nommés :
posXXXX.tmp

Il y en a un peu partout. dans C: ; C:Mesdocuments/ ... Je n'ai pas vérifié partout mais le problème étant là, je n'ai pas préféré aller plus loin. Surtout que l'explorer W$ bug lui aussi ! En effet, de temps à autre la fenêtre de l'explorer bascule en une fenêtre IE avec l'erreur de syntaxe ! Et sans vous parler de la leeeeeennnnntteeeeuuurrr du pc lorsqu'on lui demande d'ouvrir un répertoire ...

Bref, je garde espoir pour mon père et je pense pouvoir le réparer avec votre aide et celle d'une clé USB ^^ !

n.b: Au départ McAfee détectait des Vundo qui auraient soit disant été supprimés. Puis SpyBot a détecté une douzaine de spyware différents qui les auraient supprimés aussi. Après cette première désinfection, le pc a redémarré une fois en fonctionnant normalement puis le retour des malware a rendu presque impossible une nouvelle désinfection.

Autres pages sur : out gros gros gros problemes resolu

a b 8 Sécurité
6 Mars 2008 21:33:55

Bonjour,

Il y a effectivement des infections.

Télécharge puis installe Hijackthis (Trend Micro).
Poste ensuite un rapport dans ta prochaine réponse.
AIDE : Comment utiliser Hijackthis v2.0.2
6 Mars 2008 21:43:29

Merci de cette première réponse très rapide ! :) 

Voici donc le 1 rapport HijackThis :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:40:30, on 06/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\WINDOWS\system32\MGE\RunSC.exe
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\system32\MGE\PCtl.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\WINDOWS\system32\MGE\BIL.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\WINDOWS\system32\MGE\CILUSB.EXE
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
C:\Program Files\Chameleon Clock\ChamClock.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [e8065198] rundll32.exe "C:\WINDOWS\system32\ialjmlbe.dll",b
O4 - HKLM\..\Run: [BMeb356204] Rundll32.exe "C:\WINDOWS\system32\nmtgeqqv.dll",s
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [LanceurEasyBox] "C:\Program Files\EasyBox\EasyBox.exe" -AutoStart
O4 - HKCU\..\Run: [HomeAlarm] C:\Program Files\Chameleon Clock\ChamClock.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www4.photoweb.fr/telechargement/Photoweb_uploade...
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSig...
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: MGE Service module - Unknown owner - C:\WINDOWS\system32\MGE\RunSC.exe
O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Onduleur (UPS) - Unknown owner - C:\WINDOWS\System32\ups2.exe (file missing)

--
End of file - 7213 bytes
Contenus similaires
a b 8 Sécurité
7 Mars 2008 18:15:31

On attaque :) 

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
  • Double-clique VundoFix.exe afin de le lancer
  • Clique sur le bouton Scan for Vundo
  • Lorsque le scan est complété, clique sur le bouton Fix Vundo
  • Une invite te demandera si tu veux supprimer les fichiers, clique YES
  • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  • Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  • Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse
    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
    7 Mars 2008 19:05:24

    Ohlàlà ...

    L'opération s'est passé très bizarrement ...

    Tout d'abord, j'ai eu une nouvelle série de message d'erreur "systemwarning" lorsque j'ai ouvert l'explorer.

    Puis j'ai lancé Vundo, j'ai lancé le scan ... Et j'ai patienté.

    Au bout de 5mn, le scan se termine avec 7 ou 8 fichiers. Mais une petite fenêtre d'avertissement s'est ouverte en me laissant une case (impossible de voir ce que me disait la fenêtre, elle était toute grise, aucun texte affiché ...). Bref je clique sur le présumé 'ok' et je clique sur le bouton "Fix Vundo".
    Là une seconde fenêtre grise s'ouvre en me laissant deux cases, je clique sur la case pré sélectionnée qui devait être 'Yes'. L'ordinateur se remet à travailler.
    Durant la nouvelle opération, il y a VirusScan (McAfee) qui s'est ouvert pour m'avertir d'un nouveau cheval de Troie identifié comme quelque chose du genre "Vundo.backups" ...
    Enfin, il m'ouvre une troisième fenêtre grise semblable à la première qui je pense devait être l'avertissement pour m'inviter à redémarrer le pc. Je clique donc sur le présumé 'ok' et j'attend ... Rien ne se passe. Et ce n'est qu'au bout de quelques minutes que l'ordinateur décide de s'éteindre et de se rallumer correctement. Sans message d'erreur au démarrage !

    Pour l'heure le pc est débranché de la Freebox et n'a donc pas accès à Internet au cas où pour éviter toute autre infection ...

    Et voici le rapport Vundofix : [EDIT] Je viens de me rendre compte qu'il y a aussi les anciens rapports que l'on avait déjà effectué au début de la semaine ...


    VundoFix V6.7.10

    Checking Java version...

    Sun Java not detected
    Scan started at 11:15:36 01/03/2008

    Listing files found while scanning....

    C:\WINDOWS\system32\awtsq.dll
    C:\WINDOWS\system32\qrpcmokh.dll
    C:\WINDOWS\system32\qstwa.ini
    C:\WINDOWS\system32\qstwa.ini2
    C:\WINDOWS\system32\tuvvuur.dll
    C:\WINDOWS\system32\yayyayv.dll

    Beginning removal...

    VundoFix V6.7.10

    Checking Java version...

    Sun Java not detected
    Scan started at 14:41:22 01/03/2008

    Listing files found while scanning....

    C:\WINDOWS\system32\awtsq.dll
    C:\WINDOWS\system32\cdwpgsur.dll
    C:\WINDOWS\system32\qrpcmokh.dll
    C:\WINDOWS\system32\qstwa.ini
    C:\WINDOWS\system32\qstwa.ini2
    C:\WINDOWS\system32\tuvvuur.dll
    C:\WINDOWS\system32\yayyayv.dll

    Beginning removal...

    Attempting to delete C:\WINDOWS\system32\awtsq.dll
    C:\WINDOWS\system32\awtsq.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\cdwpgsur.dll
    C:\WINDOWS\system32\cdwpgsur.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\qrpcmokh.dll
    C:\WINDOWS\system32\qrpcmokh.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\qstwa.ini
    C:\WINDOWS\system32\qstwa.ini Has been deleted!

    Attempting to delete C:\WINDOWS\system32\qstwa.ini2
    C:\WINDOWS\system32\qstwa.ini2 Has been deleted!

    Attempting to delete C:\WINDOWS\system32\tuvvuur.dll
    C:\WINDOWS\system32\tuvvuur.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\yayyayv.dll
    C:\WINDOWS\system32\yayyayv.dll Could not be deleted.

    Performing Repairs to the registry.
    Done!

    Beginning removal...

    Attempting to delete C:\WINDOWS\system32\yayyayv.dll
    C:\WINDOWS\system32\yayyayv.dll Could not be deleted.

    Performing Repairs to the registry.
    Done!

    VundoFix V7.0.1

    Scan started at 18:43:08 07/03/2008

    Listing files found while scanning....

    C:\WINDOWS\system32\eblmjlai.ini
    C:\WINDOWS\system32\eblmjlai.ini2
    C:\WINDOWS\system32\eblmjlai.tmp
    C:\WINDOWS\system32\ialjmlbe.dll
    C:\WINDOWS\system32\irkcpbaw.dll
    C:\WINDOWS\system32\qzpugrnv.dll
    C:\windows\system32\qzpugrnv.dllbox
    C:\windows\system32\sstqo.dll

    Beginning removal...

    Attempting to delete C:\WINDOWS\system32\eblmjlai.ini
    C:\WINDOWS\system32\eblmjlai.ini Has been deleted!

    Attempting to delete C:\WINDOWS\system32\eblmjlai.ini2
    C:\WINDOWS\system32\eblmjlai.ini2 Has been deleted!

    Attempting to delete C:\WINDOWS\system32\eblmjlai.tmp
    C:\WINDOWS\system32\eblmjlai.tmp Has been deleted!

    Attempting to delete C:\WINDOWS\system32\ialjmlbe.dll
    C:\WINDOWS\system32\ialjmlbe.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\irkcpbaw.dll
    C:\WINDOWS\system32\irkcpbaw.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\qzpugrnv.dll
    C:\WINDOWS\system32\qzpugrnv.dll Has been deleted!

    Attempting to delete C:\windows\system32\qzpugrnv.dllbox
    C:\windows\system32\qzpugrnv.dllbox Has been deleted!

    Attempting to delete C:\windows\system32\sstqo.dll
    C:\windows\system32\sstqo.dll Has been deleted!

    Performing Repairs to the registry.
    Done!
    a b 8 Sécurité
    7 Mars 2008 19:12:57

    On va continuer ;) 

    [#ff0000]Désactive tes protections résidentes (antivirus, Spybot...) ![/#f]

  • Télécharge Combofix ([#ff0000]sUBs[/#f]) sur ton Bureau.
  • Double clique sur combofix.exe afin de le lancer.
  • Tape sur la touche 1 (Yes) pour démarrer le scan.
  • Lorsque le scan sera complété, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.
    7 Mars 2008 19:42:01

    Encore une opération bizarre ...

    Bon, au moins, pas de message d'erreur de la part de W$ ! (ouf!)

    Je commence l'opération en copiant Combofix sur le bureau, je le lance et là, il m'avertis que ce programme est pour un usage strictement personnel ... ect. Je clique sur 'ok'. Et là, il se met à scanné tout seul mon pc ! Jamais je n'ai eu le choix pour dire si oui ou non je voulais lancer le scan ou pas ! Résultat, je n'ai pas eu cette étape :

    "Tape sur la touche 1 (Yes) pour démarrer le scan." ...

    Puis pendant le scan, VirusScan s'est encore ouvert et a détecté 3 Vundo cette fois-ci !
    Enfin, Combo fix a dit au pc de redémarrer (je dit ça car 8 fois sur 10, W$ ne se ferme pas jusqu'au bout, mais rien à voir avec des virus, c'est un probleme de hardware avec la carte mère, j'ai donc éteint le pc "à la main").

    Voici donc le rapport :

    ComboFix 08-03-07.1 - Philippe 2008-03-07 19:24:34.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1543 [GMT 1:00]
    Endroit: C:\Documents and Settings\Philippe\Bureau\ComboFix.exe
    * Création d'un nouveau point de restauration

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\BMeb356204.xml
    C:\WINDOWS\pskt.ini
    C:\WINDOWS\system32\actnbtda.ini
    C:\WINDOWS\system32\adtbntca.dll
    C:\WINDOWS\system32\awtfgyqm.ini
    C:\WINDOWS\system32\cgyrsarh.dll
    C:\WINDOWS\system32\cqihttxm.ini
    C:\WINDOWS\system32\fmzreztq.dll
    C:\WINDOWS\system32\hfmyjmhh.dll
    C:\WINDOWS\system32\ivwhhwbn.dll
    C:\WINDOWS\system32\jigetyby.dll
    C:\WINDOWS\system32\jytrclpe.dll
    C:\WINDOWS\system32\ktbaiulr.dll
    C:\WINDOWS\system32\ljlvtdug.ini
    C:\WINDOWS\system32\mcrh.tmp
    C:\WINDOWS\system32\mcwygrdm.dll
    C:\WINDOWS\system32\mqygftwa.dll
    C:\WINDOWS\system32\nmtgeqqv.dll
    C:\WINDOWS\system32\ochfqknk.dll
    C:\WINDOWS\system32\ojtueoey.dll
    C:\WINDOWS\system32\oqtss.ini
    C:\WINDOWS\system32\oqtss.ini2
    C:\WINDOWS\system32\pdirigmn.dll
    C:\WINDOWS\system32\tkgebrjd.dll
    C:\WINDOWS\system32\vclwdhfh.dll
    C:\WINDOWS\system32\yayyayv.dll
    C:\WINDOWS\system32\yvcutxcr.dll

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2008-02-07 to 2008-03-07 ))))))))))))))))))))))))))))))))))))
    .

    2008-03-07 18:47 . 2008-03-07 18:47 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
    2008-03-06 22:07 . 2008-03-06 22:07 <REP> d-------- C:\Program Files\Ditto
    2008-03-06 22:07 . 2008-03-06 22:07 <REP> d-------- C:\Documents and Settings\Philippe\Application Data\Ditto
    2008-03-06 21:40 . 2008-03-06 21:40 <REP> d-------- C:\Program Files\Trend Micro
    2008-03-05 21:18 . 2008-03-06 20:55 1,306,977 ---hs---- C:\WINDOWS\system32\fcirvjip.ini
    2008-03-05 13:40 . 2008-03-05 19:47 1,307,494 ---hs---- C:\WINDOWS\system32\wfisguid.ini
    2008-03-03 19:05 . 2008-03-03 19:01 2,833,099 --a------ C:\WINDOWS\system32\tkgebrjd.xml
    2008-03-02 21:40 . 2008-03-02 21:40 <REP> d-------- C:\Documents and Settings\Philippe\Application Data\ESBCalc
    2008-03-02 20:59 . 2008-03-02 21:07 <REP> d-------- C:\Program Files\Navilog1
    2008-03-01 21:19 . 2008-03-01 21:17 2,833,081 --a------ C:\WINDOWS\system32\fmzreztq.xml
    2008-03-01 14:41 . 2008-03-03 21:05 2,833,099 --a------ C:\WINDOWS\system32\ojtueoey.xml
    2008-03-01 14:21 . 2008-03-01 14:21 30 --a------ C:\WINDOWS\system32\hfmyjmhh.xml
    2008-03-01 11:15 . 2008-03-07 18:47 <REP> d-------- C:\VundoFix Backups
    2008-03-01 10:41 . 2008-03-01 10:40 691,545 --a------ C:\WINDOWS\unins000.exe
    2008-03-01 10:41 . 2008-03-01 10:41 2,553 --a------ C:\WINDOWS\unins000.dat
    2008-02-25 21:17 . 2008-02-25 21:17 54,156 --ah----- C:\WINDOWS\QTFont.qfn
    2008-02-18 12:56 . 2008-02-18 12:56 <REP> d-------- C:\Tmp
    2008-02-17 17:46 . 2008-03-07 19:30 <REP> d-------- C:\Program Files\Chameleon Clock
    2008-02-17 17:08 . 2008-02-17 17:09 <REP> d-------- C:\Program Files\WYSIWYG Web Builder 5
    2008-02-17 17:08 . 2008-02-17 17:08 737,280 --a------ C:\WINDOWS\iun6002.exe
    2008-02-17 10:48 . 2008-02-17 10:48 <REP> d-------- C:\Webbuilder

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-03-03 20:53 --------- d-----w C:\Program Files\FlashGet
    2008-03-01 09:44 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2008-03-01 09:43 --------- d-----w C:\Program Files\Spybot - Search & Destroy
    2008-02-12 19:34 --------- d-----w C:\Program Files\HomePlayer1.5.2
    2008-02-03 16:43 --------- d-----w C:\Documents and Settings\Philippe\Application Data\Canon
    2008-01-26 11:22 --------- d-----w C:\Program Files\Catalencoder
    2008-01-26 11:21 --------- d-----w C:\Program Files\Ripp-it_AM
    2008-01-14 12:54 --------- d-----w C:\Program Files\Fichiers communs\Ulead Systems
    2008-01-14 12:53 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-01-14 12:53 --------- d-----w C:\Program Files\Ulead Systems
    2008-01-14 12:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Ulead Systems
    2008-01-13 20:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\InterVideo
    2008-01-08 21:37 --------- d-----w C:\Program Files\Gabest
    1995-09-20 14:16 456,976 ----a-w C:\Program Files\Fichiers communs\dao3032.dll
    2006-05-07 08:25 8,192 --sha-w C:\WINDOWS\o2cLicStore.bin
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{359A020E-BEF3-49B7-9C4F-6310279D3A32}]
    C:\WINDOWS\system32\awtsq.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4C39100D-205A-4DA1-97A5-785FA0748331}]
    C:\WINDOWS\system32\awtsq.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7776904C-D3EC-44EE-B163-8C8CBC860821}]
    C:\WINDOWS\system32\sstqo.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 13:07 1289000]
    "LanceurEasyBox"="C:\Program Files\EasyBox\EasyBox.exe" [ ]
    "HomeAlarm"="C:\Program Files\Chameleon Clock\ChamClock.exe" [2003-11-11 20:04 809472]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NVMixerTray"="C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 16:12 131072]
    "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-05-24 20:05 344064]
    "ShStatEXE"="C:\Program Files\Network Associates\VirusScan\SHSTAT.exe" [2004-09-22 19:00 94208]
    "McAfeeUpdaterUI"="C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 02:50 139320]
    "Network Associates Error Reporting Service"="C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe" [2003-10-07 08:48 147514]
    "MPFExe"="C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe" [2003-08-19 07:42 1048576]
    "Logitech Utility"="Logi_MwX.Exe" [2003-12-11 09:50 20992 C:\WINDOWS\LOGI_MWX.EXE]
    "itype"="C:\Program Files\Microsoft IntelliType Pro\itype.exe" [2005-12-04 16:38 437008]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2005-10-29 22:41 98304]
    "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\yayyayv]

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^AOL 9.0 Icône AOL.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\AOL 9.0 Icône AOL.lnk
    backup=C:\WINDOWS\pss\AOL 9.0 Icône AOL.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^AOL Compagnon.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\AOL Compagnon.lnk
    backup=C:\WINDOWS\pss\AOL Compagnon.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
    backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^Philippe^Menu Démarrer^Programmes^Démarrage^Adobe Gamma.lnk]
    path=C:\Documents and Settings\Philippe\Menu Démarrer\Programmes\Démarrage\Adobe Gamma.lnk
    backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service]
    --a------ 2005-10-29 23:05 90112 C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer]
    C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DataLayer]
    C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
    --------- 2004-10-13 17:24 1694208 C:\Program Files\Messenger\msmsgs.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    --a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIDIA nTune]
    --a------ 2004-12-06 11:06 532480 C:\Program Files\NVIDIA Corporation\nTune\\nTune.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
    C:\Program Files\Nokia\Nokia PC Suite 6\Launch Application 2.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PcSync]
    C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    --a------ 2005-10-29 22:41 98304 C:\Program Files\QuickTime\qttask.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImage Monitor]
    --a------ 2005-10-29 23:05 443204 C:\Program Files\Micro Application\TrueImage\TrueImageMonitor.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UVS11 Preload]
    --a------ 2007-04-12 13:23 341488 C:\Program Files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "UpdatesDisableNotify"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\NewSoft\\Presto! PageManager 6\\NetGroup.exe"=
    "C:\Program Files\Microsoft ActiveSync\rapimgr.exe"= C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
    "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"= C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
    "C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"= C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
    "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

    R2 MGE Service module;MGE Service module;C:\WINDOWS\system32\MGE\RunSC.exe [2005-03-29 01:35]
    S2 USBBC;USB Bridge Cable (Windows 2000);C:\WINDOWS\system32\USBBC20.sys []
    S3 autorun;autorun;C:\huadio.tmp [2007-09-09 18:40]

    .
    **************************************************************************

    catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-03-07 19:30:50
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\autorun]
    "ImagePath"="\??\C:\huadio.tmp"
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
    C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
    C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
    C:\WINDOWS\system32\MGE\PCtl.exe
    C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
    C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
    C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
    C:\WINDOWS\system32\MGE\BIL.EXE
    C:\WINDOWS\system32\MGE\CILUSB.EXE
    C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
    C:\Program Files\Logitech\MouseWare\system\em_exec.exe
    C:\PROGRA~1\MI3AA1~1\rapimgr.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-03-07 19:32:47 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-03-07 18:32:43
    a b 8 Sécurité
    7 Mars 2008 19:50:38

    Re,

    [#ff0000]Désactive tes protections résidentes (antivirus...) ![/#f]
    Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

    File::
    C:\WINDOWS\system32\fcirvjip.ini
    C:\WINDOWS\system32\wfisguid.ini
    C:\WINDOWS\system32\tkgebrjd.xml
    C:\WINDOWS\system32\fmzreztq.xml
    C:\WINDOWS\system32\ojtueoey.xml
    C:\WINDOWS\system32\hfmyjmhh.xml

    Registry::
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{359A020E-BEF3-49B7-9C4F-6310279D3A32}]
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4C39100D-205A-4DA1-97A5-785FA0748331}]
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7776904C-D3EC-44EE-B163-8C8CBC860821}]
    [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\yayyayv]


    Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précedemment copié.
    Sauvegarde ce fichier sous le nom de CFScript.txt.

    Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


    Cela va relancer Combofix, tape sur 1 puis valide. Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.
    [#ff0000]NOTE : S'il n'y a pas de rédémarrage, poste quand même les rapports demandés.[/#f]
    7 Mars 2008 20:16:12

    Ce coup-ci, rien à signaler, hormis qu'il y a depuis le début des opérations une erreur sur l'horloge en barre de tâche (mon père a une horloge "gadget qui est sensée remplacer celle de W$ or celle-ci ne fonctionne pas normalement car il y a une erreur pour l'horloge "classique").

    Voici donc le rapport :

    ComboFix 08-03-07.1 - Philippe 2008-03-07 20:08:44.2 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1602 [GMT 1:00]
    Endroit: C:\Documents and Settings\Philippe\Bureau\ComboFix.exe
    Command switches used :: C:\Documents and Settings\Philippe\Bureau\CFScript.txt
    * Création d'un nouveau point de restauration

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

    FILE ::
    C:\WINDOWS\system32\fcirvjip.ini
    C:\WINDOWS\system32\fmzreztq.xml
    C:\WINDOWS\system32\hfmyjmhh.xml
    C:\WINDOWS\system32\ojtueoey.xml
    C:\WINDOWS\system32\tkgebrjd.xml
    C:\WINDOWS\system32\wfisguid.ini
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\system32\fcirvjip.ini
    C:\WINDOWS\system32\fmzreztq.xml
    C:\WINDOWS\system32\hfmyjmhh.xml
    C:\WINDOWS\system32\ojtueoey.xml
    C:\WINDOWS\system32\tkgebrjd.xml
    C:\WINDOWS\system32\wfisguid.ini

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2008-02-07 to 2008-03-07 ))))))))))))))))))))))))))))))))))))
    .

    2008-03-07 18:47 . 2008-03-07 18:47 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
    2008-03-06 22:07 . 2008-03-06 22:07 <REP> d-------- C:\Program Files\Ditto
    2008-03-06 22:07 . 2008-03-06 22:07 <REP> d-------- C:\Documents and Settings\Philippe\Application Data\Ditto
    2008-03-06 21:40 . 2008-03-06 21:40 <REP> d-------- C:\Program Files\Trend Micro
    2008-03-02 21:40 . 2008-03-02 21:40 <REP> d-------- C:\Documents and Settings\Philippe\Application Data\ESBCalc
    2008-03-02 20:59 . 2008-03-02 21:07 <REP> d-------- C:\Program Files\Navilog1
    2008-03-01 11:15 . 2008-03-07 18:47 <REP> d-------- C:\VundoFix Backups
    2008-03-01 10:41 . 2008-03-01 10:40 691,545 --a------ C:\WINDOWS\unins000.exe
    2008-03-01 10:41 . 2008-03-01 10:41 2,553 --a------ C:\WINDOWS\unins000.dat
    2008-02-25 21:17 . 2008-02-25 21:17 54,156 --ah----- C:\WINDOWS\QTFont.qfn
    2008-02-18 12:56 . 2008-02-18 12:56 <REP> d-------- C:\Tmp
    2008-02-17 17:46 . 2008-03-07 20:00 <REP> d-------- C:\Program Files\Chameleon Clock
    2008-02-17 17:08 . 2008-02-17 17:09 <REP> d-------- C:\Program Files\WYSIWYG Web Builder 5
    2008-02-17 17:08 . 2008-02-17 17:08 737,280 --a------ C:\WINDOWS\iun6002.exe
    2008-02-17 10:48 . 2008-02-17 10:48 <REP> d-------- C:\Webbuilder

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-03-03 20:53 --------- d-----w C:\Program Files\FlashGet
    2008-03-01 09:44 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2008-03-01 09:43 --------- d-----w C:\Program Files\Spybot - Search & Destroy
    2008-02-12 19:34 --------- d-----w C:\Program Files\HomePlayer1.5.2
    2008-02-03 16:43 --------- d-----w C:\Documents and Settings\Philippe\Application Data\Canon
    2008-01-26 11:22 --------- d-----w C:\Program Files\Catalencoder
    2008-01-26 11:21 --------- d-----w C:\Program Files\Ripp-it_AM
    2008-01-14 12:54 --------- d-----w C:\Program Files\Fichiers communs\Ulead Systems
    2008-01-14 12:53 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-01-14 12:53 --------- d-----w C:\Program Files\Ulead Systems
    2008-01-14 12:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Ulead Systems
    2008-01-13 20:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\InterVideo
    2008-01-08 21:37 43,698 ----a-w C:\WINDOWS\system32\xvid-uninstall.exe
    2008-01-08 21:37 --------- d-----w C:\Program Files\Gabest
    1995-09-20 14:16 456,976 ----a-w C:\Program Files\Fichiers communs\dao3032.dll
    2006-05-07 08:25 8,192 --sha-w C:\WINDOWS\o2cLicStore.bin
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 13:07 1289000]
    "LanceurEasyBox"="C:\Program Files\EasyBox\EasyBox.exe" [ ]
    "HomeAlarm"="C:\Program Files\Chameleon Clock\ChamClock.exe" [2003-11-11 20:04 809472]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NVMixerTray"="C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 16:12 131072]
    "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-05-24 20:05 344064]
    "ShStatEXE"="C:\Program Files\Network Associates\VirusScan\SHSTAT.exe" [2004-09-22 19:00 94208]
    "McAfeeUpdaterUI"="C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 02:50 139320]
    "Network Associates Error Reporting Service"="C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe" [2003-10-07 08:48 147514]
    "MPFExe"="C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe" [2003-08-19 07:42 1048576]
    "Logitech Utility"="Logi_MwX.Exe" [2003-12-11 09:50 20992 C:\WINDOWS\LOGI_MWX.EXE]
    "itype"="C:\Program Files\Microsoft IntelliType Pro\itype.exe" [2005-12-04 16:38 437008]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2005-10-29 22:41 98304]
    "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^AOL 9.0 Icône AOL.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\AOL 9.0 Icône AOL.lnk
    backup=C:\WINDOWS\pss\AOL 9.0 Icône AOL.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^AOL Compagnon.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\AOL Compagnon.lnk
    backup=C:\WINDOWS\pss\AOL Compagnon.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
    path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
    backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

    [HKLM\~\startupfolder\C:^Documents and Settings^Philippe^Menu Démarrer^Programmes^Démarrage^Adobe Gamma.lnk]
    path=C:\Documents and Settings\Philippe\Menu Démarrer\Programmes\Démarrage\Adobe Gamma.lnk
    backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service]
    --a------ 2005-10-29 23:05 90112 C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer]
    C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DataLayer]
    C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
    --------- 2004-10-13 17:24 1694208 C:\Program Files\Messenger\msmsgs.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    --a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIDIA nTune]
    --a------ 2004-12-06 11:06 532480 C:\Program Files\NVIDIA Corporation\nTune\\nTune.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
    C:\Program Files\Nokia\Nokia PC Suite 6\Launch Application 2.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PcSync]
    C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    --a------ 2005-10-29 22:41 98304 C:\Program Files\QuickTime\qttask.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImage Monitor]
    --a------ 2005-10-29 23:05 443204 C:\Program Files\Micro Application\TrueImage\TrueImageMonitor.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UVS11 Preload]
    --a------ 2007-04-12 13:23 341488 C:\Program Files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "UpdatesDisableNotify"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\NewSoft\\Presto! PageManager 6\\NetGroup.exe"=
    "C:\Program Files\Microsoft ActiveSync\rapimgr.exe"= C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
    "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"= C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
    "C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"= C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
    "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

    R2 MGE Service module;MGE Service module;C:\WINDOWS\system32\MGE\RunSC.exe [2005-03-29 01:35]
    S2 USBBC;USB Bridge Cable (Windows 2000);C:\WINDOWS\system32\USBBC20.sys []
    S3 autorun;autorun;C:\huadio.tmp [2007-09-09 18:40]

    .
    **************************************************************************

    catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-03-07 20:09:43
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\autorun]
    "ImagePath"="\??\C:\huadio.tmp"
    .
    Temps d'accomplissement: 2008-03-07 20:10:12
    ComboFix-quarantined-files.txt 2008-03-07 19:10:04
    ComboFix2.txt 2008-03-07 18:32:48
    a b 8 Sécurité
    7 Mars 2008 22:09:19

    Reposte un rapport Hijackthis.
    9 Mars 2008 12:39:24

    Le voici le voilà, le rapport Hijackthis !

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:36:56, on 09/03/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
    C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
    C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    C:\WINDOWS\system32\MGE\RunSC.exe
    C:\WINDOWS\system32\MGE\PCtl.exe
    C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
    C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
    C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
    C:\WINDOWS\system32\MGE\BIL.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
    C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
    C:\WINDOWS\system32\MGE\CILUSB.EXE
    C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
    C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
    C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
    C:\Program Files\Microsoft IntelliType Pro\itype.exe
    C:\Program Files\Logitech\MouseWare\system\em_exec.exe
    C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
    C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
    C:\PROGRA~1\MI3AA1~1\rapimgr.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    C:\WINDOWS\system32\wuauclt.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
    O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
    O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
    O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
    O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
    O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
    O4 - HKCU\..\Run: [LanceurEasyBox] "C:\Program Files\EasyBox\EasyBox.exe" -AutoStart
    O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
    O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
    O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
    O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {68C1822F-F5C7-4404-A73F-03C10E0E94DA} (telechargement-photoweb) - http://www4.photoweb.fr/telechargement/Photoweb_uploade...
    O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSig...
    O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
    O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
    O23 - Service: MGE Service module - Unknown owner - C:\WINDOWS\system32\MGE\RunSC.exe
    O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
    O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
    O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

    --
    End of file - 7461 bytes
    a b 8 Sécurité
    9 Mars 2008 13:20:51

    Tu as essayé de la réinstaller ?
    9 Mars 2008 13:23:47

    De "la" réinstaller ?
    a b 8 Sécurité
    9 Mars 2008 13:59:04

    L'horloge gadget.
    9 Mars 2008 14:12:49

    Ah oui, c'est fait, ça marche ;)  !

    Et maintenant que le pc retourne normalement, il est possible de se reconnecter à internet sans prendre de risque que le spyware reprenne de l'ampleur ?
    a b 8 Sécurité
    9 Mars 2008 17:51:12

    Oui ;) 
    Tu as encore des soucis ou questions ?
    9 Mars 2008 18:07:44

    Eh bien non, rien d'anormal à première vue :)  !

    Merci :) 

    [EDIT] : J'ai mis le résolu comme dû et encore merci, vous êtes vraiment une super équipe ici ;)  !
    a b 8 Sécurité
    9 Mars 2008 18:11:27

    Bonne continuation ;) 

  • Télécharge ToolsCleaner sur ton Bureau.
  • Clique sur Recherche et laisse le scan se terminer.
  • Clique sur Suppression pour finaliser.
  • Clique sur Quitter, pour que le rapport puisse se créer.
  • Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\)

    Désactive puis réactive la restauration du système : Voir aide

    Ajoute maintenant [Résolu] au titre. Pour cela :
    * Clique, dans ton premier message, sur le bouton "Editer"
    * Rajoute la mention [Résolu] au titre
    * Clique ensuite sur "Valider votre message"

    Lis le dossier dossier sur la prévention et la protection pour ne plus avoir ce genre de problème en cliquant sur l'image ci-dessous :

    9 Mars 2008 18:34:45

    Voilà le rapport ToolsCleaner :)  :

    -->- Recherche:

    C:\Combofix: trouvé !
    C:\Vundofix backups: trouvé !
    C:\Qoobox: trouvé !
    C:\Documents and Settings\All Users\Bureau\Navilog1.lnk: trouvé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: trouvé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: trouvé !
    C:\Documents and Settings\Philippe\Bureau\HijackThis.lnk: trouvé !
    C:\Documents and Settings\Philippe\Bureau\Navilog1.exe: trouvé !
    C:\Documents and Settings\Philippe\Bureau\ComboFix.exe: trouvé !
    C:\Documents and Settings\Philippe\Bureau\vundoFix.exe: trouvé !
    C:\Program Files\Navilog1: trouvé !
    C:\Program Files\Navilog1\Navilog1.bat: trouvé !
    C:\Program Files\Trend Micro\HijackThis: trouvé !
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
    C:\QooBox\Quarantine\C\Combofix: trouvé !
    C:\Shared\vundoFix.exe: trouvé !

    ---------------------------------
    -->- Suppression:

    C:\Documents and Settings\All Users\Bureau\Navilog1.lnk: supprimé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: supprimé !
    C:\Documents and Settings\Philippe\Bureau\HijackThis.lnk: supprimé !
    C:\Documents and Settings\Philippe\Bureau\Navilog1.exe: supprimé !
    C:\Documents and Settings\Philippe\Bureau\ComboFix.exe: supprimé !
    C:\Documents and Settings\Philippe\Bureau\vundoFix.exe: supprimé !
    C:\Program Files\Navilog1\Navilog1.bat: supprimé !
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
    C:\Shared\vundoFix.exe: supprimé !
    C:\Combofix: supprimé !
    C:\Vundofix backups: supprimé !
    C:\Qoobox: supprimé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: supprimé !
    C:\Program Files\Navilog1: supprimé !
    C:\Program Files\Trend Micro\HijackThis: supprimé !
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS