Se connecter / S'enregistrer
Votre question

Infection par Trojan dont je ne connais pas le nom, besoin d'aide svp

Tags :
  • Trojan
  • Sécurité
Dernière réponse : dans Sécurité et virus
15 Décembre 2007 21:27:35

Bonjour à vous tous, ce matin en allumant mon ordi avast a détecté un trojan. Seul devant ce truc et vu mon niveau en informatique je ne sais pas comment m'en débarasser, j'espère que vous pourrez m'aider.

Merci d'avance à vous toutes et tous.
Sam ;)  .

Autres pages sur : infection trojan connais nom besoin aide svp

16 Décembre 2007 09:47:38

rapport hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:51:54, on 16/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Spyware Doctor\svcntaux.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spyware Doctor\swdsvc.exe
C:\Program Files\RALINK\Common\RaUI.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Winamp3\Studio.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\DAP\DAP.EXE
C:\Documents and Settings\Samuel\Bureau\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.8.30.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AD1B83E7-97E6-4F52-B378-06799DF69824} - C:\WINDOWS\system32\cabinetk.dll
O2 - BHO: (no name) - {C2FE0EFC-5A6A-4029-A4DE-C57F95CB5D50} - c:\windows\system32\ff_vfwi.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Program Files\DAP\DAPIEBar.dll
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [SDTray] C:\Program Files\Spyware Doctor\SDTrayApp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.8.30.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O20 - Winlogon Notify: jvccpomo - C:\WINDOWS\SYSTEM32\ff_vfwi.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

--
End of file - 6230 bytes
Contenus similaires
16 Décembre 2007 22:10:19

Re


Télécharge Combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Double clique combofix.exe et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra.

Copie/colle ce rapport dans ta prochaine réponse avec un nouveau HijackThis.
17 Décembre 2007 12:21:10

rapport de ComboFix:

ComboFix 07-12-16.4 - Samuel 2007-12-17 12:16:27.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1545 [GMT 1:00]
Running from: C:\Documents and Settings\Samuel\Bureau\ComboFix.exe
* Created a new restore point
.
The following files were disabled during the run:
C:\Program Files\Spyware Doctor\klg.dat

ADS - svchost.exe: deleted 24064 bytes in 1 streams.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-17 to 2007-12-17 ))))))))))))))))))))))))))))))))))))
.

2007-12-16 19:24 . 2007-12-16 19:24 35,072 --a------ C:\WINDOWS\system32\rayeubcx.dat
2007-12-15 14:55 . 2007-12-15 14:55 1,188,375 --a------ C:\WINDOWS\system32\libeay32.dll
2007-12-15 14:55 . 2007-12-15 14:55 741,632 --a------ C:\WINDOWS\system32\zsukcheb.dat
2007-12-15 14:55 . 2007-12-15 14:55 246,545 --a------ C:\WINDOWS\system32\libssl32.dll
2007-12-15 14:55 . 2007-12-15 14:55 119,552 --a------ C:\WINDOWS\system32\vdejpili.dat
2007-12-15 14:55 . 2007-12-15 14:55 42,240 --a------ C:\WINDOWS\system32\tkyipcpd.dat
2007-12-15 14:55 . 2007-12-15 14:55 36,096 --a------ C:\WINDOWS\system32\ynwytdff.dat
2007-12-15 13:31 . 2007-12-17 12:18 83,456 --a------ C:\WINDOWS\system32\ff_vfwi.dll
2007-12-15 13:30 . 19,456 C:\WINDOWS\system32\drivers\samxuiui.dat
2007-12-15 13:26 . 2004-08-19 15:09 84,992 --a------ C:\WINDOWS\system32\cabinetk.dll
2007-12-14 12:43 . 2001-08-24 13:00 84,992 --a------ C:\WINDOWS\system32\dhcpmonp.dll
2007-12-08 21:05 . 2007-12-17 12:20 <REP> d-------- C:\Program Files\Spyware Doctor
2007-12-08 21:05 . 2007-12-08 21:05 <REP> d-------- C:\Documents and Settings\Samuel\Application Data\PC Tools
2007-12-08 21:05 . 2007-04-19 15:18 83,536 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2007-12-08 21:05 . 2007-04-19 15:18 59,984 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2007-12-08 21:05 . 2007-04-19 15:18 52,304 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-12-08 21:05 . 2007-04-19 15:18 39,248 --a------ C:\WINDOWS\system32\drivers\ikfileflt.sys
2007-12-08 21:05 . 2007-04-19 15:18 26,064 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2007-12-08 20:56 . 2005-09-23 07:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-11-30 12:44 . 2007-11-30 12:44 <REP> d-------- C:\Program Files\WinAVI MP4 Converter
2007-11-29 21:13 . 2007-11-29 21:13 <REP> dr-h----- C:\Documents and Settings\Samuel\Application Data\SecuROM
2007-11-29 21:13 . 2007-11-29 21:13 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-11-29 20:55 . 2007-11-29 20:55 <REP> d-------- C:\Program Files\Electronic Arts
2007-11-29 19:58 . 2007-11-29 19:58 <REP> d--h----- C:\WINDOWS\PIF
2007-11-28 22:23 . 2007-11-28 22:23 18,784 --a------ C:\Documents and Settings\Samuel\Application Data\GDIPFONTCACHEV1.DAT
2007-11-27 16:24 . 2007-12-09 16:39 <REP> d-------- C:\LimeWire
2007-11-27 16:24 . 2007-12-09 17:56 <REP> d-------- C:\Incomplete
2007-11-27 16:23 . 2007-11-27 16:23 <REP> d-------- C:\Documents and Settings\Samuel\Incomplete
2007-11-27 16:23 . 2007-12-04 18:33 <REP> d-------- C:\Documents and Settings\Samuel\Application Data\LimeWire
2007-11-27 16:23 . 2007-07-12 02:22 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2007-11-27 16:22 . 2007-11-27 16:23 <REP> d-------- C:\Program Files\LimeWire
2007-11-27 16:22 . 2007-11-27 16:23 <REP> d-------- C:\Program Files\Java
2007-11-27 16:22 . 2007-11-27 16:22 <REP> d-------- C:\Program Files\Fichiers communs\Java
2007-11-25 20:24 . 2007-11-25 20:24 685,816 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2007-11-25 18:54 . 2007-11-25 18:54 <REP> d-------- C:\Program Files\Elaborate Bytes
2007-11-22 19:13 . 2007-11-22 19:13 <REP> dr------- C:\Documents and Settings\NetworkService\Favoris
2007-11-22 19:03 . 2007-11-22 19:03 <REP> d-------- C:\Program Files\Sygate
2007-11-22 19:03 . 2003-12-24 14:44 83,096 --a------ C:\WINDOWS\system32\SSSensor.dll
2007-11-22 19:03 . 2003-12-24 14:32 56,400 --a------ C:\WINDOWS\system32\drivers\Teefer.sys
2007-11-22 19:03 . 2003-12-24 14:34 18,515 --a------ C:\WINDOWS\system32\drivers\wpsdrvnt.sys
2007-11-22 19:03 . 2003-12-24 14:30 11,914 --a------ C:\WINDOWS\system32\drivers\wg3n.sys
2007-11-22 18:58 . 2007-11-22 18:58 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-10 18:21 --------- d-----w C:\Program Files\Windows Live Safety Center
2007-12-06 08:49 14,336 ----a-w C:\WINDOWS\system32\svchost.exe
2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr
2007-11-06 19:54 --------- d-----w C:\Documents and Settings\Samuel\Application Data\AdobeUM
2007-11-02 13:54 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2007-10-30 19:18 --------- d-----w C:\Documents and Settings\Samuel\Application Data\Simply Super Software
2007-10-22 07:56 --------- d-----w C:\Documents and Settings\Samuel\Application Data\CyberLink
2007-10-03 22:36 25,600 ----a-w C:\WINDOWS\system32\WS2Fix.exe
.

((((((((((((((((((((((((((((( snapshot@2007-11-08_18.38.24,12 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-03-13 09:57:10 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
+ 2007-11-22 18:03:04 4,608 ----a-r C:\WINDOWS\Installer\{796E70BB-C20D-4956-99DA-72BD201846E8}\IconC989D247.exe
+ 2007-11-29 20:11:18 3,262 ----a-r C:\WINDOWS\Installer\{CC419DDC-E0F0-4013-B25A-6FA036516F0D}\nfs_icon.exe
+ 2007-03-12 15:42:30 1,123,696 ----a-w C:\WINDOWS\system32\D3DCompiler_33.dll
+ 2007-05-16 15:45:16 1,124,720 ----a-w C:\WINDOWS\system32\D3DCompiler_34.dll
+ 2007-03-15 15:57:58 443,752 ----a-w C:\WINDOWS\system32\d3dx10_33.dll
+ 2007-05-16 15:45:16 443,752 ----a-w C:\WINDOWS\system32\d3dx10_34.dll
+ 2007-03-12 15:42:30 3,495,784 ----a-w C:\WINDOWS\system32\d3dx9_33.dll
+ 2007-05-16 15:45:16 3,497,832 ----a-w C:\WINDOWS\system32\d3dx9_34.dll
- 2004-08-19 14:10:04 14,336 -c--a-w C:\WINDOWS\system32\dllcache\svchost.exe
+ 2007-12-06 08:49:42 14,336 -c--a-w C:\WINDOWS\system32\dllcache\svchost.exe
+ 2004-07-31 16:50:36 51,200 ----a-w C:\WINDOWS\system32\dumphive.exe
+ 2003-12-24 13:44:46 95,384 ----a-w C:\WINDOWS\system32\FwsVpn.dll
+ 2007-07-12 00:22:00 135,168 ----a-w C:\WINDOWS\system32\java.exe
+ 2007-07-12 00:22:04 135,168 ----a-w C:\WINDOWS\system32\javaw.exe
+ 2007-07-12 01:22:38 139,264 ----a-w C:\WINDOWS\system32\javaws.exe
+ 2005-05-16 18:34:48 213,048 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavss.dll
+ 2006-03-20 12:17:24 65,536 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe
+ 2006-03-20 12:17:20 798,720 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll
+ 2003-06-05 19:13:00 53,248 ----a-w C:\WINDOWS\system32\Process.exe
+ 2003-12-24 13:44:44 128,152 ----a-w C:\WINDOWS\system32\SetAid.dll
+ 2006-04-27 15:49:30 288,417 ----a-w C:\WINDOWS\system32\SrchSTS.exe
- 2007-07-22 17:39:27 279,552 ----a-w C:\WINDOWS\system32\swreg.exe
+ 2007-12-13 20:26:50 156,160 ----a-w C:\WINDOWS\system32\swreg.exe
+ 2007-09-05 22:22:23 289,144 ----a-w C:\WINDOWS\system32\VCCLSID.exe
+ 2007-03-05 11:42:18 15,128 ----a-w C:\WINDOWS\system32\x3daudio1_1.dll
+ 2007-06-20 19:45:20 18,280 ----a-w C:\WINDOWS\system32\x3daudio1_2.dll
+ 2007-01-24 14:27:30 255,848 ----a-w C:\WINDOWS\system32\xactengine2_6.dll
+ 2007-04-04 17:55:00 261,480 ----a-w C:\WINDOWS\system32\xactengine2_7.dll
+ 2007-06-20 19:46:04 266,088 ----a-w C:\WINDOWS\system32\xactengine2_8.dll
+ 2007-04-04 17:53:42 81,768 ----a-w C:\WINDOWS\system32\xinput1_3.dll
+ 2007-12-17 11:20:25 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_708.dat
.
-- Snapshot reset to current date --
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AD1B83E7-97E6-4F52-B378-06799DF69824}]
2004-08-19 15:09 84992 --a------ C:\WINDOWS\system32\cabinetk.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C2FE0EFC-5A6A-4029-A4DE-C57F95CB5D50}]
2007-12-17 12:18 83456 --a------ c:\windows\system32\ff_vfwi.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:09]
"ccleaner"="C:\Program Files\CCleaner\ccleaner.exe" [2007-05-10 12:01]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 18:42]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-19 15:10 C:\WINDOWS\system32\rundll32.exe]
"nwiz"="nwiz.exe" [2006-07-20 19:58 C:\WINDOWS\system32\nwiz.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2006-06-29 12:32 C:\WINDOWS\AGRSMMSG.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-10 14:28 C:\WINDOWS\RTHDCPL.exe]
"DownloadAccelerator"="C:\PROGRA~1\DAP\DAP.exe" [2007-09-07 14:58]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2003-12-24 14:44]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"SDTray"="C:\Program Files\Spyware Doctor\SDTrayApp.exe" [2007-05-17 12:02]
"combofix"="C:\WINDOWS\system32\cmd.exe" [2004-08-19 15:09]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearDocsOnExit"= 64 (0x40)
"NoRecentDocsMenu"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ClearDocsOnExit"= 64 (0x40)
"NoRecentDocsMenu"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\snp2std]
2005-08-16 20:54 339968 --a------ C:\WINDOWS\vsnp2std.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tsnp2std]
2005-08-17 14:57 90112 --a------ C:\WINDOWS\tsnp2std.exe

R0 O2MDRDR;O2MDRDR;C:\WINDOWS\system32\DRIVERS\o2media.sys
R0 O2SDRDR;O2SDRDR;C:\WINDOWS\system32\DRIVERS\o2sd.sys
R0 ytfelkdv;ytfelkdv;C:\WINDOWS\system32\drivers\samxuiui.dat
R3 nvsmu;nvsmu;C:\WINDOWS\system32\DRIVERS\nvsmu.sys
R3 SNP2STD;USB2.0 PC Camera (SNP2STD);C:\WINDOWS\system32\DRIVERS\snp2sxp.sys
S0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{48f63438-9b8c-11dc-9fd2-0019db97014d}]
\Shell\AutoRun\command - H:\Autorun.exe

.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-17 12:21:31
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-12-17 12:22:18 - machine was rebooted
C:\ComboFix2.txt ... 2007-11-08 18:44
C:\ComboFix3.txt ... 2007-11-08 18:38
17 Décembre 2007 12:22:32

rapport de Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:27:02, on 17/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
C:\Program Files\Spyware Doctor\svcntaux.exe
C:\Program Files\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\RALINK\Common\RaUI.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Samuel\Bureau\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favoris
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.8.30.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AD1B83E7-97E6-4F52-B378-06799DF69824} - C:\WINDOWS\system32\cabinetk.dll
O2 - BHO: (no name) - {C2FE0EFC-5A6A-4029-A4DE-C57F95CB5D50} - c:\windows\system32\ff_vfwi.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Program Files\DAP\DAPIEBar.dll
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [SDTray] C:\Program Files\Spyware Doctor\SDTrayApp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.8.30.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O20 - Winlogon Notify: jvccpomo - C:\WINDOWS\SYSTEM32\ff_vfwi.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

--
End of file - 6127 bytes

17 Décembre 2007 21:25:43

Re


Copie (Ctrl+C) le texte ci-dessous :

File::
C:\WINDOWS\system32\rayeubcx.dat
C:\WINDOWS\system32\zsukcheb.dat
C:\WINDOWS\system32\libssl32.dll
C:\WINDOWS\system32\vdejpili.dat
C:\WINDOWS\system32\tkyipcpd.dat
C:\WINDOWS\system32\ynwytdff.dat
C:\WINDOWS\system32\ff_vfwi.dll
C:\WINDOWS\system32\drivers\samxuiui.dat
C:\WINDOWS\system32\cabinetk.dll
C:\WINDOWS\system32\dhcpmonp.dll

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AD1B83E7-97E6-4F52-B378-06799DF69824}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C2FE0EFC-5A6A-4029-A4DE-C57F95CB5D50}]


Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précedemment copié.
Sauvegarde ce fichier sous le nom de CFScript.txt



Comme l'image le montre, fait glisser CFScript.txt sur Combofix.exe
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
18 Décembre 2007 09:42:17

Re

Rapport de ComboFix avec CFScript.txt:

ComboFix 07-12-16.4 - Samuel 2007-12-18 9:38:54.4 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1595 [GMT 1:00]
Running from: C:\Documents and Settings\Samuel\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Samuel\Bureau\CFScript.txt
* Created a new restore point

FILE
C:\WINDOWS\system32\cabinetk.dll
C:\WINDOWS\system32\dhcpmonp.dll
C:\WINDOWS\system32\drivers\samxuiui.dat
C:\WINDOWS\system32\ff_vfwi.dll
C:\WINDOWS\system32\libssl32.dll
C:\WINDOWS\system32\rayeubcx.dat
C:\WINDOWS\system32\tkyipcpd.dat
C:\WINDOWS\system32\vdejpili.dat
C:\WINDOWS\system32\ynwytdff.dat
C:\WINDOWS\system32\zsukcheb.dat
.
The following files were disabled during the run:
C:\Program Files\Spyware Doctor\klg.dat


(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\cabinetk.dll
C:\WINDOWS\system32\dhcpmonp.dll
C:\WINDOWS\system32\drivers\samxuiui.dat
C:\WINDOWS\system32\ff_vfwi.dll
C:\WINDOWS\system32\libssl32.dll
C:\WINDOWS\system32\rayeubcx.dat
C:\WINDOWS\system32\tkyipcpd.dat
C:\WINDOWS\system32\vdejpili.dat
C:\WINDOWS\system32\ynwytdff.dat
C:\WINDOWS\system32\zsukcheb.dat

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_SQMQRSLY
-------\sqmqrsly


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-18 to 2007-12-18 ))))))))))))))))))))))))))))))))))))
.

2007-12-15 14:55 . 2007-12-15 14:55 1,188,375 --a------ C:\WINDOWS\system32\libeay32.dll
2007-12-08 21:05 . 2007-12-18 09:42 <REP> d-------- C:\Program Files\Spyware Doctor
2007-12-08 21:05 . 2007-12-08 21:05 <REP> d-------- C:\Documents and Settings\Samuel\Application Data\PC Tools
2007-12-08 21:05 . 2007-04-19 15:18 83,536 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2007-12-08 21:05 . 2007-04-19 15:18 59,984 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2007-12-08 21:05 . 2007-04-19 15:18 52,304 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-12-08 21:05 . 2007-04-19 15:18 39,248 --a------ C:\WINDOWS\system32\drivers\ikfileflt.sys
2007-12-08 21:05 . 2007-04-19 15:18 26,064 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2007-12-08 20:56 . 2005-09-23 07:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-11-30 12:44 . 2007-11-30 12:44 <REP> d-------- C:\Program Files\WinAVI MP4 Converter
2007-11-29 21:13 . 2007-11-29 21:13 <REP> dr-h----- C:\Documents and Settings\Samuel\Application Data\SecuROM
2007-11-29 21:13 . 2007-11-29 21:13 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-11-29 20:55 . 2007-11-29 20:55 <REP> d-------- C:\Program Files\Electronic Arts
2007-11-29 19:58 . 2007-11-29 19:58 <REP> d--h----- C:\WINDOWS\PIF
2007-11-28 22:23 . 2007-11-28 22:23 18,784 --a------ C:\Documents and Settings\Samuel\Application Data\GDIPFONTCACHEV1.DAT
2007-11-27 16:24 . 2007-12-09 16:39 <REP> d-------- C:\LimeWire
2007-11-27 16:24 . 2007-12-09 17:56 <REP> d-------- C:\Incomplete
2007-11-27 16:23 . 2007-11-27 16:23 <REP> d-------- C:\Documents and Settings\Samuel\Incomplete
2007-11-27 16:23 . 2007-12-04 18:33 <REP> d-------- C:\Documents and Settings\Samuel\Application Data\LimeWire
2007-11-27 16:23 . 2007-07-12 02:22 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2007-11-27 16:22 . 2007-11-27 16:23 <REP> d-------- C:\Program Files\LimeWire
2007-11-27 16:22 . 2007-11-27 16:23 <REP> d-------- C:\Program Files\Java
2007-11-27 16:22 . 2007-11-27 16:22 <REP> d-------- C:\Program Files\Fichiers communs\Java
2007-11-25 20:24 . 2007-11-25 20:24 685,816 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2007-11-25 18:54 . 2007-11-25 18:54 <REP> d-------- C:\Program Files\Elaborate Bytes
2007-11-22 19:13 . 2007-11-22 19:13 <REP> dr------- C:\Documents and Settings\NetworkService\Favoris
2007-11-22 19:03 . 2007-11-22 19:03 <REP> d-------- C:\Program Files\Sygate
2007-11-22 19:03 . 2003-12-24 14:44 83,096 --a------ C:\WINDOWS\system32\SSSensor.dll
2007-11-22 19:03 . 2003-12-24 14:32 56,400 --a------ C:\WINDOWS\system32\drivers\Teefer.sys
2007-11-22 19:03 . 2003-12-24 14:34 18,515 --a------ C:\WINDOWS\system32\drivers\wpsdrvnt.sys
2007-11-22 19:03 . 2003-12-24 14:30 11,914 --a------ C:\WINDOWS\system32\drivers\wg3n.sys
2007-11-22 18:58 . 2007-11-22 18:58 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-10 18:21 --------- d-----w C:\Program Files\Windows Live Safety Center
2007-12-06 08:49 14,336 ----a-w C:\WINDOWS\system32\svchost.exe
2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr
2007-11-06 19:54 --------- d-----w C:\Documents and Settings\Samuel\Application Data\AdobeUM
2007-11-02 13:54 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2007-10-30 19:18 --------- d-----w C:\Documents and Settings\Samuel\Application Data\Simply Super Software
2007-10-22 07:56 --------- d-----w C:\Documents and Settings\Samuel\Application Data\CyberLink
2007-10-03 22:36 25,600 ----a-w C:\WINDOWS\system32\WS2Fix.exe
.

((((((((((((((((((((((((((((( snapshot_2007-12-17_12.21.44.35 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-12-18 08:43:05 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_7f4.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:09]
"ccleaner"="C:\Program Files\CCleaner\ccleaner.exe" [2007-05-10 12:01]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 18:42]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-19 15:10 C:\WINDOWS\system32\rundll32.exe]
"nwiz"="nwiz.exe" [2006-07-20 19:58 C:\WINDOWS\system32\nwiz.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2006-06-29 12:32 C:\WINDOWS\AGRSMMSG.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-10 14:28 C:\WINDOWS\RTHDCPL.exe]
"DownloadAccelerator"="C:\PROGRA~1\DAP\DAP.exe" [2007-09-07 14:58]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2003-12-24 14:44]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"SDTray"="C:\Program Files\Spyware Doctor\SDTrayApp.exe" [2007-05-17 12:02]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearDocsOnExit"= 64 (0x40)
"NoRecentDocsMenu"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ClearDocsOnExit"= 64 (0x40)
"NoRecentDocsMenu"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\snp2std]
2005-08-16 20:54 339968 --a------ C:\WINDOWS\vsnp2std.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tsnp2std]
2005-08-17 14:57 90112 --a------ C:\WINDOWS\tsnp2std.exe

R0 O2MDRDR;O2MDRDR;C:\WINDOWS\system32\DRIVERS\o2media.sys
R0 O2SDRDR;O2SDRDR;C:\WINDOWS\system32\DRIVERS\o2sd.sys
R3 nvsmu;nvsmu;C:\WINDOWS\system32\DRIVERS\nvsmu.sys
R3 SNP2STD;USB2.0 PC Camera (SNP2STD);C:\WINDOWS\system32\DRIVERS\snp2sxp.sys
S0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys
S0 ytfelkdv;ytfelkdv;C:\WINDOWS\system32\drivers\samxuiui.dat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{48f63438-9b8c-11dc-9fd2-0019db97014d}]
\Shell\AutoRun\command - H:\Autorun.exe

.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-18 09:44:08
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-12-18 9:44:39 - machine was rebooted
C:\ComboFix2.txt ... 2007-12-17 12:22
C:\ComboFix3.txt ... 2007-11-08 18:44
19 Décembre 2007 00:19:10

Slt je vais me coucher là je ferai l'analyse demain je pense. Qu'est ce que t'en dis pour le moment, mon Pc semble infecté ou non ?
19 Décembre 2007 00:49:46

Re


L'analyse en ligne est une finition.
19 Décembre 2007 17:45:18

Re Aïe Aïe Aïe voici le rapport Kaspersky:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Wednesday, December 19, 2007 5:48:12 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 19/12/2007
Enregistrements dans la base antivirus Kaspersky : 457780
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
C:\
D:\
E:\
F:\

Statistiques de l'analyse:
Total d'objets analysés: 41675
Nombre de virus trouvés: 2
Nombre d'objets infectés: 5 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 00:40:23

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Samuel\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Samuel\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Samuel\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Samuel\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Samuel\Local Settings\Historique\History.IE5\MSHist012007121920071220\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Samuel\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Samuel\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\Samuel\NtUser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\integ\avast.int L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré
C:\Program Files\Winamp3\db\metadata.ndx L'objet est verrouillé ignoré
C:\Program Files\Winamp3\db\metadata_u10.ndx L'objet est verrouillé ignoré
C:\Program Files\Winamp3\db\metadata_u11.ndx L'objet est verrouillé ignoré
C:\Program Files\Winamp3\db\metadata_u6.ndx L'objet est verrouillé ignoré
C:\Program Files\Winamp3\db\metadata_u8.ndx L'objet est verrouillé ignoré
C:\Program Files\Winamp3\db\metadata_u9.ndx L'objet est verrouillé ignoré
C:\Program Files\Winamp3\db\metadata_{2478B07C-0CA5-4615-8DB7-896F03AD4D28}.ndb L'objet est verrouillé ignoré
C:\Program Files\Winamp3\db\metadata_{2478B07C-0CA5-4615-8DB7-896F03AD4D28}.ndx L'objet est verrouillé ignoré
C:\Program Files\Winamp3\db\metadata_{37076A53-7A78-4DCC-AF91-374700C00009}.ndb L'objet est verrouillé ignoré
C:\Program Files\Winamp3\db\metadata_{37076A53-7A78-4DCC-AF91-374700C00009}.ndx L'objet est verrouillé ignoré
C:\Program Files\Winamp3\db\{5DAADB6F-F9DE-49F9-A5BC-F8805EF8029A}\CDDB.ndb L'objet est verrouillé ignoré
C:\Program Files\Winamp3\db\{5DAADB6F-F9DE-49F9-A5BC-F8805EF8029A}\CDDB.ndx L'objet est verrouillé ignoré
C:\Program Files\Winamp3\db\{5DAADB6F-F9DE-49F9-A5BC-F8805EF8029A}\CDDB_u0.ndb L'objet est verrouillé ignoré
C:\Program Files\Winamp3\db\{5DAADB6F-F9DE-49F9-A5BC-F8805EF8029A}\CDDB_u0.ndx L'objet est verrouillé ignoré
C:\qoobox\Quarantine\C\WINDOWS\system32\dhcpmonp.dll.vir Infecté : Trojan.Win32.BHO.agz ignoré
C:\qoobox\Quarantine\C\WINDOWS\system32\drivers\samxuiui.dat.vir L'objet est verrouillé ignoré
C:\qoobox\Quarantine\catchme2007-12-18_ 94319.65.zip/cabinetk.dll Infecté : Trojan.Win32.BHO.agz ignoré
C:\qoobox\Quarantine\catchme2007-12-18_ 94319.65.zip/samxuiui.dat Infecté : Rootkit.Win32.Agent.ql ignoré
C:\qoobox\Quarantine\catchme2007-12-18_ 94319.65.zip ZIP: infecté - 2 ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{A67E0152-2583-46AF-8756-E55F30BE341F}\RP3\A0000013.dll Infecté : Trojan.Win32.BHO.agz ignoré
C:\System Volume Information\_restore{A67E0152-2583-46AF-8756-E55F30BE341F}\RP5\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_d4.dat L'objet est verrouillé ignoré
C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
D:\System Volume Information\_restore{A67E0152-2583-46AF-8756-E55F30BE341F}\RP5\change.log L'objet est verrouillé ignoré
F:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
F:\System Volume Information\_restore{A67E0152-2583-46AF-8756-E55F30BE341F}\RP5\change.log L'objet est verrouillé ignoré

Analyse terminée.

20 Décembre 2007 00:30:21

Bonjour

Rien de méchant.

Supprime les outils utilisés.

Supprime ceci
C:\qoobox


Clique sur Démarrer - Clic droit sur le Poste de Travail - Propriétés - Restauration du systéme - Cocher la case Désactiver la restauration du systéme et cliquer sur Appliquer.


Redémarre le PC


Clique sur Démarrer - Clic droit sur le Poste de Travail - Propriétés - Restauration du systéme - Décocher la case Désactiver la restauration du systéme et cliquer sur Appliquer.


As tu encore des dysfonctionnements ?
20 Décembre 2007 00:53:42

Re

En fait à chaque fois que j'allume l'ordi, Avast ne me dis pas que j'ai un trojan, il me l'a dit seulement une seule fois mais j'ai fait avec avast un scan avant le démarrage et il en a trouvé un et il la viré.

Le truc c'est qu'après ça quand j'appuyais sur la touche wifi de mon ordinateur portable pour me connecter au net, un petit triangle jaune avec un point d'exclamation dedans apparraissait à côté de l'heure en bas à droite et si je cliquais dessus il m'envoyait sur un site pour scanner mon pc sur le net avec un logiciel foireux.

Et là je n'ai ni ce petit triangle jaune ni avast qui me détecte quoi que se soit mais par contre j'ai spyware doctor qui me trouve des trojan, je ne les ai pas viré j'attends tes précieux conseils face à tt ça, dsl de ne pas t'avoir dit tt ça avant.

Alors ma question est confirmes tu ce que tu viens de dire en haut à savoir restauration du système et est ce que cela ne va pas m'enlever mes musiques, films ...?
20 Décembre 2007 01:10:55

Re

La restauration ne supprime rine.

Quels sont les fichiers trouvés par Spyware Doctor ?


On vérifie l'histoire du triangle.

Télécharge SmitfraudFix de S!Ri:
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Tu le mets sur le Bureau.
Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1
Poste le rapport.
20 Décembre 2007 15:59:44

Re Rapport SmitFraudFix:

SmitFraudFix v2.274

Rapport fait à 16:02:30,71, 20/12/2007
Executé à partir de C:\Documents and Settings\Samuel\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\RALINK\Common\RaUI.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
C:\Program Files\Spyware Doctor\svcntaux.exe
C:\Program Files\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Spyware Doctor\swdoctor.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Samuel


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Samuel\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Samuel\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: 802.11g MiniPCI Wireless Adapter - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{99C5FB4E-8CF0-48EC-8DD5-1B176E3E1FD6}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{99C5FB4E-8CF0-48EC-8DD5-1B176E3E1FD6}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{99C5FB4E-8CF0-48EC-8DD5-1B176E3E1FD6}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

20 Décembre 2007 16:18:21

Rapport Spyware Doctor:

trojan.PWS.Transpy

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current\Version\Control Panel\load
20 Décembre 2007 16:18:46

Qu'est ce que je fais ?
20 Décembre 2007 22:35:53

Rien avec Smitfraudfix.

Spyware Doctor trouve juste une trace dans le registre, elle n'est pas genante.
20 Décembre 2007 23:02:57

Tu dis donc que je ne suis pas infecté, je fais les analyses et je vire les trojan avec spyware doctor et c est bon dc ?
6 Janvier 2008 19:47:57

Slt, et Bonne Année 2008. J'espère que tu as passé de bonnes fêtes ;) . Dis moi, j'ai viré avec Spyware Doctor, et comme tu dis que je ne semble plus etre infecté, est ce que je peux mettre résolu ?

+
10 Janvier 2008 13:32:02

Je n'ai pas eu de réponse de votre part, pouvez-vous m'en formuler une svp ?
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS