Se connecter / S'enregistrer
Votre question

Création d'archives non voulues =s

Tags :
  • Windows
  • Sécurité
Dernière réponse : dans Sécurité et virus
6 Février 2008 13:35:49

Bonjour,

depuis 3 jours des archives se créent automatiquement dans un de mes dossiers. Il y en a exactement 300 qui se créent, et de 1092Ko chacune. C'est pas forcément urgent, mais c'est embêtant =)

Voilà merci de votre aide si vous voulez bien m'aider :p 

Autres pages sur : creation archives voulues

a b 8 Sécurité
6 Février 2008 13:41:49

Bonjour,

Un nom commun ?
6 Février 2008 16:43:38

Non, que des trucs du genre "Adobe Phtoshop CS3 Extended + Crack work 100%" ou "Vista Integrale FRENCH+ serial" ou encore "Office 2008 + SERIAL" ... enfin j'suis pas un blaireau je les ouvre pas ^^
Contenus similaires
a b 8 Sécurité
6 Février 2008 16:47:03

Supprime-les.
6 Février 2008 17:38:24

C'est ce que j'ai fait. Mais au redémarrage de Windows, elle se re-créent ! TuneUp ne me montre rien d'anormal au démarrage =s
a b 8 Sécurité
6 Février 2008 17:49:12

Aussi les cracks...

Télécharge puis installe Hijackthis (Trend Micro).
Poste ensuite un rapport dans ta prochaine réponse.
AIDE : Comment utiliser Hijackthis v2.0.2
6 Février 2008 19:13:24

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:13:06, on 06/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Mozilla Firefox 3 Beta 2\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\iTunes\iTunes.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceHelper.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\distnoted.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aliceadsl.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb125\SearchSettings.dll
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKCU\..\Policies\Explorer\Run: [Windows Printing Driver] WinPrint.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Alice ADSL - {6ACC0FA5-7C4B-4BA7-95FA-1BD34A270098} - http://www.aliceadsl.fr (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aliceadsl.fr
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.microsoft.com/i
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O17 - HKLM\System\CCS\Services\Tcpip\..\{7E967875-C433-47DE-9B62-A8C68ECB7F48}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Program Files\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Start BT in service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\StartSkysolSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 7420 bytes
a b 8 Sécurité
6 Février 2008 19:29:34

Re,

[#ff0000]Désactive tes protections résidentes (antivirus, Spybot...) ![/#f]

  • Télécharge Combofix ([#ff0000]sUBs[/#f]) sur ton Bureau.
  • Double clique sur combofix.exe afin de le lancer.
  • Tape sur la touche 1 (Yes) pour démarrer le scan.
  • Lorsque le scan sera complété, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.
    6 Février 2008 19:49:54

    salut,

    j'ai eu la même chose :

    Pour moi, le truc s'était copié en
    c:\windows\system32\winprint.exe et
    c:\windows\system32\ntspool.exe

    J'ai supprimé ces 2 fichiers

    Puis j'ai supprimé les 2 clefs correspondantes dans la base de registre (celles qui lancent ces programmes au démarrage)
    Pour moi, ça s'était mis en
    HKCU/software/microsoft/windows/currentversion/policies/explorer/run
    (tu lances regedit et tu vas à cette clef)

    et c'est tout



    6 Février 2008 19:52:11

    ComboFix 08-02.05.3 - Arthur 2008-02-06 19:40:18.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.473 [GMT 1:00]
    Endroit: C:\Documents and Settings\Arthur\Bureau\ComboFix.exe
    * Création d'un nouveau point de restauration

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .
    The following files were disabled during the run:
    C:\WINDOWS\system32\sockspy.dll


    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
    C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

    ----- BITS: Possible sites infect‚s -----

    hxxp://www.download.windowsupdate.com
    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    .
    -------\nm


    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-06 to 2008-02-06 ))))))))))))))))))))))))))))))))))))
    .

    2008-02-06 19:12 . 2008-02-06 19:12 <REP> d-------- C:\Program Files\Trend Micro
    2008-02-06 16:51 . 2008-02-06 16:52 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Bluetooth
    2008-02-06 16:49 . 2008-02-06 16:49 <REP> d-------- C:\Program Files\IVT Corporation
    2008-02-06 16:05 . 2008-02-06 19:09 54,156 --ah----- C:\WINDOWS\QTFont.qfn
    2008-02-06 16:05 . 2008-02-06 16:05 1,409 --a------ C:\WINDOWS\QTFont.for
    2008-02-03 17:43 . 2008-02-03 17:43 37,888 --a------ C:\WINDOWS\system32\rar.exe
    2008-02-03 15:03 . 2008-02-03 15:03 <REP> d-------- C:\Program Files\Fichiers communs\Blizzard Entertainment
    2008-02-03 14:43 . 2008-02-03 15:04 <REP> d-------- C:\Program Files\World of Warcraft
    2008-02-01 19:46 . 2008-02-01 19:46 <REP> d-------- C:\Program Files\Celtx
    2008-02-01 19:46 . 2008-02-01 19:46 <REP> d-------- C:\Documents and Settings\Arthur\Application Data\Greyfirst
    2008-01-30 21:51 . 2008-02-06 19:35 <REP> d-------- C:\Program Files\Tarobot
    2008-01-27 17:11 . 2008-01-27 17:11 <REP> d-------- C:\Documents and Settings\All Users\Application Data\FLEXnet
    2008-01-27 17:06 . 2008-02-06 16:06 <REP> d-------- C:\Program Files\Bonjour
    2008-01-27 16:48 . 2008-01-27 16:48 <REP> d-------- C:\Program Files\Fichiers communs\Macrovision Shared
    2008-01-27 14:53 . 2008-01-30 12:47 <REP> d-------- C:\Documents and Settings\Arthur\.gimp-2.4
    2008-01-27 14:51 . 2008-01-27 14:51 <REP> d-------- C:\Program Files\GIMP-2.0
    2008-01-25 18:02 . 2008-01-25 18:02 <REP> d-------- C:\d091892086c470cf8a
    2008-01-25 18:02 . 2004-08-19 15:09 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
    2008-01-25 18:01 . 2008-01-25 18:02 <REP> d-------- C:\4321c7dcf8bf42cacd242cec
    2008-01-25 17:53 . 2007-12-02 00:15 8,698,880 --a------ C:\WINDOWS\system32\wmploc.dll.tmp
    2008-01-25 17:53 . 2007-12-02 00:15 8,698,880 --a------ C:\WINDOWS\system32\OLD552.tmp
    2008-01-25 17:53 . 2006-11-03 10:03 8,292,352 --a------ C:\WINDOWS\system32\wmploc.dll
    2008-01-25 17:53 . 2006-11-03 10:03 8,292,352 --a--c--- C:\WINDOWS\system32\dllcache\wmploc.dll
    2008-01-23 21:16 . 2008-01-23 21:16 34 --a------ C:\WINDOWS\cdplayer.ini
    2008-01-23 21:12 . 2008-01-23 21:12 <REP> d-------- C:\Documents and Settings\Arthur\Application Data\Search Settings
    2008-01-23 21:11 . 2008-01-23 21:11 <REP> d-------- C:\Program Files\Search Settings
    2008-01-21 22:15 . 2008-01-21 22:15 <REP> d--h----- C:\WINDOWS\PIF
    2008-01-21 20:04 . 2008-02-06 19:09 <REP> d-------- C:\Program Files\Mozilla Firefox 3 Beta 2
    2008-01-19 20:45 . 2008-01-19 20:45 <REP> d-------- C:\Program Files\Fichiers communs\logishrd
    2008-01-18 17:16 . 2008-01-18 17:17 <REP> d-------- C:\Program Files\Winamp
    2008-01-18 17:16 . 2008-01-18 17:20 <REP> d-------- C:\Documents and Settings\Arthur\Application Data\Winamp
    2008-01-17 18:58 . 2008-01-19 20:24 <REP> d-------- C:\Documents and Settings\Arthur\Application Data\Shareaza
    2008-01-17 17:46 . 2008-01-17 17:46 <REP> d-------- C:\Program Files\iPod
    2008-01-14 21:50 . 2008-01-14 21:50 <REP> d-------- C:\Program Files\Skyline
    2008-01-14 21:50 . 2008-01-14 21:50 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Skyline
    2008-01-10 15:27 . 2008-01-10 15:27 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
    2008-01-10 15:27 . 2008-01-10 15:27 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts
    2008-01-09 16:14 . 2008-01-09 21:37 <REP> d-------- C:\Documents and Settings\Arthur\Application Data\OpenOffice.org2

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-02-06 18:32 --------- d-----w C:\Program Files\eMule
    2008-02-06 18:12 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
    2008-02-01 17:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\FogelSoft
    2008-01-27 16:06 --------- d-----w C:\Program Files\Fichiers communs\Adobe
    2008-01-23 20:27 --------- d-----w C:\Program Files\Objective Tarot
    2008-01-23 20:27 --------- d-----w C:\Documents and Settings\Arthur\Application Data\LimeWire
    2008-01-19 19:57 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
    2008-01-17 16:47 --------- d-----w C:\Program Files\iTunes
    2008-01-17 16:45 --------- d-----w C:\Program Files\QuickTime
    2008-01-12 17:44 --------- d-----w C:\Program Files\TuneUp Utilities 2007
    2008-01-09 15:06 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-01-09 15:06 --------- d-----w C:\Program Files\Digital Photo Navigator 1.5
    2008-01-09 15:03 --------- d-----w C:\Program Files\CyberLink
    2008-01-09 15:02 --------- d-----w C:\Program Files\Windows Live
    2008-01-06 20:04 --------- d-----w C:\Program Files\MSBuild
    2008-01-06 20:04 --------- d-----w C:\Program Files\Microsoft Works
    2008-01-05 12:20 --------- d-----w C:\Documents and Settings\All Users\Application Data\Autodesk
    2008-01-04 18:35 --------- d-----w C:\Documents and Settings\Arthur\Application Data\Screenshot Sender
    2008-01-04 17:27 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
    2008-01-04 17:24 --------- d-----w C:\Documents and Settings\Arthur\Application Data\Skype
    2008-01-04 16:55 --------- d-----w C:\Documents and Settings\Arthur\Application Data\EAST Technologies
    2008-01-04 16:54 3,888 ----a-w C:\WINDOWS\system32\drivers\NTHANDLE.SYS
    2007-12-31 14:00 --------- d-----w C:\Program Files\Le Seigneur Des Anneaux
    2007-12-30 14:19 --------- d-----w C:\Program Files\Google
    2007-12-29 17:19 --------- d-----w C:\Documents and Settings\Arthur\Application Data\ViStart
    2007-12-29 16:56 --------- d-----w C:\Documents and Settings\Arthur\Application Data\FogelSoft
    2007-12-29 16:53 --------- d-----w C:\Program Files\Reference Assemblies
    2007-12-29 16:48 --------- d-----w C:\Program Files\MSXML 6.0
    2007-12-22 18:48 --------- d-----w C:\Program Files\Messenger Plus! Live
    2007-12-16 10:36 --------- d-----w C:\Documents and Settings\Arthur\Application Data\skypePM
    2007-12-15 19:35 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat
    2007-12-15 19:33 --------- d-----w C:\Program Files\Skype
    2007-12-15 19:33 --------- d-----w C:\Program Files\Fichiers communs\Skype
    2007-12-15 19:33 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\RPRSTITL.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\RPRSTEXT.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\RPRSSTMP.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\RPRSSPEC.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\RPRSSCRP.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\RPRSREH_.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\RPRSMET_.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\RPRSCHOR.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\RPRS____.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\OPUSTEXT.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\OPUSSE__.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\OPUSS___.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\OPUSROMC.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\OPUSPC__.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\OPUSP___.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\OPUSO___.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\OPUSNN__.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\OPUSM___.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\OPUSJAPC.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\OPUSFS__.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\OPUSFBE_.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\OPUSFB__.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\OPUSCSC_.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\OPUSCS__.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\OPUSC___.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\OPUS____.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\INKPEN2_.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\INK2TEXT.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\INK2SPEC.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\INK2SCRI.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\INK2METR.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\INK2CHOR.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\HELST___.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\HELSS___.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\HELSM___.FOT
    2007-12-14 18:14 1,409 ----a-w C:\WINDOWS\Fonts\HELSINKI.FOT
    2007-12-12 17:27 --------- d-----w C:\Documents and Settings\Arthur\Application Data\Ahead
    2007-12-10 18:37 --------- d-----w C:\Documents and Settings\All Users\Application Data\Cyberlink
    2007-12-10 18:35 --------- d-----w C:\Program Files\Cyber Link My Works
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}]
    2007-12-06 11:58 1198432 --a------ C:\Program Files\Search Settings\kb125\SearchSettings.dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-04-19 23:05 8429568]
    "LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2004-10-08 10:52 221184]
    "BDMCon"="C:\Program Files\Softwin\BitDefender10\bdmcon.exe" [2007-11-07 12:13 290816]
    "BDAgent"="C:\Program Files\Softwin\BitDefender10\bdagent.exe" [2007-03-26 15:49 69632]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15:09 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=sockspy.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EverioService]
    --------- 2006-11-22 21:10 151552 C:\Program Files\CyberLink\PCM4Everio\EverioService.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    --a------ 2008-01-10 15:27 385024 C:\Program Files\QuickTime\QTTask.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
    "iPod Service"=3 (0x3)

    R1 AmdPPM;Pilote de processeur AMD HwPState;C:\WINDOWS\system32\DRIVERS\AmdPPM.sys [2007-04-16 21:46]
    R2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2004-08-19 15:10]
    R3 usbstor;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 22:08]
    S3 BTNetFilter;Bluetooth Network Filter;C:\Program Files\IVT Corporation\BlueSoleil\Device\Win2k\BTNetFilter.sys [2006-11-21 22:41]
    S3 gdrv;gdrv;C:\WINDOWS\gdrv.sys [2007-10-20 10:54]
    S3 Start BT in service;Start BT in service;C:\Program Files\IVT Corporation\BlueSoleil\StartSkysolSvc.exe [2007-04-21 14:54]
    S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58]

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    UxTuneUp

    .
    Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
    "2008-01-07 21:54:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - C:\Program Files\Apple Software Update\SoftwareUpdate.exe
    "2008-02-06 14:52:33 C:\WINDOWS\Tasks\HP Usg Daily FY04.job"
    - C:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\pexpress\hphped06.exe
    "2008-01-18 16:16:35 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
    - C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe
    .
    **************************************************************************

    catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-02-06 19:45:43
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************
    .
    --------------------- DLLs a charg‚ sous des processus courants ---------------------

    PROCESS: C:\WINDOWS\system32\winlogon.exe
    -> C:\WINDOWS\system32\sockspy.dll

    PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.2180]
    -> C:\WINDOWS\system32\sockspy.dll

    PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]
    -> C:\WINDOWS\system32\sockspy.dll
    -> C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon.dll
    -> C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll
    -> C:\Program Files\WinRAR\rarext.dll
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
    C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
    C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
    C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
    C:\Program Files\Softwin\BitDefender10\vsserv.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
    C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
    C:\Program Files\Tarobot\tarobot.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-02-06 19:49:03 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-02-06 18:48:57
    .
    2007-12-13 17:47:31 --- E O F ---


    ( en réponse à tangi44 : déjà fait :-) )
    6 Février 2008 20:55:10

    Et as-tu trouvé ces mêmes fichiers ?
    Sur le rapport des derniers fichiers modifiés, je pouvais aussi reperer le fichier par sa taille 1441792 octets (tu peux regarder dans les archives ils ont tous la même taille)
    et sa date de création était le 6/02/08 à 1h04 (heure où j'ai cliqué) mais sa date de modification était 28 août 2004
    Cela dit dans ton rapport je n'ai rien repéré.
    Mais si tu as le pb depuis plus d'un mois ça n'apparait peut etre pas

    Après j'ai dit plus haut qu'il n'y avait pas de processus pour le truc mais maintenant j'ai un gros doute parce que j'avais quand même tué 2 /3 processus pour lesquels j'avais un doute et je me demande si un ne s'appelait pas ntspool.exe...
    a b 8 Sécurité
    7 Février 2008 12:05:43

    Euh...tu as fait ce que j'ai dit avec CFScript ?
    7 Février 2008 18:44:00

    Tu ne m'as rien demandé avec CFScript j'sais meme pas ce que c'est --'
    EDIT: je viens de remarquer que cette fois les archives ne s'étaient pac crées. Bizarre. Je rappelle à l'aide au cas où ..

    tangi44 : rien ntsppol.exe n'existe pas chez moi .
    a b 8 Sécurité
    7 Février 2008 19:47:00

    Erreur de ma part. Reposte un rapport Hijackthis.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS