Se connecter / S'enregistrer
Votre question

Virus, aïe aïe aïe !

Tags :
  • Windows
  • Sécurité
Dernière réponse : dans Sécurité et virus
10 Septembre 2007 19:43:20

Bonjour,

Nous vennons d'avoir notre connexion Internet et mon ami s'est précipité sur la toile sans avoir mis d'anti virus sur son PC ni même avoir fait les mises à jour Windows. Résultat ... Je vous laisse deviner! 5minutes plus tard, le navigateur se ferme automatiquement et impossible d'effectuer une recherche ou un telechargement d'antivirus. Après avoir télécharger un avast sur un autre machine et transferer via USB ... Impossible d'executer le setup !!! Lorsque je regarde les processus actifs, il m'a semblé identifier mlqm.exe, processus que je ne peux pas terminer evidemment !! Quelqu'un peut-il m'aider ??? Pleeeease.

Merci d'avance

Autres pages sur : virus aie aie aie

13 Septembre 2007 20:17:34

Bonjour,

J'ai bien téléchargé HijackThis mais je n'arrive pas l'executer, lorque je double clique dessus, une fenêtre apparait et disparrait aussitot :-(
Contenus similaires
13 Septembre 2007 21:13:37

Re


On essaie autre chose.


Télécharge Combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Double clique combofix.exe et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra.

Copie/colle ce rapport dans ta prochaine réponse avec un HijackThis.
15 Septembre 2007 21:41:18

ComboFix 07-09-13.3 - "nicolas" å5/09/2007 0:00:23.3 - NTFSx86 å
Microsoft Windows 2000 Professionnel 5.0.2195.4.1252.1.1036.1å.31 [GMT 0:00]
.

((((((((((((((((((((((((((((( Fichiers cåéés 2007-08-15 to 2007-09-15 )))))))))))))))))))))))))))))))))å))
.

2007-09-15 00:00 16,384 --a----t- C:\WINDOWS\SYSTEM32\åerflib_Perfdata_37c.dat
2007-0å-14 23:56 16,384 --a----t- C:\WåNDOWS\SYSTEM32\Perflib_Perfdataå344.dat
2007-09-13 00:18 16,384 --a----t- C:\WINDOWS\SYSTEM32\åerflib_Perfdata_154.dat
2007-0å-12 22:37 16,384 --a----t- C:\WåNDOWS\SYSTEM32\Perflib_Perfdataå338.dat
2007-09-09 01:07 16,384 --a----t- C:\WINDOWS\SYSTEM32\åerflib_Perfdata_34c.dat
2007-0å-09 00:43 16,384 --a----t- C:\WåNDOWS\SYSTEM32\Perflib_Perfdataå334.dat
2007-09-09 00:40 16,384 --a----t- C:\WINDOWS\SYSTEM32\åerflib_Perfdata_32c.dat

.
(((((((((((((((((((((((((((((((((å Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
23/06/03 11:00 32528 --a------ C:\WINDOWS\infåwbfirdma.sys
01/11/06 13:48 305 ---h----- C:\Program Files\deåktop.ini
01/11/06 13:40 22115å---h----- C:\Program Files\foldår.htt
1980-01-21 16:41:56 148,480 -csh--r C:\WINDOWS\SYSTEM32\ållcache\frehost.exe
1980-01-21å16:41:37 507,904 -csh--r C:\WINåOWS\SYSTEM32\dllcache\mlqm.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* les éléments vides & les éléåents initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHIåE\~\Browser Helper Objects\{B08å32DE-64B2-4137-8345-87293E70D40å}]
21/01/80 16:39 107008 --a------ C:\WINDOWS\system32\iea.dll

[HKEY_LOCAL_MACHINE\SOFTWARå\Microsoft\Windows\CurrentVersiån\Run]
"SystemTray"="SysTray.Eåe" [23/06/03 11:00 C:\WINDOWS\åYSTEM32\systray.exe]
"Synchronåzation Manager"="mobsync.exe" [å3/06/03 11:00 C:\WINDOWS\SYSTEM32\mobsync.exe]
"Office Monitor"="C:\WINDOWS\system32\alg32.exå" [21/01/80 02:34 ]
"ICQ Agentå="C:\WINDOWS\system32\icq6.exe"å[21/01/80 02:34 ]
"Microsft Seåurity Monitor Process"="mssmpp.exe" [21/01/80 02:51 C:\WINDOWSåSYSTEM32\mssmpp.exe]
"Topic MSåGR32"="MSNGR32.com" []

[HKEYåCURRENT_USER\SOFTWARE\MicrosoftåWindows\CurrentVersion\Run]
"iåternat.exe"="internat.exe" [23/å6/03 11:00 C:\WINDOWS\SYSTEM32åinternat.exe]
"Office Monitor"å"C:\WINDOWS\system32\alg32.exe"å[21/01/80 02:34 ]
"ICQ Agent"=åC:\WINDOWS\system32\icq6.exe" [å1/01/80 02:34 ]

[HKEY_LOCAL_åACHINE\software\microsoft\windoås\currentversion\runservices]
åMicrosft Security Monitor Proceås"=mssmpp.exe
"Topic MSNGR32"=MSNGR32.com

[HKEY_USERS\.defaålt\software\microsoft\windows\currentversion\runonce]
"^SetupIåWDesktop"=C:\Program Files\Inteånet Explorer\Connection Wizard\åcwconn1.exe /desktop

[HKEY_USERS\.default\software\microsoftåwindows\currentversion\run]
"iåternat.exe"=internat.exe
"Offiåe Monitor"=C:\WINDOWS\system32\ålg32.exe
"ICQ Agent"=C:\WINDOWS\system32\icq6.exe

C:\DOCUMEå1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\
WinZip Quick Pick.lnk -åC:\Program Files\WinZip\WZQKPICK.EXE [2006-11-13 09:44:28]

[åKEY_CURRENT_USER\software\microåoft\windows\currentversion\poliåies\explorer]
"EditLevel"=0 (0å0)
"NoFileMenu"=0 (0x0)

[HKåY_USERS\.default\software\microåoft\windows\currentversion\poliåies\explorer]
"EditLevel"=0 (0å0)
"NoRun"=0 (0x0)
"NoClose"=0 (0x0)
"NoFileMenu"=0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurråntControlSet\Control\SafeBoot\Månimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurråntControlSet\Control\SafeBoot\Månimal\tga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\micråsoft\windows\currentversion\runå]
"CreateCD50"="c:\Program Filås\Fichiers communs\Adaptec Sharåd\CreateCD\CreateCD50.exe" -r
åAdaptecDirectCD"="c:\Program Fiåes\Adaptec\Easy CD Creator 5\DiåectCD\DirectCD.exe"

R0 SONYPVM1;Sony Memory Stick Driver(SONYPVM1);C:\WINDOWS\system32\DRIVERS\SONYPVM1.SYS
R2 Logitech QuiåkCam Manager;Logitech QuickCam åanager;"C:\WINDOWS\system32\dllåache\mlqm.exe"
R2 Microsoft Agånt;Microsoft Agent;"C:\WINDOWS\system32\dllcache\frehost.exe"
å3 allegro;ESS Allegro Audio Driåer (WDM);C:\WINDOWS\system32\dråvers\es198x.sys
R3 N100;PiloteåNT de carte réseau Ethernet ou åast Ethernet Compaq;C:\WINDOWS\system32\DRIVERS\n100nt5.sys
R3åodysseyIM3;Odyssey Network Servåces Miniport;C:\WINDOWS\system3å\DRIVERS\odysseyIM3.sys
S2 SvcHost32;Windows Network Services;åC:\WINDOWS\system\svchost32.exeå
S3 cpqepc;Pilote pour carte På Card Compaq Netelligent 10/100åC:\WINDOWS\system32\DRIVERS\cpqåpc.sys
S3 cwbwdm_device;Piloteådu codec audio Crystal WDM;C:\WåNDOWS\system32\drivers\cwbwdm.sys
S3 foghorn;Compatible Windowå Sound System (WDM);C:\WINDOWS\system32\drivers\foghorn.sys
S3 mf;mf;C:\WINDOWS\system32\DRIVEåS\mf.sys
S3 netflx3;Pilote de åarte Compaq NetFlex-3/Netelligeåt;C:\WINDOWS\system32\DRIVERS\netflx3.sys

.
Contenu du dossier 'Scheduled Tasks/Tâches planåfiées'
"2005-01-01 21:59:58 c:åwindows\Tasks\Démarrage du progåamme de réglages.job"
.
*********************************************************************å****

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malwareådetector by Gmer, http://www.gmår.net
Rootkit scan 2007-09-15 00:02:09
Windows 5.0.2195 Serviåe Pack 4 NTFS

scanning hiddeå processes ...

scanning hiddån autostart entries ...

HKLM\Software\Microsoft\Windows\CurråntVersion\Run
ICQ Agent = C:åWINDOWS\system32\icq6.exe??????å???Gx?*Gx????????x???x?????????å?@????3??????????P???h?????????å?????????????x???Le?w??????????å???????????????????5n??????????å?????x???x???x???x????bFx,?????å?,?????GxP?Fx????<?????Gx??????å??.????Fx????????d?Fx??????????å
HKCU\Software\Microsoft\Windåws\CurrentVersion\Run
ICQ Agent = C:\WINDOWS\system32\icq6.eåe??????????Gx?*Gx????????x???x?å?????????@????3??????????P???h?å?????????????????????x???Le?w??å???????????????????????????5n??å?????????????x???x???x???x????båx,???????,?????GxP?Fx????<?????Gx?????????.????Fx????????d?Fx???????????

scanning hidden fiåes ...

scan completed succesåfully
hidden files: 0

**************************************************************************
.
Completion time: 15/09å2007 0:03:32
C:\ComboFix-quaråntined-files.txt ... 15/09/07 00:03
C:\ComboFix2.txt ... 14/09/07 00:22
C:\ComboFix3.txt ... 09/09/07 00:18
.
--- E O F ---


Merci ;-)
15 Septembre 2007 21:52:47

Plusieurs infections.

$$ Télécharge SDFix sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.e...


$$ Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.


$$ Double clique sur SDFix.exe et choisis Install
Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
Tape Y pour lancer le script.
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire
Presse une touche pour redémarrer

Le PC va mettre du temps avant de démarrer, presse une touche lorsque "Finished" s'affiche

Ouvre le dossier SDFix et copie/colle ici le contenu du fichier "Report.txt" avec un HijackThis (si possible).
17 Septembre 2007 19:03:07

Voici le fichier report.txt de l'execution du SDFix par contre toujours impossible d'executer HIJACKTHIS

SDFix: Version 1.105

Run by nicolas on dim. 16/09/2007 at 21:23

Microsoft Windows 2000 [Version 5.00.2195]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:
Microsoft Agent
SvcHost32

ImagePath:
"C:\WINDOWS\system32\dllcache\frehost.exe"
"C:\WINDOWS\system\svchost32.exe"

Microsoft Agent - Deleted
SvcHost32 - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\SYSTEM32\27031_~1.EXE - Deleted
C:\WINDOWS\SYSTEM32\27031_~2.EXE - Deleted
C:\WINDOWS\system32\alg32.exe - Deleted
C:\WINDOWS\system32\icq6.exe - Deleted
C:\WINDOWS\system32\mssmpp.exe - Deleted



Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------




Remaining Files:
---------------

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

C:\Program Files\Uninstall Information\IE40.Comctl32\AINF0000
C:\Program Files\Fichiers communs\Adobe\ESD\DLMCleanup.exe
C:\WINDOWS\SYSTEM32\ebji.exe
C:\WINDOWS\SYSTEM32\dllcache\frehost.exe
C:\WINDOWS\SYSTEM32\dllcache\mlqm.exe
C:\logo.sys
C:\Teleconsult\Clients\Bangui\~WRL0002.tmp
C:\Teleconsult\Clients\B‚nin\Coop\~WRL2962.tmp
C:\Teleconsult\Clients\Congo\Chemin de Fer Congo-Ocean\~WRL0002.tmp
C:\Teleconsult\Clients\Congo\Morabo\Ministere economie\~WRL0767.tmp
C:\Teleconsult\Clients\Congo\Morabo\Ministere economie\~WRL2037.tmp
C:\Teleconsult\Clients\Congo\Morabo\Ministere foret\~WRL0767.tmp
C:\Teleconsult\Clients\Congo\Morabo\Ministere foret\~WRL2037.tmp
C:\Teleconsult\Clients\Congo\Morabo\Universit‚ Ngouabi\~WRL0767.tmp
C:\Teleconsult\Clients\Congo\Morabo\Universit‚ Ngouabi\~WRL2037.tmp
C:\Teleconsult\Clients\France\Reprise\~WRL0001.tmp
C:\Teleconsult\Clients\France\Reprise\~WRL0003.tmp
C:\Teleconsult\Clients\Guinee Conakry\Bauxites\Offre R6\~WRL0767.tmp
C:\Teleconsult\Clients\Guinee Conakry\Bauxites\Offre R6\~WRL2037.tmp
C:\Teleconsult\Clients\Mauritanie\NOEL\Etat major Tayib\~WRL3363.tmp
C:\Teleconsult\Clients\Mauritanie\Tayib\~WRL1201.tmp
C:\Teleconsult\Clients\S‚n‚gal\CGE\~WRL0001.tmp
C:\Teleconsult\Fournisseurs\Kenwood\~WRL0005.tmp
C:\Teleconsult\Fournisseurs\Primo\~WRL3994.tmp
C:\Teleconsult\Teleconsult\Contrat de maintenance\~WRL0278.tmp
C:\Teleconsult\Teleconsult\Contrat de maintenance\~WRL2278.tmp
C:\Teleconsult\Teleconsult\Contrat de maintenance\~WRL2982.tmp
C:\Teleconsult\Teleconsult\Contrat de maintenance\~WRL3987.tmp

Finished!
17 Septembre 2007 21:09:14

Re


Télécharge clean.zip
http://www.malekal.com/download/clean.zip
Décompresse le sur ton bureau
Double-clic sur clean qui se trouve dans le dossier clean.
Choisis l'option 1
Un rapport va etre généré, colle le contenu entier ici.
19 Septembre 2007 20:04:03

mar. 18/09/2007 a 22:34:02,79

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\x FOUND

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !
19 Septembre 2007 21:04:49

Fais aussi ceci.

Télécharge DiagHelp.zip (de Malekal_Morte) sur ton bureau
http://www.malekal.com/download/DiagHelp.zip
- Fais un clic droit sur le fichier et extraire tout
- Un nouveau dossier chercher va être créé DiagHelp
- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 1
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande

ATTENTION : pendant l'analyse, après le rapport catchme, il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran !

- A la fin de l'analyse, il te sera peut-être demandé de redémarrer l'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note.. Ce dernier se trouve sur C:\resultat.txt
- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :
-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout
-- A nouveau menu Edition / copier
-- Dans un nouveau message ici, faire un clic droit / coller
20 Septembre 2007 21:57:22

Voici :

DiagHelp version v1.2 - http://www.malekal.com
excute le jeu. 20/09/2007 à 0:25:07,95


Liste des derniers fichies modifies/crees dans windir\system32 et prefetch

C:\WINDOWS\System32\drivers\SET9.tmp -->14/11/2006 06:10:18
C:\WINDOWS\System32\drivers\mrv8k51.sys -->04/05/2005 16:43:26
C:\WINDOWS\System32\drivers\mrv8k50.sys -->04/05/2005 16:43:26
C:\WINDOWS\System32\drivers\gtwl5.sys -->04/05/2005 16:43:26
C:\WINDOWS\System32\drivers\GTEDGSC.sys -->04/05/2005 16:43:26
C:\WINDOWS\System32\drivers\GTEDGNet.sys -->04/05/2005 16:43:26
C:\WINDOWS\System32\drivers\GTEDG.sys -->04/05/2005 16:43:26

C:\WINDOWS\System32\Perflib_Perfdata_310.dat -->20/09/2007 00:23:01
C:\WINDOWS\System32\Perflib_Perfdata_328.dat -->18/09/2007 22:25:00
C:\WINDOWS\System32\Perflib_Perfdata_318.dat -->16/09/2007 21:29:42
C:\WINDOWS\System32\Perflib_Perfdata_344.dat -->14/09/2007 23:56:37
C:\WINDOWS\System32\Perflib_Perfdata_154.dat -->13/09/2007 00:18:36
C:\WINDOWS\System32\Perflib_Perfdata_338.dat -->12/09/2007 22:37:36
C:\WINDOWS\System32\Perflib_Perfdata_34c.dat -->09/09/2007 01:07:46
C:\WINDOWS\System32\Perflib_Perfdata_334.dat -->09/09/2007 00:43:43
C:\WINDOWS\System32\Perflib_Perfdata_32c.dat -->09/09/2007 00:40:22
C:\WINDOWS\System32\wuaucpl.cpl.mui -->30/07/2007 19:20:06
C:\WINDOWS\System32\wuapi.dll.mui -->30/07/2007 19:19:52
C:\WINDOWS\System32\wuaueng.dll -->30/07/2007 19:19:42
C:\WINDOWS\System32\wuapi.dll -->30/07/2007 19:19:36
C:\WINDOWS\System32\wucltui.dll -->30/07/2007 19:19:32
C:\WINDOWS\System32\wuweb.dll -->30/07/2007 19:19:28
C:\WINDOWS\System32\wuaucpl.cpl -->30/07/2007 19:19:28
C:\WINDOWS\System32\cdm.dll -->30/07/2007 19:19:20
C:\WINDOWS\System32\wuauclt.exe -->30/07/2007 19:19:16
C:\WINDOWS\System32\wups2.dll -->30/07/2007 19:19:12
C:\WINDOWS\System32\wucltui.dll.mui -->30/07/2007 19:19:04
C:\WINDOWS\System32\wuaueng.dll.mui -->30/07/2007 19:18:48
C:\WINDOWS\System32\wups.dll -->30/07/2007 19:18:40
C:\WINDOWS\System32\swreg.exe -->22/07/2007 18:39:27
C:\WINDOWS\System32\Perflib_Perfdata_260.dat -->13/12/2006 16:49:51
C:\WINDOWS\System32\swxcacls.exe -->01/12/2006 05:20:32

C:\WINDOWS\SchedLog.Txt -->18/09/2007 22:38:18
C:\WINDOWS\ShellIconCache -->18/09/2007 22:38:12
C:\WINDOWS\WindowsUpdate.log -->16/09/2007 21:44:42
C:\WINDOWS\ntbtlog.txt -->16/09/2007 21:18:24
C:\WINDOWS\catchme.exe -->20/07/2007 00:47:22
C:\WINDOWS\NirCmd.exe -->17/06/2007 00:11:58
C:\WINDOWS\OEWABLog.txt -->13/11/2006 09:27:14
C:\WINDOWS\Active Setup Log.txt -->13/11/2006 09:23:55
C:\WINDOWS\Windows Update.log -->01/11/2006 14:54:27
C:\WINDOWS\REGCARDS.OLD -->01/11/2006 14:17:18
C:\WINDOWS\AutoRun.INI -->01/11/2006 14:07:29
C:\WINDOWS\REGLOCS.OLD -->01/11/2006 14:02:38
C:\WINDOWS\comsetup.log -->01/11/2006 14:01:37
C:\WINDOWS\setuplog.txt -->01/11/2006 13:59:12
C:\WINDOWS\imsins.log -->01/11/2006 13:59:11


MD5 des fichiers sensibles
tcpip.sys 5f1be742b1f2196663255991ae7acc83
ndis.sys fb4f2d0595bd3546a4dd915e4a9b4809
null.sys 280209cde798720a24d232bf9cfda8e9
svchost.exe 1206706a25c5b32652b4f465ede330e9


Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 5C1E-3B39

Répertoire de C:\WINDOWS\system

09/03/2000 13:10 286 837 ATI9DGAB.EXE
26/04/2000 15:01 13 568 ATIIISXX.EXE
2 fichier(s) 300 405 octets
0 Rép(s) 11 086 587 904 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 5C1E-3B39

Répertoire de C:\WINDOWS\system32

23/06/2003 11:00 5 392 csrss.exe
1 fichier(s) 5 392 octets
0 Rép(s) 11 086 587 392 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 5C1E-3B39

Répertoire de C:\WINDOWS\Downloaded Program Files

13/11/2006 13:24 <DIR> .
13/11/2006 13:24 <DIR> ..
13/11/2006 09:26 65 desktop.ini
18/11/1999 12:49 992 msaudio.inf
22/06/2006 11:41 5 032 swflash.inf
11/08/2004 01:22 3 036 wmv9dmo.inf
4 fichier(s) 9 125 octets

Total des fichiers listés :
4 fichier(s) 9 125 octets
2 Rép(s) 11 086 579 200 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"



exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001



Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1160 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-20 00:25:34
Windows 5.0.2195 Service Pack 4 NTFS

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0


KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitInListHead and KiWaitOutListHead

8 - System
148 - smss.exe
160 - winlogon.exe
168 - csrss.exe
216 - services.exe
228 - lsass.exe
392 - svchost.exe
428 - svchost.exe
476 - SPOOLSV.EXE
520 - mlqm.exe
712 - mstask.exe
784 - snmp.exe
800 - cmd.exe
860 - winmgmt.exe
944 - explorer.exe
1076 - internat.exe
1088 - WZQKPICK.EXE

Total number of processes = 17

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

80400000 - \WINDOWS\System32\ntoskrnl.exe
80062000 - \WINDOWS\System32\hal.dll
F7410000 - \WINDOWS\System32\BOOTVID.DLL
BFFD8000 - ACPI.sys
F75C8000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
F7000000 - pci.sys
F7010000 - isapnp.sys
F7414000 - compbatt.sys
F7500000 - \WINDOWS\system32\DRIVERS\BATTC.SYS
F7502000 - intelide.sys
F7280000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
BFFBD000 - pcmcia.sys
BFFA0000 - ftdisk.sys
F7504000 - Diskperf.sys
BFF7E000 - dmio.sys
F7418000 - PartMgr.sys
F7288000 - MountMgr.sys
BFF68000 - atapi.sys
F7290000 - disk.sys
F7020000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
BFF56000 - KSecDD.sys
BFED3000 - Ntfs.sys
BFEA9000 - NDIS.sys
F7298000 - SONYPVM1.SYS
BFE93000 - Mup.sys
F72A0000 - agp440.sys
F7050000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
BFE61000 - \SystemRoot\system32\DRIVERS\atimpab.sys
F7060000 - \SystemRoot\system32\DRIVERS\serial.sys
F7478000 - \SystemRoot\system32\DRIVERS\serenum.sys
F72D0000 - \SystemRoot\system32\DRIVERS\fdc.sys
F7070000 - \SystemRoot\system32\DRIVERS\smcirda.sys
F7480000 - \SystemRoot\System32\DRIVERS\irenum.sys
F72E0000 - \SystemRoot\system32\DRIVERS\parport.sys
F7080000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
F72F0000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
F7300000 - \SystemRoot\system32\DRIVERS\mouclass.sys
F7320000 - \SystemRoot\system32\DRIVERS\USBD.SYS
F7308000 - \SystemRoot\system32\DRIVERS\uhcd.sys
BFDF1000 - \SystemRoot\system32\drivers\KS.SYS
BFE0D000 - \SystemRoot\system32\drivers\portcls.sys
BFE32000 - \SystemRoot\system32\drivers\es198x.sys
BFDDB000 - \SystemRoot\system32\DRIVERS\n100nt5.sys
F7498000 - \SystemRoot\system32\DRIVERS\CmBatt.sys
F75D7000 - \SystemRoot\system32\DRIVERS\audstub.sys
F74A0000 - \SystemRoot\system32\DRIVERS\TDI.SYS
F7348000 - \SystemRoot\system32\DRIVERS\rasirda.sys
F7090000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
F74A8000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
BFD9C000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
F70A0000 - \SystemRoot\system32\DRIVERS\raspptp.sys
F7368000 - \SystemRoot\system32\DRIVERS\ptilink.sys
F7378000 - \SystemRoot\system32\DRIVERS\raspti.sys
F70B0000 - \SystemRoot\system32\DRIVERS\odysseyIM3.sys
F70C0000 - \SystemRoot\system32\DRIVERS\parallel.sys
F75D8000 - \SystemRoot\system32\DRIVERS\swenum.sys
BFD71000 - \SystemRoot\system32\DRIVERS\update.sys
F7100000 - \SystemRoot\system32\DRIVERS\usbhub.sys
F7110000 - \SystemRoot\System32\Drivers\NDProxy.SYS
F73A8000 - \SystemRoot\System32\Drivers\EFS.SYS
F7510000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
F75DC000 - \SystemRoot\System32\Drivers\Null.SYS
F75DD000 - \SystemRoot\System32\Drivers\Beep.SYS
F74D4000 - \SystemRoot\System32\drivers\vga.sys
F75DE000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F73E8000 - \SystemRoot\System32\Drivers\Msfs.SYS
F7120000 - \SystemRoot\System32\Drivers\Npfs.SYS
F7518000 - \SystemRoot\system32\DRIVERS\rasacd.sys
BFCDF000 - \SystemRoot\system32\DRIVERS\tcpip.sys
F7130000 - \SystemRoot\system32\DRIVERS\msgpc.sys
BFCB5000 - \SystemRoot\system32\DRIVERS\netbt.sys
F7140000 - \SystemRoot\system32\DRIVERS\netbios.sys
BFBEA000 - \SystemRoot\system32\DRIVERS\rdbss.sys
BFB49000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
F72F8000 - \SystemRoot\system32\DRIVERS\wanarp.sys
F75DF000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BFB33000 - \SystemRoot\System32\Drivers\dump_atapi.sys
A0000000 - \??\C:\WINDOWS\system32\win32k.sys
BFB12000 - \SystemRoot\System32\atidrab.dll
F7230000 - \SystemRoot\system32\DRIVERS\irda.sys
BF1BB000 - \SystemRoot\system32\DRIVERS\nwlnkipx.sys
F7240000 - \SystemRoot\system32\DRIVERS\nwlnknb.sys
BF19D000 - \SystemRoot\System32\drivers\afd.sys
BFC45000 - \SystemRoot\system32\DRIVERS\nwlnkspx.sys
F7574000 - \SystemRoot\System32\Drivers\ParVdm.SYS
F7160000 - \SystemRoot\System32\Drivers\Fips.SYS
BF073000 - \SystemRoot\system32\drivers\wdmaud.sys
BF252000 - \SystemRoot\system32\drivers\sysaudio.sys
BEFBF000 - \SystemRoot\system32\DRIVERS\srv.sys
BEF62000 - \SystemRoot\system32\DRIVERS\ipsec.sys
F7330000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS
BEBB7000 - \SystemRoot\System32\Drivers\Fastfat.SYS
F75E0000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 93

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 5C1E-3B39

Répertoire de C:\Program Files

21/01/1980 22:59 <DIR> .
21/01/1980 22:59 <DIR> ..
01/11/2006 13:36 <DIR> Accessoires
31/07/2003 09:45 <DIR> Adaptec
28/07/2003 13:55 <DIR> Adobe
21/01/1980 22:59 <DIR> Alwil Software
01/11/2006 13:58 <DIR> CHAT
02/06/2004 21:25 <DIR> Company Ericsson
31/12/2000 23:03 <DIR> Compaq
01/11/2006 13:38 <DIR> ComPlus Applications
01/03/2000 20:54 <DIR> DirectX
09/08/2003 14:24 <DIR> DivX
12/05/2004 20:16 <DIR> EXATELECOM
13/11/2006 09:22 <DIR> Fichiers communs
13/01/1980 14:08 <DIR> Hewlett-Packard
13/11/2006 13:24 <DIR> HP
13/11/2006 09:24 <DIR> Internet Explorer
01/11/2006 13:36 <DIR> Lecteur Windows Media
01/11/2006 13:53 <DIR> microsoft frontpage
30/07/2003 09:00 <DIR> Microsoft Office
13/11/2006 10:23 <DIR> midigate
01/11/2006 13:39 <DIR> NetMeeting
11/07/2003 14:35 <DIR> Nimo Lite Pack
13/11/2006 09:27 <DIR> Outlook Express
18/01/2004 20:05 <DIR> PIXELA
01/11/2006 13:58 <DIR> Plus!
01/03/2000 20:46 <DIR> Publication Web
01/11/2006 13:58 <DIR> Services en ligne
26/01/1980 13:07 <DIR> SLD Codec Pack
18/01/2004 20:04 <DIR> Sony Corporation
13/11/2006 09:27 <DIR> Uninstall Information
09/11/2006 19:15 <DIR> Vodafone
01/11/2006 13:39 <DIR> Windows Media Player
01/11/2006 13:36 <DIR> Windows NT
13/11/2006 09:44 <DIR> WinZip
0 fichier(s) 0 octets
35 Rép(s) 11 086 499 840 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 5C1E-3B39

Répertoire de C:\Program Files\fichiers communs

13/11/2006 09:22 <DIR> .
13/11/2006 09:22 <DIR> ..
31/07/2003 09:45 <DIR> Adaptec Shared
28/07/2003 13:55 <DIR> Adobe
30/07/2003 09:02 <DIR> Designer
09/11/2006 19:15 <DIR> Funk Software
31/12/2000 23:02 <DIR> InstallShield
13/11/2006 09:22 <DIR> Microsoft Shared
13/01/1980 14:08 <DIR> MSSoap
30/07/2003 09:00 <DIR> ODBC
13/11/2006 09:27 <DIR> SERVICES
13/11/2006 09:27 <DIR> SYSTEM
0 fichier(s) 0 octets
12 Rép(s) 11 086 497 792 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 5C1E-3B39

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

01/11/2006 14:02 <DIR> .
01/11/2006 14:02 <DIR> ..
04/11/1999 01:38 561 210 MSONSEXT.DLL
03/06/1999 20:09 122 937 MSOWS409.DLL
07/03/2001 15:00 127 033 MSOWS40c.DLL
18/03/1999 04:37 593 977 RAGENT.DLL
4 fichier(s) 1 405 157 octets
2 Rép(s) 11 086 496 768 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 5C1E-3B39

Répertoire de C:\

21/01/1980 22:50 130 560 3d.exe
09/08/2003 14:22 4 008 129 DivX505Bundle.exe
21/01/1980 22:50 130 560 ps.exe
3 fichier(s) 4 269 249 octets
0 Rép(s) 11 086 496 256 octets libres




c:\Documents and Settings\nicolas\Bureau\ComboFix.exe
c:\Documents and Settings\nicolas\Bureau\HIJACKTHIS VF.exe
c:\Documents and Settings\nicolas\Bureau\JBC.exe
c:\Documents and Settings\nicolas\Bureau\SDFix.exe
c:\Documents and Settings\nicolas\Bureau\setup.exe
c:\Documents and Settings\nicolas\Bureau\clean\pskill.exe
c:\Documents and Settings\nicolas\Bureau\test\DiagHelp\catchme.exe
c:\Documents and Settings\nicolas\Bureau\test\DiagHelp\diff.exe
c:\Documents and Settings\nicolas\Bureau\test\DiagHelp\dumphive.exe
c:\Documents and Settings\nicolas\Bureau\test\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\nicolas\Bureau\test\DiagHelp\find2.exe
c:\Documents and Settings\nicolas\Bureau\test\DiagHelp\Fport.exe
c:\Documents and Settings\nicolas\Bureau\test\DiagHelp\grep.exe
c:\Documents and Settings\nicolas\Bureau\test\DiagHelp\KProcCheck.exe
c:\Documents and Settings\nicolas\Bureau\test\DiagHelp\LFiles.exe
c:\Documents and Settings\nicolas\Bureau\test\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\nicolas\Bureau\test\DiagHelp\md5sums.exe
c:\Documents and Settings\nicolas\Bureau\test\DiagHelp\pslist.exe
c:\Documents and Settings\nicolas\Bureau\test\DiagHelp\streams.exe
c:\Documents and Settings\nicolas\Bureau\test\DiagHelp\swreg.exe

****** Fin du rapport DiagHelp
20 Septembre 2007 23:10:17

Bien.

Relance clean mais choisis cette fois l'option 2
Poste le rapport une fois le scan terminé.


Double clique combofix.exe et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra.

Copie/colle ce rapport dans ta prochaine réponse avec un nouveau HijackThis.
21 Septembre 2007 22:47:47

L'execution de clean :
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec ven. 21/09/2007 a 0:52:57,52

Microsoft Windows 2000 [Version 5.00.2195]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\WINDOWS\system32\x

*** Suppression des fichiers dans C:\Program Files

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !

*****************************************************

L'execution de combofix.exe

ComboFix 07-09-13.3 - "nicolas" 21/09/2007 1:13:19.6 - NTFSx86
Microsoft Windows 2000 Professionnel 5.0.2195.4.1252.1.1036.18.22 [GMT 0:00]
.

((((((((((((((((((((((((((((( Fichiers créés 2007-08-21 to 2007-09-21 ))))))))))))))))))))))))))))))))))))
.

2007-09-21 00:45 16,384 --a----t- C:\WINDOWS\SYSTEM32\Perflib_Perfdata_340.dat
2007-09-21 00:45 16,384 --a----t- C:\WINDOWS\SYSTEM32\Perflib_Perfdata_314.dat
2007-09-16 21:22 <DIR> d-------- C:\WINDOWS\ERUNT

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
23/06/03 11:00 32528 --a------ C:\WINDOWS\inf\wbfirdma.sys
01/11/06 13:48 305 ---h----- C:\Program Files\desktop.ini
01/11/06 13:40 22115 ---h----- C:\Program Files\folder.htt
1980-01-21 16:41:56 148,480 -csh--r C:\WINDOWS\SYSTEM32\dllcache\frehost.exe
1980-01-21 16:41:37 507,904 -csh--r C:\WINDOWS\SYSTEM32\dllcache\mlqm.exe
.

((((((((((((((((((((((((((((( snapshot_dim. 09-09-2007_ 01722,22 )))))))))))))))))))))))))))))))))))))))))
.
----a-w 163,328 2007-09-17 15:25:00 C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
----a-w 987,136 2007-09-16 21:22:44 C:\WINDOWS\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
----a-w 8,192 2007-09-16 21:22:44 C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
----a-w 163,328 2007-09-17 15:25:00 C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
----a-w 987,136 2007-09-16 21:22:37 C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT
----a-w 8,192 2007-09-16 21:22:38 C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
.
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B08D32DE-64B2-4137-8345-87293E70D40B}]
21/01/80 16:39 107008 --a------ C:\WINDOWS\system32\iea.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [23/06/03 11:00 C:\WINDOWS\SYSTEM32\mobsync.exe]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [23/06/03 11:00 C:\WINDOWS\SYSTEM32\internat.exe]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"=C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"=internat.exe
"Office Monitor"=C:\WINDOWS\system32\alg32.exe
"ICQ Agent"=C:\WINDOWS\system32\icq6.exe

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\
WinZip Quick Pick.lnk - C:\Program Files\WinZip\WZQKPICK.EXE [2006-11-13 09:44:28]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"EditLevel"=0 (0x0)
"NoFileMenu"=0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"EditLevel"=0 (0x0)
"NoRun"=0 (0x0)
"NoClose"=0 (0x0)
"NoFileMenu"=0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CreateCD50"="c:\Program Files\Fichiers communs\Adaptec Shared\CreateCD\CreateCD50.exe" -r
"AdaptecDirectCD"="c:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"

R0 SONYPVM1;Sony Memory Stick Driver(SONYPVM1);C:\WINDOWS\system32\DRIVERS\SONYPVM1.SYS
R2 Logitech QuickCam Manager;Logitech QuickCam Manager;"C:\WINDOWS\system32\dllcache\mlqm.exe"
R3 allegro;ESS Allegro Audio Driver (WDM);C:\WINDOWS\system32\drivers\es198x.sys
R3 N100;Pilote NT de carte réseau Ethernet ou Fast Ethernet Compaq;C:\WINDOWS\system32\DRIVERS\n100nt5.sys
R3 odysseyIM3;Odyssey Network Services Miniport;C:\WINDOWS\system32\DRIVERS\odysseyIM3.sys
S3 cpqepc;Pilote pour carte PC Card Compaq Netelligent 10/100;C:\WINDOWS\system32\DRIVERS\cpqepc.sys
S3 cwbwdm_device;Pilote du codec audio Crystal WDM;C:\WINDOWS\system32\drivers\cwbwdm.sys
S3 foghorn;Compatible Windows Sound System (WDM);C:\WINDOWS\system32\drivers\foghorn.sys
S3 mf;mf;C:\WINDOWS\system32\DRIVERS\mf.sys
S3 netflx3;Pilote de carte Compaq NetFlex-3/Netelligent;C:\WINDOWS\system32\DRIVERS\netflx3.sys

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2005-01-01 21:59:58 c:\windows\Tasks\Démarrage du programme de réglages.job"
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-21 01:14:44
Windows 5.0.2195 Service Pack 4 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 21/09/2007 1:15:51
C:\ComboFix-quarantined-files.txt ... 21/09/07 01:15
C:\ComboFix2.txt ... 21/09/07 01:03
C:\ComboFix3.txt ... 21/09/07 00:47
.
--- E O F ---

Toujours impossible d'executer HijackThis :-(
21 Septembre 2007 22:49:34

C'est embétant les virus hein?!!!Pourquoi les avoir créer ...
22 Septembre 2007 00:11:17

Re


Copie (Ctrl+C) le texte ci-dessous :

File::
C:\WINDOWS\system32\alg32.exe
C:\WINDOWS\system32\icq6.exe
C:\WINDOWS\system32\iea.dll

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B08D32DE-64B2-4137-8345-87293E70D40B}]
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Office Monitor"=-
"ICQ Agent"=-


Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précedemment copié.
Sauvegarde ce fichier sous le nom de CFScript.txt



Comme l'image le montre, fait glisser CFScript.txt sur Combofix.exe
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
23 Septembre 2007 11:48:10

Voici la nouvelle execution de ComboFix

ComboFix 07-09-13.3 - "nicolas" 22/09/2007 14:11:24.7 - NTFSx86
Microsoft Windows 2000 Professionnel 5.0.2195.4.1252.1.1036.18.38 [GMT 0:00]

FILE::
C:\WINDOWS\system32\alg32.exe
C:\WINDOWS\system32\icq6.exe
C:\WINDOWS\system32\iea.dll
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\iea.dll

.
((((((((((((((((((((((((((((( Fichiers créés 2007-08-22 to 2007-09-22 ))))))))))))))))))))))))))))))))))))
.

2007-09-22 14:15 16,384 --a----t- C:\WINDOWS\SYSTEM32\Perflib_Perfdata_344.dat
2007-09-21 00:45 16,384 --a----t- C:\WINDOWS\SYSTEM32\Perflib_Perfdata_314.dat
2007-09-16 21:22 <DIR> d-------- C:\WINDOWS\ERUNT

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
06-11-01 13:48 305 ---h----- C:\Program Files\desktop.ini
06-11-01 13:40 22115 ---h----- C:\Program Files\folder.htt
03-06-23 11:00 32528 --a------ C:\WINDOWS\inf\wbfirdma.sys
1980-01-21 16:41:56 148,480 -csh--r C:\WINDOWS\SYSTEM32\dllcache\frehost.exe
1980-01-21 16:41:37 507,904 -csh--r C:\WINDOWS\SYSTEM32\dllcache\mlqm.exe
.

((((((((((((((((((((((((((((( snapshot_dim. 09-09-2007_ 01722,22 )))))))))))))))))))))))))))))))))))))))))
.
----a-w 163,328 2007-09-17 15:25:00 C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
----a-w 987,136 2007-09-16 21:22:44 C:\WINDOWS\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
----a-w 8,192 2007-09-16 21:22:44 C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
----a-w 163,328 2007-09-17 15:25:00 C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
----a-w 987,136 2007-09-16 21:22:37 C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT
----a-w 8,192 2007-09-16 21:22:38 C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
.
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [03-06-23 11:00 C:\WINDOWS\SYSTEM32\mobsync.exe]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [03-06-23 11:00 C:\WINDOWS\SYSTEM32\internat.exe]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"=C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"=internat.exe

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\
WinZip Quick Pick.lnk - C:\Program Files\WinZip\WZQKPICK.EXE [2006-11-13 09:44:28]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"EditLevel"=0 (0x0)
"NoFileMenu"=0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"EditLevel"=0 (0x0)
"NoRun"=0 (0x0)
"NoClose"=0 (0x0)
"NoFileMenu"=0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CreateCD50"="c:\Program Files\Fichiers communs\Adaptec Shared\CreateCD\CreateCD50.exe" -r
"AdaptecDirectCD"="c:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"

R0 SONYPVM1;Sony Memory Stick Driver(SONYPVM1);C:\WINDOWS\system32\DRIVERS\SONYPVM1.SYS
R2 Logitech QuickCam Manager;Logitech QuickCam Manager;"C:\WINDOWS\system32\dllcache\mlqm.exe"
R3 allegro;ESS Allegro Audio Driver (WDM);C:\WINDOWS\system32\drivers\es198x.sys
R3 N100;Pilote NT de carte réseau Ethernet ou Fast Ethernet Compaq;C:\WINDOWS\system32\DRIVERS\n100nt5.sys
R3 odysseyIM3;Odyssey Network Services Miniport;C:\WINDOWS\system32\DRIVERS\odysseyIM3.sys
S3 cpqepc;Pilote pour carte PC Card Compaq Netelligent 10/100;C:\WINDOWS\system32\DRIVERS\cpqepc.sys
S3 cwbwdm_device;Pilote du codec audio Crystal WDM;C:\WINDOWS\system32\drivers\cwbwdm.sys
S3 foghorn;Compatible Windows Sound System (WDM);C:\WINDOWS\system32\drivers\foghorn.sys
S3 mf;mf;C:\WINDOWS\system32\DRIVERS\mf.sys
S3 netflx3;Pilote de carte Compaq NetFlex-3/Netelligent;C:\WINDOWS\system32\DRIVERS\netflx3.sys

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2005-01-01 21:59:58 c:\windows\Tasks\Démarrage du programme de réglages.job"
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-22 14:15:40
Windows 5.0.2195 Service Pack 4 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-22 14:16:44 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 07-09-22 14:16
C:\ComboFix2.txt ... 07-09-21 01:15
C:\ComboFix3.txt ... 07-09-21 01:03
.
--- E O F ---
23 Septembre 2007 11:52:29

Par contre l'execution de ComboFix a produit un fichier zip et l'a transmis "pour analyse plus poussée"
1 Octobre 2007 19:11:44

Bonjour,

Enfin de retour avec le resultat de Kaspersky. Merci

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Saturday, September 29, 2007 4:10:25 AM
Système d'exploitation : Microsoft Windows 2000 Professional, Service Pack 4 (Build 2195)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 30/09/2007
Enregistrements dans la base antivirus Kaspersky : 399747
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
C:\

Statistiques de l'analyse:
Total d'objets analysés: 22886
Nombre de virus trouvés: 13
Nombre d'objets infectés: 30 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 01:41:56

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\Default User\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Default User\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\C1AB85AJ\skp[1].jpg Infecté : Backdoor.Win32.Agent.bvy ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\ODAFS5E7\picto[1].jpg Infecté : Trojan-Clicker.Win32.Agent.lt ignoré
C:\Documents and Settings\nicolas\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\nicolas\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\nicolas\Local Settings\Historique\History.IE5\MSHist012007092920070930\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\nicolas\Local Settings\Temp\5EA.tmp Infecté : Trojan-Downloader.Win32.Agent.dmn ignoré
C:\Documents and Settings\nicolas\Local Settings\Temporary Internet Files\Content.IE5\6C4RF23E\wssl33[1].exe Infecté : Trojan-Downloader.Win32.Agent.dmn ignoré
C:\Documents and Settings\nicolas\Local Settings\Temporary Internet Files\Content.IE5\BAORRLSL\s3.0[1].exe Infecté : Trojan-Proxy.Win32.Agent.ls ignoré
C:\Documents and Settings\nicolas\Local Settings\Temporary Internet Files\Content.IE5\CNP3IAV5\wssl33[1].exe Infecté : Trojan-Downloader.Win32.Agent.dmn ignoré
C:\Documents and Settings\nicolas\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\nicolas\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\nicolas\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\qoobox\Quarantine\C\WINDOWS\SYSTEM\svchost32.exe.vir Infecté : Backdoor.Win32.Aimbot.fu ignoré
C:\qoobox\Quarantine\C\WINDOWS\SYSTEM32\a.exe.vir Infecté : Net-Worm.Win32.Agent.f ignoré
C:\SDFix\backups\backups.zip/backups/alg32.exe Infecté : Trojan-PSW.Win32.Delf.abr ignoré
C:\SDFix\backups\backups.zip/backups/icq6.exe Infecté : Net-Worm.Win32.Agent.f ignoré
C:\SDFix\backups\backups.zip/backups/mssmpp.exe Infecté : Backdoor.Win32.Rbot.gen ignoré
C:\SDFix\backups\backups.zip ZIP: infecté - 3 ignoré
C:\WINDOWS\CSC\00000001 L'objet est verrouillé ignoré
C:\WINDOWS\Debug\ipsecpa.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\oakley.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\Paramètres locaux\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\WINDOWS\Paramètres locaux\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLog.Txt L'objet est verrouillé ignoré
C:\WINDOWS\security\logs\scepol.log L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM\NOTEPAD.exe Infecté : Backdoor.Win32.SdBot.aad ignoré
C:\WINDOWS\SYSTEM32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\config\SYSTEM.ALT L'objet est verrouillé ignoré
C:\WINDOWS\SYSTEM32\crypts.dll Infecté : Trojan-Clicker.Win32.Agent.lt ignoré
C:\WINDOWS\SYSTEM32\dllcache\frehost.exe Infecté : Backdoor.Win32.IRCBot.air ignoré
C:\WINDOWS\SYSTEM32\dllcache\ivchost.exe Infecté : Backdoor.Win32.SdBot.brb ignoré
C:\WINDOWS\SYSTEM32\dllcache\mlqm.exe Infecté : Backdoor.Win32.VanBot.dn ignoré
C:\WINDOWS\SYSTEM32\i Infecté : Trojan-Downloader.BAT.Ftp.ab ignoré
C:\WINDOWS\SYSTEM32\ntss.exe Infecté : Backdoor.Win32.Agent.bvy ignoré
C:\WINDOWS\SYSTEM32\Perflib_Perfdata_378.dat L'objet est verrouillé ignoré
C:\WINDOWS\temp\A1CF.tmp Infecté : Trojan-Downloader.Win32.Agent.dmn ignoré
C:\WINDOWS\temp\DB72.tmp Infecté : Trojan-Proxy.Win32.Agent.ls ignoré
C:\WINDOWS\temp\E184.tmp Infecté : Trojan-Proxy.Win32.Agent.ls ignoré
C:\WINDOWS\temp\F831.tmp Infecté : Trojan-Downloader.Win32.Agent.dmn ignoré
C:\WINDOWS\temp\FA6D.tmp Infecté : Trojan-Proxy.Win32.Agent.ls ignoré
C:\WINDOWS\temp\nts2.tmp Infecté : Backdoor.Win32.Agent.bvy ignoré
C:\WINDOWS\temp\ntsC4C.tmp Infecté : Backdoor.Win32.Agent.bvy ignoré
C:\WINDOWS\temp\ntsC4D.tmp Infecté : Backdoor.Win32.Agent.bvy ignoré
C:\WINDOWS\temp\ntsC4E.tmp Infecté : Backdoor.Win32.Agent.bvy ignoré
C:\WINDOWS\temp\ntsC4F.tmp Infecté : Backdoor.Win32.Agent.bvy ignoré
C:\WINDOWS\temp\ntss_000.tmp Infecté : Backdoor.Win32.Agent.bvy ignoré

Analyse terminée.
6 Octobre 2007 22:05:16

Plus aucune idée pour l'aider ?
6 Octobre 2007 23:42:23

tikki95000 a dit :
Plus aucune idée pour l'aider ?

Si, j'en ai plein.
Mais je n'avais pas eu le drapeau correspondant à ton message. Je ne savais pas que tu avais répondu.

Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt....
Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve ci-dessous, et colle-la dans le cadre de gauche de OTMoveIt :p aste List of Files/Folders to be moved.

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\C1AB85AJ
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\ODAFS5E7
C:\Documents and Settings\nicolas\Local Settings\Temp\5EA.tmp
C:\Documents and Settings\nicolas\Local Settings\Temporary Internet Files\Content.IE5\6C4RF23E
C:\Documents and Settings\nicolas\Local Settings\Temporary Internet Files\Content.IE5\BAORRLSL
C:\Documents and Settings\nicolas\Local Settings\Temporary Internet Files\Content.IE5\CNP3IAV5
C:\qoobox
C:\SDFix
C:\WINDOWS\SYSTEM\NOTEPAD.exe
C:\WINDOWS\SYSTEM32\crypts.dll
C:\WINDOWS\SYSTEM32\dllcache\frehost.exe é
C:\WINDOWS\SYSTEM32\dllcache\ivchost.exe
C:\WINDOWS\SYSTEM32\dllcache\mlqm.exe
C:\WINDOWS\SYSTEM32\i
C:\WINDOWS\SYSTEM32\ntss.exe
C:\WINDOWS\temp\A1CF.tmp
C:\WINDOWS\temp\DB72.tmp
C:\WINDOWS\temp\E184.tmp
C:\WINDOWS\temp\F831.tmp
C:\WINDOWS\temp\FA6D.tmp
C:\WINDOWS\temp\nts2.tmp
C:\WINDOWS\temp\ntsC4C.tmp
C:\WINDOWS\temp\ntsC4D.tmp
C:\WINDOWS\temp\ntsC4E.tmp
C:\WINDOWS\temp\ntsC4F.tmp
C:\WINDOWS\temp\ntss_000.tmp


Clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.

Il te sera peut-être demander de redémarrer le PC pour achever la suppression. Si c'est le cas accepte par Yes.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
8 Octobre 2007 21:24:28

Ouf ! J'ai cru que j'etais un cas desesperée :-;

C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\C1AB85AJ moved successfully.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\ODAFS5E7 moved successfully.
C:\Documents and Settings\nicolas\Local Settings\Temp\5EA.tmp moved successfully.
Folder move failed. C:\Documents and Settings\nicolas\Local Settings\Temporary Internet Files\Content.IE5\6C4RF23E\support;tile=1;sz=160x600;ord=8272480927740015[2] scheduled to be moved on reboot.
Folder move failed. C:\Documents and Settings\nicolas\Local Settings\Temporary Internet Files\Content.IE5\6C4RF23E\jeux_Megabanniere_Top_728x90;sz=728x90;tile=1;dcopt=ist;kw=;%20ord=7489687346462101[1] scheduled to be moved on reboot.
C:\Documents and Settings\nicolas\Local Settings\Temporary Internet Files\Content.IE5\6C4RF23E moved successfully.
Folder move failed. C:\Documents and Settings\nicolas\Local Settings\Temporary Internet Files\Content.IE5\BAORRLSL\the_style1[1] scheduled to be moved on reboot.
Folder move failed. C:\Documents and Settings\nicolas\Local Settings\Temporary Internet Files\Content.IE5\BAORRLSL\jeux_Megasky_Right_160x600;sz=160x600;tile=2;dcopt=ist;kw=;%20ord=7489687346462101[1] scheduled to be moved on reboot.
Folder move failed. C:\Documents and Settings\nicolas\Local Settings\Temporary Internet Files\Content.IE5\BAORRLSL\272636-11-virus[1] scheduled to be moved on reboot.
C:\Documents and Settings\nicolas\Local Settings\Temporary Internet Files\Content.IE5\BAORRLSL moved successfully.
Folder move failed. C:\Documents and Settings\nicolas\Local Settings\Temporary Internet Files\Content.IE5\CNP3IAV5\CAR2SJFP scheduled to be moved on reboot.
C:\Documents and Settings\nicolas\Local Settings\Temporary Internet Files\Content.IE5\CNP3IAV5 moved successfully.
C:\qoobox\Quarantine\Registry_backups moved successfully.
C:\qoobox\Quarantine\C\WINDOWS\SYSTEM32 moved successfully.
C:\qoobox\Quarantine\C\WINDOWS\SYSTEM moved successfully.
C:\qoobox\Quarantine\C\WINDOWS moved successfully.
C:\qoobox\Quarantine\C\ComboFix moved successfully.
C:\qoobox\Quarantine\C moved successfully.
C:\qoobox\Quarantine moved successfully.
C:\qoobox\BackEnv moved successfully.
C:\qoobox moved successfully.
Folder move failed. C:\SDFix\backups\HOSTS scheduled to be moved on reboot.
C:\SDFix\backups moved successfully.
C:\SDFix moved successfully.
C:\WINDOWS\SYSTEM\NOTEPAD.exe moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\SYSTEM32\crypts.dll
C:\WINDOWS\SYSTEM32\crypts.dll NOT unregistered.
C:\WINDOWS\SYSTEM32\crypts.dll moved successfully.
File/Folder C:\WINDOWS\SYSTEM32\dllcache\frehost.exe é not found.
C:\WINDOWS\SYSTEM32\dllcache\ivchost.exe moved successfully.
C:\WINDOWS\SYSTEM32\dllcache\mlqm.exe moved successfully.
C:\WINDOWS\SYSTEM32\i moved successfully.
C:\WINDOWS\SYSTEM32\ntss.exe moved successfully.
C:\WINDOWS\temp\A1CF.tmp moved successfully.
C:\WINDOWS\temp\DB72.tmp moved successfully.
C:\WINDOWS\temp\E184.tmp moved successfully.
C:\WINDOWS\temp\F831.tmp moved successfully.
C:\WINDOWS\temp\FA6D.tmp moved successfully.
C:\WINDOWS\temp\nts2.tmp moved successfully.
C:\WINDOWS\temp\ntsC4C.tmp moved successfully.
C:\WINDOWS\temp\ntsC4D.tmp moved successfully.
C:\WINDOWS\temp\ntsC4E.tmp moved successfully.
C:\WINDOWS\temp\ntsC4F.tmp moved successfully.
C:\WINDOWS\temp\ntss_000.tmp moved successfully.

Created on 10/07/2007 02:59:12
8 Octobre 2007 23:23:48

Bonsoir

Est ce que le PC a redémarré à la fin de la manip ?

Il en reste un qui était mal recopié.

Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve ci-dessous, et colle-la dans le cadre de gauche de OTMoveIt :p aste List of Files/Folders to be moved.

C:\WINDOWS\SYSTEM32\dllcache\frehost.exe

Clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.

Il te sera peut-être demander de redémarrer le PC pour achever la suppression. Si c'est le cas accepte par Yes.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

As tu encore des dysfonctionnements ?
9 Octobre 2007 21:36:49

Bonsoir,

Oui le system a redemmaré après la premiere execution de OTMoveIt. Voici le rapport de la deuxieme execution :
C:\WINDOWS\SYSTEM32\dllcache\frehost.exe moved successfully.
Created on 10/08/2007 03:08:28

J'ai testé l'execution de HiJackThis, il veut enfin s'executer correctement ! En voici le log :
Logfile of HijackThis v1.99.1
Scan saved at 03:10:46, on 08/10/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\x91ox.exe
C:\WINDOWS\system32\internat.exe
C:\WINDOWS\system32\mikezpif.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.altavista.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://jump.altavista.com/avie5/searchpane
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.altavista.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntss.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Network Translation System Service] "C:\WINDOWS\system32\ntss.exe" *
O4 - HKLM\..\Run: [Microsoft Windows Updata] mikezpif.exe
O4 - HKLM\..\Run: [Microsoft Windows Updeta] x91ox.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Updata] mikezpif.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Updeta] x91ox.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Microsoft Windows Updata] mikezpif.exe
O4 - HKCU\..\Run: [Microsoft Windows Updeta] x91ox.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Logitech QuickCam Manager - Unknown owner - C:\WINDOWS\system32\dllcache\mlqm.exe (file missing)
O23 - Service: ms hexidecimal defx (mshexdefx) - Unknown owner - C:\WINDOWS\system32\dllcache\ivchost.exe (file missing)
O23 - Service: NOTEPAD - Unknown owner - C:\WINDOWS\system\NOTEPAD.exe (file missing)
O23 - Service: Network Translation System Service (NTSS) - Unknown owner - C:\WINDOWS\system32\ntss.exe (file missing)

Sauf avis contraire de ta part, je pense que je peux considerer que mon probleme est reglé ? J'ai plus qu'a trouver un anti-virus et surfer sur le web en securité ? Qu'en penses-tu ?


10 Octobre 2007 20:55:10

Bonjour, j'ai suivi votre disccussion...est je conclus que :
CHERCHEUR_ EST UN TRES BON HELPER !!!!!
11 Octobre 2007 20:46:41

Bonsoir,

:-( on se debarrase pas comme ça de ces petites betes malheureusement !

Voici le resultat d'antivir :

AntiVir PersonalEdition Classic
Report file date: mercredi 10 octobre 2007 01:30

Scanning for 1036370 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows 2000
Windows version: (Service Pack 4) [5.0.2195]
Username: SYSTEM
Computer name: NICOLAS

Version information:
BUILD.DAT : 269 15604 Bytes 10/09/2007 14:31:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 14:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 13:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 16:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 13:35:20
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31/05/2006 13:32:40
ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10/07/2007 13:32:46
ANTIVIR2.VDF : 6.39.1.43 1542656 Bytes 25/08/2007 18:21:02
ANTIVIR3.VDF : 6.39.1.51 29696 Bytes 28/08/2007 08:22:36
AVEWIN32.DLL : 7.6.0.5 2789888 Bytes 29/08/2007 18:09:10
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 11:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 08:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 14:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 09:46:00
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 08:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 13:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 08:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 12:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 13:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 13:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 10:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: C:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: mercredi 10 octobre 2007 01:30

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'WZQKPICK.EXE' - '1' Module(s) have been scanned
Scan process 'mikezpif.exe' - '1' Module(s) have been scanned
Scan process 'internat.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'x91ox.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'winmgmt.exe' - '1' Module(s) have been scanned
Scan process 'snmp.exe' - '1' Module(s) have been scanned
Scan process 'mstask.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '0' Module(s) have been scanned
Scan process 'sched.exe' - '0' Module(s) have been scanned
Scan process 'SPOOLSV.EXE' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
19 processes with 19 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '17' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\_OTMoveIt\MovedFiles\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\C1AB85AJ\skp[1].jpg
[DETECTION] Contains detection pattern of the HEUR-DBLEXT/Crypted virus
[INFO] The file was moved to '477c35cc.qua'!
C:\_OTMoveIt\MovedFiles\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\ODAFS5E7\picto[1].jpg
[DETECTION] Contains suspicious code HEUR/Malware
[INFO] The file was moved to '476f35d1.qua'!
C:\_OTMoveIt\MovedFiles\Documents and Settings\nicolas\Local Settings\Temporary Internet Files\Content.IE5\BAORRLSL\s3.0[1].exe
[DETECTION] Is the Trojan horse TR/Proxy.Agent.LS.2
[INFO] The file was deleted!
C:\_OTMoveIt\MovedFiles\qoobox\Quarantine\C\WINDOWS\SYSTEM\svchost32.exe.vir
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was deleted!
C:\_OTMoveIt\MovedFiles\qoobox\Quarantine\C\WINDOWS\SYSTEM32\a.exe.vir
[DETECTION] Is the Trojan horse TR/MancSyn.K
[INFO] The file was deleted!
C:\_OTMoveIt\MovedFiles\SDFix\backups\backups.zip
[0] Archive type: ZIP
--> backups/icq6.exe
[DETECTION] Is the Trojan horse TR/MancSyn.K
--> backups/mssmpp.exe
[DETECTION] Contains detection pattern of the worm WORM/Rbot.134144.23
[INFO] The file was deleted!
C:\_OTMoveIt\MovedFiles\WINDOWS\SYSTEM\NOTEPAD.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '476035f1.qua'!
C:\_OTMoveIt\MovedFiles\WINDOWS\SYSTEM32\crypts.dll
[DETECTION] Contains suspicious code HEUR/Malware
[INFO] The file was moved to '47853618.qua'!
C:\_OTMoveIt\MovedFiles\WINDOWS\SYSTEM32\dllcache\frehost.exe
[DETECTION] Is the Trojan horse TR/Crypt.NSPI.Gen
[INFO] The file was moved to '4771362b.qua'!
C:\_OTMoveIt\MovedFiles\WINDOWS\SYSTEM32\dllcache\ivchost.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was moved to '476f3636.qua'!
C:\_OTMoveIt\MovedFiles\WINDOWS\SYSTEM32\dllcache\mlqm.exe
[DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/Vanebot.B Backdoor server programs
[INFO] The file was deleted!
C:\_OTMoveIt\MovedFiles\WINDOWS\temp\DB72.tmp
[DETECTION] Is the Trojan horse TR/Proxy.Agent.LS.2
[INFO] The file was deleted!
C:\_OTMoveIt\MovedFiles\WINDOWS\temp\E184.tmp
[DETECTION] Is the Trojan horse TR/Proxy.Agent.LS.2
[INFO] The file was deleted!
C:\_OTMoveIt\MovedFiles\WINDOWS\temp\FA6D.tmp
[DETECTION] Is the Trojan horse TR/Proxy.Agent.LS.2
[INFO] The file was deleted!


End of the scan: mercredi 10 octobre 2007 02:15
Used time: 46:00 min

The scan has been done completely.

1959 Scanning directories
104388 Files were scanned
12 viruses and/or unwanted programs were found
3 Files were classified as suspicious:
8 files were deleted
0 files were repaired
6 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
104376 Files not concerned
1826 Archives were scanned
1 Warnings
71 Notes

Et le resultat de HiJackThis :

Logfile of HijackThis v1.99.1
Scan saved at 02:18:07, on 10/10/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\x91ox.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\internat.exe
C:\WINDOWS\system32\mikezpif.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.altavista.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://jump.altavista.com/avie5/searchpane
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.altavista.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntss.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Network Translation System Service] "C:\WINDOWS\system32\ntss.exe" *
O4 - HKLM\..\Run: [Microsoft Windows Updata] mikezpif.exe
O4 - HKLM\..\Run: [Microsoft Windows Updeta] x91ox.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [Microsoft Windows Updata] mikezpif.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Updeta] x91ox.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Microsoft Windows Updata] mikezpif.exe
O4 - HKCU\..\Run: [Microsoft Windows Updeta] x91ox.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Logitech QuickCam Manager - Unknown owner - C:\WINDOWS\system32\dllcache\mlqm.exe (file missing)
O23 - Service: ms hexidecimal defx (mshexdefx) - Unknown owner - C:\WINDOWS\system32\dllcache\ivchost.exe (file missing)
O23 - Service: NOTEPAD - Unknown owner - C:\WINDOWS\system\NOTEPAD.exe (file missing)
O23 - Service: Network Translation System Service (NTSS) - Unknown owner - C:\WINDOWS\system32\ntss.exe (file missing)


11 Octobre 2007 21:19:41

Bien.


Supprime SDFix, la version a changé.

$$ Télécharge SDFix sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.e...


$$ Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.


$$ Double clique sur SDFix.exe et choisis Install
Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
Tape Y pour lancer le script.
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire
Presse une touche pour redémarrer

Le PC va mettre du temps avant de démarrer, presse une touche lorsque "Finished" s'affiche

Ouvre le dossier SDFix et copie/colle ici le contenu du fichier "Report.txt" avec un nouveau HijackThis.
14 Octobre 2007 22:07:33

Bonsoir,

Voici le resultat de SDFix :


SDFix: Version 1.109

Run by nicolas on sam. 13/10/2007 at 3:35

Microsoft Windows 2000 [Version 5.00.2195]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:
mshexdefx
NTSS

ImagePath:
"C:\WINDOWS\system32\dllcache\ivchost.exe"
C:\WINDOWS\system32\ntss.exe

mshexdefx - Deleted
NTSS - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\SYSTEM32\MIKEZPIF.EXE - Deleted
C:\WINDOWS\SYSTEM32\X91OX.EXE - Deleted



Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------




Remaining Files:
---------------

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

Tue 7 Sep 1999 129,078 ..SH. --- "C:\logo.sys"
Sat 19 Jan 1980 28,672 A..H. --- "C:\WINDOWS\SYSTEM32\ebji.exe"
Thu 18 Sep 2003 64,000 ...HR --- "C:\Teleconsult\Clients\Bangui\~WRL0002.tmp"
Fri 13 Feb 2004 24,064 ...HR --- "C:\Teleconsult\Fournisseurs\Kenwood\~WRL0005.tmp"
Thu 7 Nov 2002 24,064 ...HR --- "C:\Teleconsult\Fournisseurs\Primo\~WRL3994.tmp"
Tue 15 Oct 2002 96,256 ...HR --- "C:\Teleconsult\Teleconsult\Contrat de maintenance\~WRL0278.tmp"
Mon 14 Oct 2002 93,696 ...HR --- "C:\Teleconsult\Teleconsult\Contrat de maintenance\~WRL2278.tmp"
Tue 15 Oct 2002 85,504 ...HR --- "C:\Teleconsult\Teleconsult\Contrat de maintenance\~WRL2982.tmp"
Tue 15 Oct 2002 79,872 ...HR --- "C:\Teleconsult\Teleconsult\Contrat de maintenance\~WRL3987.tmp"
Thu 15 May 2003 43,008 A..H. --- "C:\Program Files\Fichiers communs\Adobe\ESD\DLMCleanup.exe"
Fri 30 Aug 2002 58,368 ...HR --- "C:\Teleconsult\Clients\B‚nin\Coop\~WRL2962.tmp"
Tue 14 May 2002 120,320 ...HR --- "C:\Teleconsult\Clients\Congo\Chemin de Fer Congo-Ocean\~WRL0002.tmp"
Thu 28 Nov 2002 24,064 ...HR --- "C:\Teleconsult\Clients\France\Reprise\~WRL0001.tmp"
Fri 23 May 2003 25,088 ...HR --- "C:\Teleconsult\Clients\France\Reprise\~WRL0003.tmp"
Thu 23 Oct 2003 73,216 ...HR --- "C:\Teleconsult\Clients\Mauritanie\Tayib\~WRL1201.tmp"
Mon 2 Sep 2002 23,552 ...HR --- "C:\Teleconsult\Clients\S‚n‚gal\CGE\~WRL0001.tmp"
Sat 22 Sep 2007 183,416 A.SHR --- "C:\_OTMoveIt\MovedFiles\WINDOWS\SYSTEM32\ntss.exe"
Sat 22 Sep 2007 93,304 A.SHR --- "C:\_OTMoveIt\MovedFiles\WINDOWS\temp\nts2.tmp"
Mon 24 Sep 2007 93,304 A.SHR --- "C:\_OTMoveIt\MovedFiles\WINDOWS\temp\ntsC4C.tmp"
Mon 24 Sep 2007 93,304 A.SHR --- "C:\_OTMoveIt\MovedFiles\WINDOWS\temp\ntsC4D.tmp"
Mon 24 Sep 2007 93,304 A.SHR --- "C:\_OTMoveIt\MovedFiles\WINDOWS\temp\ntsC4E.tmp"
Mon 24 Sep 2007 93,304 A.SHR --- "C:\_OTMoveIt\MovedFiles\WINDOWS\temp\ntsC4F.tmp"
Sun 7 Oct 2007 93,304 A.SHR --- "C:\_OTMoveIt\MovedFiles\WINDOWS\temp\ntss_000.tmp"
Thu 24 Mar 2005 99,840 ...HR --- "C:\Teleconsult\Clients\Congo\Morabo\Ministere economie\~WRL0767.tmp"
Wed 23 Mar 2005 56,832 ...HR --- "C:\Teleconsult\Clients\Congo\Morabo\Ministere economie\~WRL2037.tmp"
Thu 24 Mar 2005 99,840 ...HR --- "C:\Teleconsult\Clients\Congo\Morabo\Ministere foret\~WRL0767.tmp"
Wed 23 Mar 2005 56,832 ...HR --- "C:\Teleconsult\Clients\Congo\Morabo\Ministere foret\~WRL2037.tmp"
Thu 24 Mar 2005 99,840 ...HR --- "C:\Teleconsult\Clients\Congo\Morabo\Universit‚ Ngouabi\~WRL0767.tmp"
Wed 23 Mar 2005 56,832 ...HR --- "C:\Teleconsult\Clients\Congo\Morabo\Universit‚ Ngouabi\~WRL2037.tmp"
Thu 24 Mar 2005 99,840 ...HR --- "C:\Teleconsult\Clients\Guinee Conakry\Bauxites\Offre R6\~WRL0767.tmp"
Wed 23 Mar 2005 56,832 ...HR --- "C:\Teleconsult\Clients\Guinee Conakry\Bauxites\Offre R6\~WRL2037.tmp"
Tue 9 Sep 2003 67,072 ...HR --- "C:\Teleconsult\Clients\Mauritanie\NOEL\Etat major Tayib\~WRL3363.tmp"

Finished!
et le resultat de HiJackThis !
Logfile of HijackThis v1.99.1
Scan saved at 03:44:49, on 13/10/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\internat.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.altavista.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://jump.altavista.com/avie5/searchpane
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.altavista.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Microsoft Windows Updeta] x91ox.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [Microsoft Windows Updeta] x91ox.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Microsoft Windows Updata] mikezpif.exe
O4 - HKCU\..\Run: [Microsoft Windows Updeta] x91ox.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Logitech QuickCam Manager - Unknown owner - C:\WINDOWS\system32\dllcache\mlqm.exe (file missing)
O23 - Service: NOTEPAD - Unknown owner - C:\WINDOWS\system\NOTEPAD.exe (file missing)

Merci.
14 Octobre 2007 23:02:09

Bien.


Relance un scan HijackThis et coche les lignes ci-dessous :

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\SYSTEM\blank.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Windows Updeta] x91ox.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Updeta] x91ox.exe
O4 - HKCU\..\Run: [Microsoft Windows Updata] mikezpif.exe
O4 - HKCU\..\Run: [Microsoft Windows Updeta] x91ox.exe
O23 - Service: NOTEPAD - Unknown owner - C:\WINDOWS\system\NOTEPAD.exe (file missing)

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »


Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt....
Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve ci-dessous, et colle-la dans le cadre de gauche de OTMoveIt :p aste List of Files/Folders to be moved.

C:\WINDOWS\SYSTEM32\x91ox.exe
C:\WINDOWS\SYSTEM32\mikezpif.exe
C:\WINDOWS\SYSTEM32\ebji.exe
C:\WINDOWS\system\NOTEPAD.exe


Clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.

Il te sera peut-être demander de redémarrer le PC pour achever la suppression. Si c'est le cas accepte par Yes.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles avec un nouveau Hijackthis.
27 Octobre 2007 11:48:40

Bonjour,

Voici le resultat du HiJackThis

Logfile of HijackThis v1.99.1
Scan saved at 23:13:48, on 21/10/2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\internat.exe
C:\Program Files\CounterPath\X-Lite\x-lite.exe
C:\Program Files\OLITEC\Moniteur WiFi OLITEC\Moniteur WiFi OLITEC.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.altavista.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://jump.altavista.com/avie5/searchpane
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.altavista.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [eyeBeam SIP Client] "C:\Program Files\CounterPath\X-Lite\x-lite.exe"
O4 - Global Startup: Moniteur WiFi OLITEC.exe.lnk = C:\Program Files\OLITEC\Moniteur WiFi OLITEC\Moniteur WiFi OLITEC.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Logitech QuickCam Manager - Unknown owner - C:\WINDOWS\system32\dllcache\mlqm.exe (file missing)

et le resultat de OTMoveIT :
File/Folder C:\WINDOWS\SYSTEM32\x91ox.exe not found.
File/Folder C:\WINDOWS\SYSTEM32\mikezpif.exe not found.
File/Folder C:\WINDOWS\SYSTEM32\ebji.exe not found.
File/Folder C:\WINDOWS\system\NOTEPAD.exe not found.

Created on 10/21/2007 22:59:44

Merci



Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS