Votre question

Trojan PWS-OnlineGames.i [RESOLU]

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
29 Septembre 2007 10:50:40

Bonjour,

Oui, c'encore moi avec encore des problèmes de virus -_-". Voilà plusieurs jours que je ne venais plus sur cet ordi là (à savoir qu'il y en a deux chez moi) mais mon père et ma soeur y allaient. Alors qu'aujourd'hui j'y vais, mon antivirus Mac Afee me prévient qu'il a supprimé des fichiers provenant du cheval de troie PWS-OnlineGames.i
Comment faire pour l'éradiquer ?
Merci d'avance.

Autres pages sur : trojan pws onlinegames resolu

30 Septembre 2007 13:45:58

Voici mon rapport Hijackthis si cela peut aider.
Merci !

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:46:32, on 30/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\MSI\Live Update 3\LMonitor.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\lclock.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://lstard.stormcorp.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.8.30.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptcl.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [BitComet] "C:\Program Files\BitComet\BitComet.exe" /tray
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Policies\Explorer\Run: [w] %SystemRoot%\WinRaR.exe
O4 - HKCU\..\Policies\Explorer\Run: [wm] %SystemRoot%\winlogor.exe
O4 - HKCU\..\Policies\Explorer\Run: [wl] %SystemRoot%\intent.exe
O4 - HKCU\..\Policies\Explorer\Run: [mm] %SystemRoot%\sourro.exe
O4 - HKCU\..\Policies\Explorer\Run: [zx] %SystemRoot%\winadr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.8.30.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6387 bytes
30 Septembre 2007 13:59:50


Bonjour :) 


Télécharge ComboFix <- ici

Enregistre le sur ton Bureau et pas ailleurs !

Double clique combofix.exe ( le .exe peut ne pas apparaitre )

Pour démarrer , tape 1 puis valide , attend la fin du scan

Un rapport est généré , Copie / Colle le dans ta réponse

Tu peux aussi trouver ce rapport ici : C:\Combofix.txt
Contenus similaires
30 Septembre 2007 14:11:38

Re,

Merci beaucoup de l'aide :) 

Voici le rapport Combofix

ComboFix 07-09-21.2 - "alidade" 2007-09-30 14:12:08.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.587 [GMT 2:00]
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\rising150.exe
C:\WINDOWS\rising706.exe

.
((((((((((((((((((((((((((((( Fichiers créés 2007-08-28 to 2007-09-30 ))))))))))))))))))))))))))))))))))))
.

2007-09-30 14:11 <REP> d-------- C:\WINDOWS\LastGood
2007-09-30 14:07 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-30 11:08 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-09-29 14:20 <REP> d-------- C:\Program Files\a-squared Free
2007-09-29 14:06 5,376 --a------ C:\WINDOWS\system32\drivers\MS1000.sys
2007-09-29 14:06 <REP> d-------- C:\Program Files\The Cleaner Free
2007-09-24 21:04 <REP> d-------- C:\Program Files\7-Zip
2007-09-20 19:00 <REP> d-------- C:\Program Files\Trend Micro
2007-09-20 18:39 <REP> d-------- C:\QUARANTINE
2007-09-19 22:24 71,320 --a------ C:\WINDOWS\WinRaR.exe
2007-09-19 22:22 2,560 --a------ C:\WINDOWS\system32\bitcometres.dll
2007-09-19 22:22 <REP> d-------- C:\Program Files\BitComet
2007-09-19 22:22 <REP> d-------- C:\Downloads
2007-09-19 20:53 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Messenger Plus!
2007-09-19 19:15 <REP> d-------- C:\Program Files\Windows Live
2007-09-19 19:15 <REP> d-------- C:\Program Files\Messenger Plus! Live
2007-09-04 13:04 1,257 --a------ C:\WINDOWS\mozver.dat
2007-09-04 12:31 <REP> d---s---- C:\DOCUME~1\alidade\UserData
2007-09-03 19:03 <REP> d-------- C:\Program Files\Fichiers communs\Nero
2007-09-03 19:02 <REP> d--hs---- C:\DOCUME~1\ALLUSE~1\DRM
2007-09-03 19:01 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2007-09-03 19:01 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2007-09-03 19:01 364,544 --------- C:\WINDOWS\system32\TwnLib4.dll
2007-09-03 19:01 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2007-09-03 19:01 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2007-09-03 19:01 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2007-09-03 19:01 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
2007-09-03 19:01 <REP> d-------- C:\Program Files\Fichiers communs\Ahead
2007-09-03 19:01 <REP> d-------- C:\Program Files\Ahead
2007-08-27 09:32 <REP> d-------- C:\DOCUME~1\alidade\APPLIC~1\DeepBurner
2007-08-27 09:31 <REP> d-------- C:\Program Files\Astonsoft
2007-08-25 15:43 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\That Face Camp Shim
2007-08-25 12:54 <REP> d-------- C:\DOCUME~1\alidade\Contacts
2007-08-25 12:52 <REP> d-------- C:\Program Files\MSN Messenger
2007-08-25 12:30 <REP> d-------- C:\Program Files\Winamp
2007-08-25 12:04 72,264 --a------ C:\WINDOWS\system32\drivers\mfeavfk.sys
2007-08-25 12:04 64,360 --a------ C:\WINDOWS\system32\drivers\mfeapfk.sys
2007-08-25 12:04 52,136 --a------ C:\WINDOWS\system32\drivers\mfetdik.sys
2007-08-25 12:04 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2007-08-25 12:04 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2007-08-25 12:04 34,152 --a------ C:\WINDOWS\system32\drivers\mfebopk.sys
2007-08-25 12:04 170,408 --a------ C:\WINDOWS\system32\drivers\mfehidk.sys
2007-08-25 12:04 1,495,552 --a------ C:\WINDOWS\system32\epoPGPsdk.dll
2007-08-25 12:04 <REP> d-------- C:\Program Files\McAfee
2007-08-25 12:04 <REP> d-------- C:\Program Files\Fichiers communs\McAfee
2007-08-25 12:04 <REP> d-------- C:\Program Files\Fichiers communs\Cisco Systems
2007-08-25 12:04 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\McAfee
2007-08-25 11:44 0 --a------ C:\WINDOWS\nsreg.dat
2007-08-25 11:18 <REP> d-------- C:\DOCUME~1\alidade\APPLIC~1\Logitech
2007-08-25 11:17 <REP> d-------- C:\Program Files\Logitech
2007-08-25 11:17 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Logitech
2007-08-25 11:16 <REP> d-------- C:\Program Files\Fichiers communs\Logitech
2007-08-25 09:57 <REP> d-------- C:\DOCUME~1\alidade\APPLIC~1\vlc
2007-08-25 09:55 <REP> d-------- C:\Program Files\VideoLAN
2007-08-25 09:44 82,944 --a------ C:\WINDOWS\system32\drivers\wdmaud.sys
2007-08-25 09:44 6,400 --a------ C:\WINDOWS\system32\drivers\splitter.sys
2007-08-25 09:44 54,272 --a------ C:\WINDOWS\system32\drivers\swmidi.sys
2007-08-25 09:44 52,864 --a------ C:\WINDOWS\system32\drivers\DMusic.sys
2007-08-25 09:44 142,464 --a------ C:\WINDOWS\system32\drivers\aec.sys
2007-08-25 09:34 <REP> d-------- C:\WINDOWS\system32\Lang
2007-08-25 09:31 69,632 --a------ C:\WINDOWS\Alcmtr.exe
2007-08-25 09:31 315,392 --a------ C:\WINDOWS\HideWin.exe
2007-08-25 09:24 <REP> d-------- C:\Program Files\MSI
2007-08-25 09:23 <REP> d-------- C:\Program Files\Setup Files
2007-08-25 09:19 8,704 --a------ C:\WINDOWS\system32\drivers\FlashSys.sys
2007-08-25 09:19 327,168 --a------ C:\WINDOWS\IsUninst.exe
2007-08-25 09:19 18,359 --a------ C:\WINDOWS\system32\Ntaccess.sys
2007-08-25 09:15 43,520 --a------ C:\WINDOWS\system32\drivers\AmdK8.sys
2007-08-25 09:15 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-08-25 09:15 <REP> d-------- C:\Program Files\DIFX
2007-08-25 09:12 208,896 --a------ C:\WINDOWS\system32\nvudisp.exe
2007-08-25 09:12 <REP> d-------- C:\WINDOWS\nview
2007-08-25 09:08 363,008 -ra------ C:\WINDOWS\system32\idecoiins.dll
2007-08-25 09:08 363,008 -ra------ C:\WINDOWS\system32\idecoi.dll
2007-08-25 09:08 35,840 -ra------ C:\WINDOWS\system32\NVCOI.DLL
2007-08-25 09:08 208,896 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2007-08-25 09:08 208,896 --------- C:\WINDOWS\system32\nvuide.exe
2007-08-25 09:08 105,344 -ra------ C:\WINDOWS\system32\drivers\nvata.sys
2007-08-25 09:08 <REP> d-------- C:\WINDOWS\NV14561504.TMP
2007-08-24 22:28 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2007-08-24 22:28 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2007-08-24 22:27 77,312 --a------ C:\WINDOWS\system32\usbui.dll
2007-08-24 22:27 58,496 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2007-08-24 22:26 <REP> dr------- C:\DOCUME~1\DEFAUL~1\Menu D‚marrer
2007-08-24 22:26 <REP> dr------- C:\DOCUME~1\ALLUSE~1\Menu D‚marrer
2007-08-24 22:26 <REP> dr------- C:\DOCUME~1\ALLUSE~1\Documents
2007-08-24 22:26 <REP> d--h----- C:\DOCUME~1\DEFAUL~1\Voisinage r‚seau
2007-08-24 22:26 <REP> d--h----- C:\DOCUME~1\DEFAUL~1\Voisinage d'impression
2007-08-24 22:26 <REP> d--h----- C:\DOCUME~1\DEFAUL~1\ModŠles
2007-08-24 22:26 <REP> d--h----- C:\DOCUME~1\ALLUSE~1\ModŠles
2007-08-24 22:26 <REP> d-------- C:\Program Files\Fichiers communs\ODBC
2007-08-24 22:26 <REP> d-------- C:\DOCUME~1\DEFAUL~1\Mes documents
2007-08-24 22:26 <REP> d-------- C:\DOCUME~1\DEFAUL~1\Favoris
2007-08-24 22:26 <REP> d-------- C:\DOCUME~1\DEFAUL~1\Bureau
2007-08-24 22:26 <REP> d-------- C:\DOCUME~1\ALLUSE~1\Favoris
2007-08-24 22:26 <REP> d-------- C:\DOCUME~1\ALLUSE~1\Bureau
2007-08-24 22:24 <REP> d-------- C:\WINDOWS\system32\CatRoot2
2007-08-24 22:24 <REP> d-------- C:\WINDOWS\system32\CatRoot
2007-08-24 22:22 <REP> d-------- C:\Drivers

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-08-25 11:17 0 --ah----- C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2007-08-25 11:17 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf
2007-08-25 11:16 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-08-25 09:31 --------- d-------- C:\Program Files\Realtek
2007-08-24 20:40 --------- d-------- C:\Program Files\Fichiers communs\InstallShield
2007-08-24 20:33 128 --a------ C:\DOCUME~1\DEFAUL~1\user.bat
2007-08-24 20:33 128 --a------ C:\DOCUME~1\alidade\user.bat
2007-08-24 20:30 --------- d-------- C:\Program Files\Services en ligne
2007-08-24 20:30 --------- d-------- C:\Program Files\Fichiers communs\MSSoap
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-05 16:08 16380416 --a------ C:\WINDOWS\RTHDCPL.exe
2007-06-28 16:44 2165760 --a------ C:\WINDOWS\MicCal.exe
2007-06-15 16:45 1826816 --a------ C:\WINDOWS\SkyTel.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-16 09:35]
"nwiz"="nwiz.exe" [2006-08-16 09:35 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-08-16 09:35]
"LiveMonitor"="C:\Program Files\MSI\Live Update 3\LMonitor.exe" [2007-01-17 17:01]
"C-Media Mixer"="Mixer.exe" [2005-01-12 05:32 C:\WINDOWS\mixer.exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 15:44 C:\WINDOWS\KHALMNPR.Exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 15:44 C:\WINDOWS\KHALMNPR.Exe]
"ShStatEXE"="C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.exe" [2007-02-22 20:50]
"McAfeeUpdaterUI"="C:\Program Files\McAfee\Common Framework\UdaterUI.exe" [2006-12-19 11:27]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2007-05-15 00:22]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 02:54]
"LClock"="lclock.exe" [2004-12-08 18:06 C:\WINDOWS\LClock.exe]
"BitComet"="C:\Program Files\BitComet\BitComet.exe" [2007-09-10 14:33]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"LSD_III"=%systemroot%\LSD\end.cmd
"tscuninstall"=%systemroot%\system32\tscupgrd.exe

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2007-08-25 11:17:22]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoInstrumentation"=1 (0x1)
"NoStartMenuSubFolders"=1 (0x1)
"NoFavoritesMenu"=1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup"

R1 mfetdik;McAfee Inc.;C:\WINDOWS\system32\drivers\mfetdik.sys
R3 mfeapfk;McAfee Inc.;C:\WINDOWS\system32\drivers\mfeapfk.sys
S3 MS1000;MS1000;C:\WINDOWS\system32\DRIVERS\MS1000.sys
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cb0997c3-527f-11dc-ad5a-806d6172696f}]
AutoRun\command- D:\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f38e2e1e-6ac0-11dc-9d6e-0019db681968}]
AutoRun\command- WD_Windows_Tools\setup.exe

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-30 14:12:44
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-30 14:13:05
C:\ComboFix-quarantined-files.txt ... 2007-09-30 14:13
.
--- E O F ---
30 Septembre 2007 14:27:54


Visiblement ton antivirus l'avait supprimé

supprime ce dossier : C:\DOCUME~1\ALLUSE~1\APPLIC~1\That Face Camp Shim

---------------------------------------------------------------------------

Télécharge clean <- ici

décompresse-le sur ton bureau ( extraire tous les fichiers) , tu obtient un dossier clean

Ouvre le dossier clean, double-clique sur clean.cmd ( le .cmd peut ne pas apparaitre )

choisis l'option 1 puis patiente

un rapport est généré , poste ce rapport
30 Septembre 2007 14:33:22

Comment je fais pour supprimer ce dossier ? C:\DOCUME~1\ALLUSE~1\APPLIC~1\That Face Camp Shim

Faut-il que je poste le rapport clean après l'avoir supprimé ou je peux le faire maintenant ?

Il l'aurait supprimé ? Pourtant, à chaque fois que je démarre le PC, je reçois l'alerte de mon antivirus qui me prévient avoir supprimé des fichiers provenant du cheval de troie, et ce à chaque fois...
30 Septembre 2007 14:34:47

Citation :
je reçois l'alerte de mon antivirus qui me prévient avoir supprimé des fichiers provenant du cheval de troie, et ce à chaque fois..

Le nom et l'emplacement des fichiers ?
30 Septembre 2007 15:08:26


Séléctionne l'encadré ci dessous en entier , puis clique droit , choisis Copier

File::
C:\Windows\WinRaR.exe
C:\Windows\winlogor.exe
C:\Windows\intent.exe
C:\Windows\sourro.exe
C:\Windows\winadr.exe

Folder::
C:\DOCUME~1\ALLUSE~1\APPLIC~1\That Face Camp Shim

Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"w"=-
"wm"=-
"wl"=-
"mm"=-
"zx"=-

Colle le dans le Bloc-Notes
Enregistre le sur ton Bureau et nomme le CFScript ( type fichier texte )
Fait glisser le fichier CFScript sur le fichier ComboFix.exe comme ceci :



Un menu va apparaitre , tape 1 puis valide
Laisse faire le scan et poste le rapport généré ( C:\ComboFix.txt )
30 Septembre 2007 15:16:35

Voici le rapport.

ComboFix 07-09-21.2 - "alidade" 2007-09-30 15:17:32.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.593 [GMT 2:00]
Command switches used :: C:\Documents and Settings\alidade\Bureau\CFScript.txt
* Created a new restore point

FILE::
C:\Windows\WinRaR.exe
C:\Windows\winlogor.exe
C:\Windows\intent.exe
C:\Windows\sourro.exe
C:\Windows\winadr.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\DOCUME~1\ALLUSE~1\APPLIC~1\That Face Camp Shim
C:\Windows\WinRaR.exe

.
((((((((((((((((((((((((((((( Fichiers créés 2007-08-28 to 2007-09-30 ))))))))))))))))))))))))))))))))))))
.

2007-09-30 14:11 <REP> d-------- C:\WINDOWS\LastGood
2007-09-30 14:07 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-30 11:08 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-09-29 14:20 <REP> d-------- C:\Program Files\a-squared Free
2007-09-29 14:06 5,376 --a------ C:\WINDOWS\system32\drivers\MS1000.sys
2007-09-29 14:06 <REP> d-------- C:\Program Files\The Cleaner Free
2007-09-24 21:04 <REP> d-------- C:\Program Files\7-Zip
2007-09-20 19:00 <REP> d-------- C:\Program Files\Trend Micro
2007-09-20 18:39 <REP> d-------- C:\QUARANTINE
2007-09-19 22:22 2,560 --a------ C:\WINDOWS\system32\bitcometres.dll
2007-09-19 22:22 <REP> d-------- C:\Program Files\BitComet
2007-09-19 22:22 <REP> d-------- C:\Downloads
2007-09-19 20:53 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Messenger Plus!
2007-09-19 19:15 <REP> d-------- C:\Program Files\Windows Live
2007-09-19 19:15 <REP> d-------- C:\Program Files\Messenger Plus! Live
2007-09-04 13:04 1,257 --a------ C:\WINDOWS\mozver.dat
2007-09-04 12:31 <REP> d---s---- C:\DOCUME~1\alidade\UserData
2007-09-03 19:03 <REP> d-------- C:\Program Files\Fichiers communs\Nero
2007-09-03 19:02 <REP> d--hs---- C:\DOCUME~1\ALLUSE~1\DRM
2007-09-03 19:01 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2007-09-03 19:01 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2007-09-03 19:01 364,544 --------- C:\WINDOWS\system32\TwnLib4.dll
2007-09-03 19:01 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2007-09-03 19:01 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2007-09-03 19:01 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2007-09-03 19:01 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
2007-09-03 19:01 <REP> d-------- C:\Program Files\Fichiers communs\Ahead
2007-09-03 19:01 <REP> d-------- C:\Program Files\Ahead
2007-08-27 09:32 <REP> d-------- C:\DOCUME~1\alidade\APPLIC~1\DeepBurner
2007-08-27 09:31 <REP> d-------- C:\Program Files\Astonsoft
2007-08-25 12:54 <REP> d-------- C:\DOCUME~1\alidade\Contacts
2007-08-25 12:52 <REP> d-------- C:\Program Files\MSN Messenger
2007-08-25 12:30 <REP> d-------- C:\Program Files\Winamp
2007-08-25 12:04 72,264 --a------ C:\WINDOWS\system32\drivers\mfeavfk.sys
2007-08-25 12:04 64,360 --a------ C:\WINDOWS\system32\drivers\mfeapfk.sys
2007-08-25 12:04 52,136 --a------ C:\WINDOWS\system32\drivers\mfetdik.sys
2007-08-25 12:04 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2007-08-25 12:04 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2007-08-25 12:04 34,152 --a------ C:\WINDOWS\system32\drivers\mfebopk.sys
2007-08-25 12:04 170,408 --a------ C:\WINDOWS\system32\drivers\mfehidk.sys
2007-08-25 12:04 1,495,552 --a------ C:\WINDOWS\system32\epoPGPsdk.dll
2007-08-25 12:04 <REP> d-------- C:\Program Files\McAfee
2007-08-25 12:04 <REP> d-------- C:\Program Files\Fichiers communs\McAfee
2007-08-25 12:04 <REP> d-------- C:\Program Files\Fichiers communs\Cisco Systems
2007-08-25 12:04 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\McAfee
2007-08-25 11:44 0 --a------ C:\WINDOWS\nsreg.dat
2007-08-25 11:18 <REP> d-------- C:\DOCUME~1\alidade\APPLIC~1\Logitech
2007-08-25 11:17 <REP> d-------- C:\Program Files\Logitech
2007-08-25 11:17 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Logitech
2007-08-25 11:16 <REP> d-------- C:\Program Files\Fichiers communs\Logitech
2007-08-25 09:57 <REP> d-------- C:\DOCUME~1\alidade\APPLIC~1\vlc
2007-08-25 09:55 <REP> d-------- C:\Program Files\VideoLAN
2007-08-25 09:44 82,944 --a------ C:\WINDOWS\system32\drivers\wdmaud.sys
2007-08-25 09:44 6,400 --a------ C:\WINDOWS\system32\drivers\splitter.sys
2007-08-25 09:44 54,272 --a------ C:\WINDOWS\system32\drivers\swmidi.sys
2007-08-25 09:44 52,864 --a------ C:\WINDOWS\system32\drivers\DMusic.sys
2007-08-25 09:44 142,464 --a------ C:\WINDOWS\system32\drivers\aec.sys
2007-08-25 09:34 <REP> d-------- C:\WINDOWS\system32\Lang
2007-08-25 09:31 69,632 --a------ C:\WINDOWS\Alcmtr.exe
2007-08-25 09:31 315,392 --a------ C:\WINDOWS\HideWin.exe
2007-08-25 09:24 <REP> d-------- C:\Program Files\MSI
2007-08-25 09:23 <REP> d-------- C:\Program Files\Setup Files
2007-08-25 09:19 8,704 --a------ C:\WINDOWS\system32\drivers\FlashSys.sys
2007-08-25 09:19 327,168 --a------ C:\WINDOWS\IsUninst.exe
2007-08-25 09:19 18,359 --a------ C:\WINDOWS\system32\Ntaccess.sys
2007-08-25 09:15 43,520 --a------ C:\WINDOWS\system32\drivers\AmdK8.sys
2007-08-25 09:15 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-08-25 09:15 <REP> d-------- C:\Program Files\DIFX
2007-08-25 09:12 208,896 --a------ C:\WINDOWS\system32\nvudisp.exe
2007-08-25 09:12 <REP> d-------- C:\WINDOWS\nview
2007-08-25 09:08 363,008 -ra------ C:\WINDOWS\system32\idecoiins.dll
2007-08-25 09:08 363,008 -ra------ C:\WINDOWS\system32\idecoi.dll
2007-08-25 09:08 35,840 -ra------ C:\WINDOWS\system32\NVCOI.DLL
2007-08-25 09:08 208,896 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2007-08-25 09:08 208,896 --------- C:\WINDOWS\system32\nvuide.exe
2007-08-25 09:08 105,344 -ra------ C:\WINDOWS\system32\drivers\nvata.sys
2007-08-25 09:08 <REP> d-------- C:\WINDOWS\NV14561504.TMP
2007-08-24 22:28 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2007-08-24 22:28 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2007-08-24 22:27 77,312 --a------ C:\WINDOWS\system32\usbui.dll
2007-08-24 22:27 58,496 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2007-08-24 22:26 <REP> dr------- C:\DOCUME~1\DEFAUL~1\Menu D‚marrer
2007-08-24 22:26 <REP> dr------- C:\DOCUME~1\ALLUSE~1\Menu D‚marrer
2007-08-24 22:26 <REP> dr------- C:\DOCUME~1\ALLUSE~1\Documents
2007-08-24 22:26 <REP> d--h----- C:\DOCUME~1\DEFAUL~1\Voisinage r‚seau
2007-08-24 22:26 <REP> d--h----- C:\DOCUME~1\DEFAUL~1\Voisinage d'impression
2007-08-24 22:26 <REP> d--h----- C:\DOCUME~1\DEFAUL~1\ModŠles
2007-08-24 22:26 <REP> d--h----- C:\DOCUME~1\ALLUSE~1\ModŠles
2007-08-24 22:26 <REP> d-------- C:\Program Files\Fichiers communs\ODBC
2007-08-24 22:26 <REP> d-------- C:\DOCUME~1\DEFAUL~1\Mes documents
2007-08-24 22:26 <REP> d-------- C:\DOCUME~1\DEFAUL~1\Favoris
2007-08-24 22:26 <REP> d-------- C:\DOCUME~1\DEFAUL~1\Bureau
2007-08-24 22:26 <REP> d-------- C:\DOCUME~1\ALLUSE~1\Favoris
2007-08-24 22:26 <REP> d-------- C:\DOCUME~1\ALLUSE~1\Bureau
2007-08-24 22:24 <REP> d-------- C:\WINDOWS\system32\CatRoot2
2007-08-24 22:24 <REP> d-------- C:\WINDOWS\system32\CatRoot
2007-08-24 22:22 <REP> d-------- C:\Drivers

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-08-25 11:17 0 --ah----- C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2007-08-25 11:17 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf
2007-08-25 11:16 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-08-25 09:31 --------- d-------- C:\Program Files\Realtek
2007-08-24 20:40 --------- d-------- C:\Program Files\Fichiers communs\InstallShield
2007-08-24 20:33 128 --a------ C:\DOCUME~1\DEFAUL~1\user.bat
2007-08-24 20:33 128 --a------ C:\DOCUME~1\alidade\user.bat
2007-08-24 20:30 --------- d-------- C:\Program Files\Services en ligne
2007-08-24 20:30 --------- d-------- C:\Program Files\Fichiers communs\MSSoap
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-05 16:08 16380416 --a------ C:\WINDOWS\RTHDCPL.exe
2007-06-28 16:44 2165760 --a------ C:\WINDOWS\MicCal.exe
2007-06-15 16:45 1826816 --a------ C:\WINDOWS\SkyTel.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-16 09:35]
"nwiz"="nwiz.exe" [2006-08-16 09:35 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-08-16 09:35]
"LiveMonitor"="C:\Program Files\MSI\Live Update 3\LMonitor.exe" [2007-01-17 17:01]
"C-Media Mixer"="Mixer.exe" [2005-01-12 05:32 C:\WINDOWS\mixer.exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 15:44 C:\WINDOWS\KHALMNPR.Exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-23 15:44 C:\WINDOWS\KHALMNPR.Exe]
"ShStatEXE"="C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.exe" [2007-02-22 20:50]
"McAfeeUpdaterUI"="C:\Program Files\McAfee\Common Framework\UdaterUI.exe" [2006-12-19 11:27]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2007-05-15 00:22]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 02:54]
"LClock"="lclock.exe" [2004-12-08 18:06 C:\WINDOWS\LClock.exe]
"BitComet"="C:\Program Files\BitComet\BitComet.exe" [2007-09-10 14:33]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"LSD_III"=%systemroot%\LSD\end.cmd
"tscuninstall"=%systemroot%\system32\tscupgrd.exe

C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2007-08-25 11:17:22]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoInstrumentation"=1 (0x1)
"NoStartMenuSubFolders"=1 (0x1)
"NoFavoritesMenu"=1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup"

R1 mfetdik;McAfee Inc.;C:\WINDOWS\system32\drivers\mfetdik.sys
R3 mfeapfk;McAfee Inc.;C:\WINDOWS\system32\drivers\mfeapfk.sys
S3 MS1000;MS1000;C:\WINDOWS\system32\DRIVERS\MS1000.sys
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cb0997c3-527f-11dc-ad5a-806d6172696f}]
AutoRun\command- D:\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f38e2e1e-6ac0-11dc-9d6e-0019db681968}]
AutoRun\command- WD_Windows_Tools\setup.exe

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-30 15:17:53
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-30 15:18:13
C:\ComboFix-quarantined-files.txt ... 2007-09-30 15:18
.
--- E O F ---
30 Septembre 2007 15:20:14


Télécharge SDFix <- ici

Enregistre le sur ton Bureau

Double clique sur SDFix.exe ( le .exe peut ne pas apparaitre )
Choisis Install pour l'extraire sur ton Bureau

Redémarre en mode sans échec : >> Comment démarrer en mode Sans Echec <<

Double clic sur le dossier SDFix
puis double clique sur RunThis.bat ( le .bat peut ne pas apparaitre )
Appuie sur Y pour le lancer , laisse le s'éxécuter

Il te sera demandé d'appuyer sur une touche pour redemarrer , fais le
Il est possible que le redémarrage soit plus long que d'habitude
Une fois ton Bureau chargé ,il affichera Finished

Appuie sur une touche pour finir l'exécution et charger les icônes de ton Bureau

Un rapport est généré , Copie / colle le dans ta réponse
tu trouveras aussi ce rapport dans le dossier SDFix ( Report.txt )
et un nouveau rapport Hijackthis
30 Septembre 2007 15:42:27

Voilà le rapport SDFix


SDFix: Version 1.107

Run by alidade on 30/09/2007 at 15:38

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\alidade\Bureau\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

No Trojan Files Found




Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------


Files with Hidden Attributes:

Sun 30 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\0d73c5f11656cfb2872f8f4bb0b3a716\BIT5.tmp"
Sun 30 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4c5c888ff189ce65af20cc141b13bcd3\BIT2.tmp"
Sun 30 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\813a989071c1720c8fca52f421b7b9e5\BIT7.tmp"
Sun 30 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\983c9bfa9a4e68e38529a3267b7caf74\BIT1.tmp"
Sun 30 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\b8ac6274ac8ad7e4b0febe55aca1e516\BIT6.tmp"
Sun 30 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f32bfa5d1049b53eae766f9d37379ea6\BITF.tmp"
Sun 30 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\17e3f23ff72184333b78d75c8e81cda8\download\BITE.tmp"

Finished!
30 Septembre 2007 15:43:06

Et voici le rapport Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:45:08, on 30/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\MSI\Live Update 3\LMonitor.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\lclock.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\khalshared\KHALMNPR.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://lstard.stormcorp.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.8.30.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptcl.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [BitComet] "C:\Program Files\BitComet\BitComet.exe" /tray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.8.30.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5249 bytes
30 Septembre 2007 15:58:59


Ok , tu as toujours des alertes ?


Télécharge clean <- ici

décompresse-le sur ton bureau ( extraire tous les fichiers) , tu obtient un dossier clean

Ouvre le dossier clean, double-clique sur clean.cmd ( le .cmd peut ne pas apparaitre )

choisis l'option 1 puis patiente

un rapport est généré , poste ce rapport
30 Septembre 2007 16:10:36

Lorsque j'ai redémarré après le mode sans échec, je n'ai pas eu d'alertes.
Voici le rapport clean

30/09/2007 a 16:10:58,93

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !
30 Septembre 2007 16:18:01


Bien , on fait une dernière vérif :) 

Supprime ce dossier : c:\Qoobox


Fais un scan en ligne Kaspersky <- ici avec Internet Explorer

Clique sur Demarrer Online-Scanner ( en bas à droite )
Clique sur J'accepte , si necessaire valide l'installation des ActiveX
laisse installer les Mises à jour , choisis l'analyse du Poste de travail

à la fin de l'analyse , Sauvegarde le rapport puis colle le dans ta réponse

Si tu vois ce message : La licence de Kaspersky On-line Scanner est périmée
vas dans Ajout / Suppression de programmes et désinstalle On-Line Scanner
retourne sur le site et retente le scan
30 Septembre 2007 16:40:55

J'ai fait tout ce que vous m'avez demandée. Seulement, il y a un problème, après la tentative d'installation de ActiveX, voici ce qu'ils m'ont mis :

Échec du chargement du contrôle ActiveX Kaspersky On-line Scanner!

Vous devez jouir des privilèges d'administrateur sur ce poste ;
en outre, il faut configurer le niveau de sécurité IE sur Moyen.

Que dois-je faire ?
30 Septembre 2007 17:09:51


Fais un scan en ligne Panda <~ ici

Colle le rapport dans ta réponse
30 Septembre 2007 17:44:31

Je pense que c'est le rapport mais je n'en suis pas sûre. Si ce n'est pas cela, me préciser ce que je dois poster merci. Ils me proposent de désinfecter dois je le faire ?

;***********************************************************************************************************************************************************************************
ANALYSIS: 2007-09-30 17:46:12
PROTECTIONS: 1
MALWARE: 20
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
McAfee VirusScan Enterprise 8.5.0.781 Yes Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Documents and Settings\alidade\Application Data\Mozilla\Firefox\Profiles\jjejc6kb.default\cookies.txt[.doubleclick.net/]
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Documents and Settings\alidade\Cookies\alidade@atdmt[2].txt
00139535 Application/Processor HackTools No 0 No No C:\Documents and Settings\alidade\Bureau\SDFix.exe[SDFix\apps\Process.exe]
00139535 Application/Processor HackTools No 0 Yes No C:\Documents and Settings\alidade\Bureau\SDFix\apps\Process.exe
00139535 Application/Processor HackTools No 0 No No C:\Documents and Settings\alidade\Local Settings\Application Data\Mozilla\Firefox\Profiles\jjejc6kb.default\Cache\DD0DBD66d01[DD0DBD66d01][SDFix\apps\Process.exe]
00139535 Application/Processor HackTools No 0 Yes No C:\System Volume Information\_restore{8048AA08-53D7-4039-AFF2-4309B334006D}\RP3\A0000105.exe
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Documents and Settings\alidade\Application Data\Mozilla\Firefox\Profiles\jjejc6kb.default\cookies.txt[.tradedoubler.com/]
00145405 Cookie/RealMedia TrackingCookie No 0 Yes No C:\Documents and Settings\alidade\Application Data\Mozilla\Firefox\Profiles\jjejc6kb.default\cookies.txt[.247realmedia.com/]
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No C:\Documents and Settings\alidade\Application Data\Mozilla\Firefox\Profiles\jjejc6kb.default\cookies.txt[.mediaplex.com/]
00147814 Cookie/AspinallsOnlineCasino TrackingCookie No 0 Yes No C:\Documents and Settings\alidade\Application Data\Mozilla\Firefox\Profiles\jjejc6kb.default\cookies.txt[.pacificpoker.com/]
00167642 Cookie/Com.com TrackingCookie No 0 Yes No C:\Documents and Settings\alidade\Application Data\Mozilla\Firefox\Profiles\jjejc6kb.default\cookies.txt[.com.com/]
00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\alidade\Cookies\alidade@xiti[1].txt
00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\alidade\Application Data\Mozilla\Firefox\Profiles\jjejc6kb.default\cookies.txt[.xiti.com/]
00167747 Cookie/Azjmp TrackingCookie No 0 Yes No C:\Documents and Settings\alidade\Cookies\alidade@azjmp[1].txt
00167795 Cookie/Cd Freaks TrackingCookie No 0 Yes No C:\Documents and Settings\alidade\Application Data\Mozilla\Firefox\Profiles\jjejc6kb.default\cookies.txt[.club.cdfreaks.com/]
00167795 Cookie/Cd Freaks TrackingCookie No 0 Yes No C:\Documents and Settings\alidade\Application Data\Mozilla\Firefox\Profiles\jjejc6kb.default\cookies.txt[.club.cdfreaks.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\alidade\Application Data\Mozilla\Firefox\Profiles\jjejc6kb.default\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\alidade\Application Data\Mozilla\Firefox\Profiles\jjejc6kb.default\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\alidade\Application Data\Mozilla\Firefox\Profiles\jjejc6kb.default\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\alidade\Application Data\Mozilla\Firefox\Profiles\jjejc6kb.default\cookies.txt[.serving-sys.com/]
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\alidade\Application Data\Mozilla\Firefox\Profiles\jjejc6kb.default\cookies.txt[.serving-sys.com/]
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\alidade\Application Data\Mozilla\Firefox\Profiles\jjejc6kb.default\cookies.txt[.bs.serving-sys.com/]
00168105 Cookie/Cd Freaks TrackingCookie No 0 Yes No C:\Documents and Settings\alidade\Application Data\Mozilla\Firefox\Profiles\jjejc6kb.default\cookies.txt[.cdfreaks.com/]
00168105 Cookie/Cd Freaks TrackingCookie No 0 Yes No C:\Documents and Settings\alidade\Application Data\Mozilla\Firefox\Profiles\jjejc6kb.default\cookies.txt[.cdfreaks.com/]
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\alidade\Application Data\Mozilla\Firefox\Profiles\jjejc6kb.default\cookies.txt[.weborama.fr/]
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\alidade\Application Data\Mozilla\Firefox\Profiles\jjejc6kb.default\cookies.txt[.weborama.fr/]
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\alidade\Cookies\alidade@weborama[2].txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\alidade\Application Data\Mozilla\Firefox\Profiles\jjejc6kb.default\cookies.txt[.weborama.fr/]
00170554 Cookie/Overture TrackingCookie No 0 Yes No C:\Documents and Settings\alidade\Application Data\Mozilla\Firefox\Profiles\jjejc6kb.default\cookies.txt[.overture.com/]
00173520 Cookie/Bluestreak TrackingCookie No 0 Yes No C:\Documents and Settings\alidade\Application Data\Mozilla\Firefox\Profiles\jjejc6kb.default\cookies.txt[.bluestreak.com/]
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\alidade\Application Data\Mozilla\Firefox\Profiles\jjejc6kb.default\cookies.txt[.smartadserver.com/]
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\alidade\Application Data\Mozilla\Firefox\Profiles\jjejc6kb.default\cookies.txt[.smartadserver.com/]
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\alidade\Application Data\Mozilla\Firefox\Profiles\jjejc6kb.default\cookies.txt[.smartadserver.com/]
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\alidade\Application Data\Mozilla\Firefox\Profiles\jjejc6kb.default\cookies.txt[.smartadserver.com/]
01262593 Application/NirCmd.A HackTools No 0 No No C:\Documents and Settings\alidade\Bureau\ComboFix.exe[nircmd.exe]
01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{8048AA08-53D7-4039-AFF2-4309B334006D}\RP3\A0000064.exe
01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{8048AA08-53D7-4039-AFF2-4309B334006D}\RP2\A0000040.exe
01262593 Application/NirCmd.A HackTools No 0 Yes No C:\WINDOWS\NirCmd.exe
01262593 Application/NirCmd.A HackTools No 0 Yes No C:\System Volume Information\_restore{8048AA08-53D7-4039-AFF2-4309B334006D}\RP2\A0000024.exe
02002086 Trj/Wow.QC Virus/Trojan No 1 Yes No C:\RECYCLER\S-1-5-21-790525478-1085031214-725345543-1003\Dc1\Quarantine\C\WINDOWS\WinRaR.exe.vir
02002086 Trj/Wow.QC Virus/Trojan No 1 Yes No C:\System Volume Information\_restore{8048AA08-53D7-4039-AFF2-4309B334006D}\RP3\A0000047.exe
02002086 Trj/Wow.QC Virus/Trojan No 1 Yes No C:\RECYCLER\S-1-5-21-790525478-1085031214-725345543-1003\Dc1\Quarantine\C\WINDOWS\rising706.exe.vir
02002086 Trj/Wow.QC Virus/Trojan No 1 Yes No C:\RECYCLER\S-1-5-21-790525478-1085031214-725345543-1003\Dc1\Quarantine\C\WINDOWS\rising150.exe.vir
02002086 Trj/Wow.QC Virus/Trojan No 1 Yes No C:\System Volume Information\_restore{8048AA08-53D7-4039-AFF2-4309B334006D}\RP2\A0000006.exe
02002086 Trj/Wow.QC Virus/Trojan No 1 Yes No C:\System Volume Information\_restore{8048AA08-53D7-4039-AFF2-4309B334006D}\RP2\A0000007.exe
;===================================================================================================================================================================================
SUSPECTS
Location
;===================================================================================================================================================================================
;===================================================================================================================================================================================
30 Septembre 2007 17:45:59

Ils me demandent de désinfecter dois je le faire ?
30 Septembre 2007 18:03:20


Rien de grave :) 

La plupart sont les logiciels utilisés , normal

pour les autres :


Désactive la réstauration du système comme ceci :
>> Réstauration du Système <<
Redémarre ton PC , puis Réactive la

--------------------------------------------------------

Vide ta corbeille , les autres sont des cookies

Toujours des problèmes ?
30 Septembre 2007 18:12:07

Lorsque j'ai redémarré le pc, Mac Afee ne m'a pas avertie pour la deuxième fois la suppression de fichiers provenant d'un cheval de troie. Je verrais aux démarrages suivants si c'est toujours le cas, mais apparamment ça semble être bon. Si j'ai des problèmes je vous préviendrais en repostant un message ici. Merci beaucoup de votre aide et bonne continuation :) 
30 Septembre 2007 18:14:13


De rien ,

Une dernière chose :

Clique, dans ton premier message, sur le bouton "Editer"
Ajoute [Résolu] au titre
Clique ensuite sur "Valider votre message"

Bonne fin de week-end ;) 

Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS