Se connecter / S'enregistrer
Votre question

Problèmes de droit administrateur ainsi que Spam Windows security Aler

Tags :
  • Windows
  • Sécurité
Dernière réponse : dans Sécurité et virus
19 Septembre 2007 18:12:42

(Je poste la réponse pour être sur que quelqu'un tombe dessus... libre au modo de supprimer celui qu'il veulle...


Bien, bonjour aux pros.
j'ai lu tous les anciens messages, et je suis impressionné. Franchement, les users qui arrivent dire quoi faire avec des lignes Hijackthis, ça me fait halluciner. Bravo. (lèche vraiment sincère)

Alors voilà, je me retrouve confronté aux mêmes problèmes que l'auteur de ce post. J'ai plus aucun droit, j'ai le spam de windows security alert... c'est la joie.

Alors, j'ai pris un peu d'avance, j'ai téléchargé les 3 logiciels cités ci dessus. J'ai déjà fait quelques manip mais rien n'y fait. Même si j'ai déjà retrouvé l'icone de mon "panneau de conf" ainsi que la disparition de certains messages intempestif au démarrage de mon pc.

Je vous colle donc mon Smitfraudix en ayant tapé 1:

"SmitFraudFix v2.225

Rapport fait à 18:07:02,50, 19/09/2007
Executé à partir de C:\Documents and Settings\Compaq_Propri‚taire\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\QuickTime\qttask.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\Anti-Blaxx2\Anti-Blaxx.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Skype\Phone\Skype.exe
c:\windows\ServUDaemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\autorun.exe
C:\Program Files\Antipub\antipub.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

192.168.200.3 download.microsoft.com
192.168.200.3 downloads.microsoft.com
192.168.200.3 go.microsoft.com
192.168.200.3 microsoft.com
192.168.200.3 msdn.microsoft.com
192.168.200.3 office.microsoft.com
192.168.200.3 support.microsoft.com
192.168.200.3 windowsupdate.microsoft.com
192.168.200.3 www.microsoft.com
192.168.200.3 pandasoftware.com
192.168.200.3 www.pandasoftware.com

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\printer.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Compaq_Propri‚taire


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Compaq_Propri‚taire\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

C:\DOCUME~1\COMPAQ~1\MENUDM~1\PROGRA~1\DMARRA~1\system.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\COMPAQ~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="C:\\WINDOWS\\system32\\ad.html"
"SubscribedURL"=""
"FriendlyName"=""


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\system32\\systems.txt"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 15.243.128.51
DNS Server Search Order: 15.243.160.51

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{65EB32EF-9081-4910-97DD-762E2F55E754}: NameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CS1\Services\Tcpip\..\{65EB32EF-9081-4910-97DD-762E2F55E754}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CS2\Services\Tcpip\..\{65EB32EF-9081-4910-97DD-762E2F55E754}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CS3\Services\Tcpip\..\{65EB32EF-9081-4910-97DD-762E2F55E754}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
"

Et suit mon rapport Hijackthis

"Logfile of HijackThis v1.99.1
Scan saved at 18:08:36, on 19/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\QuickTime\qttask.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\Anti-Blaxx2\Anti-Blaxx.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Skype\Phone\Skype.exe
c:\windows\ServUDaemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\autorun.exe
C:\Program Files\Antipub\antipub.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\NOTEPAD.EXE
C:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [ThrustTSR] C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Program Files\Anti-Blaxx2\Anti-Blaxx.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Internet Explorer 7] iexploree.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
O4 - Startup: system.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: autorun.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{65EB32EF-9081-4910-97DD-762E2F55E754}: NameServer = 192.168.1.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\systems.txt
O20 - Winlogon Notify: ShellCompatibility - C:\WINDOWS\system32\bhotvid.dll (file missing)
O20 - Winlogon Notify: StillImage - C:\WINDOWS\system32\j6p00g7me6.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: FireDaemon Service: dll32 (dll32) - Unknown owner - C:\WINDOWS\system32\Xterm\FireDaemon.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Serv-U FTP Server (Serv-U) - Rhino Software, Inc. +1(262) 560-9627 - c:\windows\ServUDaemon.exe
O23 - Service: FireDaemon Service: smcss (smcss) - Unknown owner - C:\WINDOWS\system32\Xterm\FireDaemon.EXE

"

Faut-il que je redémarre en mode sans échec? J'suis largué...

:( 

Autres pages sur : problemes droit administrateur spam windows security aler

19 Septembre 2007 18:38:07

Bonjour


$$ Télécharge CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.


$$ Prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix.
Télécharge Look2Me-Destroyer.exe sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=7

* Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
* Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
* Coche Run this program as a task
* Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Clique OK
* Il se relancera après la minute, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
* Lorsque le scan termine, clique sur le bouton Remove L2M
* Un message Done Scanning apparaîtra, clique OK.
* Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
* Ton PC va maintenant s'éteindre.

#Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau.


* Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarres l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuyes sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionnes le mode sans échec approprié et appuyes sur Entrée.


$$ Lance le nettoyage avec CCleaner.


$$ Relance SmitfraudFix. Choisis cette fois l’option 2 et réponds oui à tout.


$$ Redémarre normalement et communique le deuxième rapport de SmitfraudFix, un nouveau rapport Hijackthis et le rapport généré, situé ici : C:\Look2Me-Destroyer.txt
19 Septembre 2007 21:32:27

Voilà donc le rapport de Smitfraudix, avec l'option 2.

"SmitFraudFix v2.225

Rapport fait à 21:20:00,85, 19/09/2007
Executé à partir de C:\Documents and Settings\Compaq_Propri‚taire\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost





»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\printer.exe supprimé
C:\DOCUME~1\COMPAQ~1\MENUDM~1\PROGRA~1\DMARRA~1\system.exe supprimé

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 15.243.128.51
DNS Server Search Order: 15.243.160.51

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{65EB32EF-9081-4910-97DD-762E2F55E754}: NameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CS1\Services\Tcpip\..\{65EB32EF-9081-4910-97DD-762E2F55E754}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CS2\Services\Tcpip\..\{65EB32EF-9081-4910-97DD-762E2F55E754}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CS3\Services\Tcpip\..\{65EB32EF-9081-4910-97DD-762E2F55E754}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

"

Rapport HIJACKTHIS:

"Logfile of HijackThis v1.99.1
Scan saved at 21:29:20, on 19/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\QuickTime\qttask.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
c:\windows\ServUDaemon.exe
C:\Program Files\Anti-Blaxx2\Anti-Blaxx.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\autorun.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Antipub\antipub.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [ThrustTSR] C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Program Files\Anti-Blaxx2\Anti-Blaxx.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Internet Explorer 7] iexploree.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
O4 - Startup: system.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: autorun.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{65EB32EF-9081-4910-97DD-762E2F55E754}: NameServer = 192.168.1.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: FireDaemon Service: dll32 (dll32) - Unknown owner - C:\WINDOWS\system32\Xterm\FireDaemon.EXE (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Serv-U FTP Server (Serv-U) - Rhino Software, Inc. +1(262) 560-9627 - c:\windows\ServUDaemon.exe
O23 - Service: FireDaemon Service: smcss (smcss) - Unknown owner - C:\WINDOWS\system32\Xterm\FireDaemon.EXE (file missing)

"


Puis le rapport de LOOK2ME:

"Look2Me-Destroyer V1.0.12

Scanning for infected files.....
Scan started at 19/09/2007 20:58:32

Infected! C:\WINDOWS\system32\j6p00g7me6.dll
Infected! C:\WINDOWS\system32\bhotvid.dll

Attempting to delete infected files...

Making registry repairs.

Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\StillImage
Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ShellCompatibility

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{83DD2C7D-1A80-409D-8248-61BB4395791D}"
HKCR\Clsid\{83DD2C7D-1A80-409D-8248-61BB4395791D}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{C37B9ED5-D86E-4A8E-AB7A-9C1A8455FB97}"
HKCR\Clsid\{C37B9ED5-D86E-4A8E-AB7A-9C1A8455FB97}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{A1C86187-4765-4382-BAC5-3F68D0375B7E}"
HKCR\Clsid\{A1C86187-4765-4382-BAC5-3F68D0375B7E}

Restoring Windows certificates.

Replaced hosts file with default windows hosts file


Restoring SeDebugPrivilege for Administrateurs - Succeeded
"



Merci pour ton aide.

Contenus similaires
Pas de réponse à votre question ? Demandez !
19 Septembre 2007 21:57:55

Re

Tu as probablement retrouvé tes droits.

On continue.

Télécharge Combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Double clique combofix.exe et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra.

Copie/colle ce rapport dans ta prochaine réponse avec un nouveau HijackThis.
19 Septembre 2007 22:02:25

ben, j'ai pas l'impression que mes droits d'admin soient revenus. Lorsque je fais ALT CTRL SUPPR, un message me dit que le gestionnaire des tâches a été désactivé par l'admin...


Bon, je suis ta procédure sinon. ça t'en dira peut etre plus. je poste ça quand c'est finis
19 Septembre 2007 22:17:51

VOici le rapport Combofix:

"ComboFix 07-09-18.4 - "Compaq_Propri‚taire" 2007-09-19 22:03:36.1 - NTFSx86
Microsoft Windows XP dition familiale 5.1.2600.2.1252.1.1036.18.144 [GMT 2:00]
* Created a new restore point
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\bifrost\klog.dat
C:\WINDOWS\exefld
C:\WINDOWS\gimmygames101.dat
C:\WINDOWS\IA
C:\WINDOWS\system32\cfx32.ocx
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\printer.exe
C:\WINDOWS\system32\SysPr.prx
C:\WINDOWS\system32\WinAvXX.exe
C:\WINDOWS\winlogon.exe
C:\WINDOWS\winsysupd101.dat
C:\WINDOWS\winsysupd111.dat
D:\Autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_CMDSERVICE


((((((((((((((((((((((((( Files Created from 2007-08-19 to 2007-09-19 )))))))))))))))))))))))))))))))
.

2007-09-19 22:02 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-18 22:07 <REP> d-------- C:\Program Files\CCleaner
2007-09-18 22:03 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-09-18 21:55 2,924 --a------ C:\WINDOWS\system32\tmp.reg
2007-09-18 21:54 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-09-18 21:54 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-09-18 21:54 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-09-18 21:54 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-09-18 21:54 <REP> d-------- C:\DOCUME~1\COMPAQ~1\SmitfraudFix
2007-09-13 21:49 <REP> d-------- C:\DOCUME~1\COMPAQ~1\Contacts
2007-09-09 16:07 <REP> d-------- C:\Program Files\Profitville
2007-09-03 21:17 <REP> d-------- C:\Program Files\Lottso Deluxe
2007-09-03 21:10 <REP> d-------- C:\Program Files\Fichiers communs\DirectX
2007-09-03 21:06 <REP> d-------- C:\Program Files\WPC2
2007-09-03 21:06 <REP> d-------- C:\Program Files\Managed DirectX (0900)
2007-08-31 14:30 <REP> d-------- C:\Program Files\Activision Value
2007-08-23 14:01 <REP> d-------- C:\Program Files\Zylom Games
2007-08-23 14:01 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Zylom
2007-08-22 17:19 68,096 --a------ C:\WINDOWS\system32\Wbtrv32.dll
2007-08-22 17:19 43,008 --a------ C:\WINDOWS\system32\W32BTICM.DLL
2007-08-22 17:19 320,512 --a------ C:\WINDOWS\system32\W32MKDE.EXE
2007-08-22 17:19 110,080 --a------ C:\WINDOWS\system32\W32MKRC.DLL
2007-08-22 17:19 1,929,216 --a------ C:\WINDOWS\system32\cdintf250.dll
2007-08-22 17:19 <REP> d-------- C:\Program Files\EBP
2007-08-22 17:19 <REP> d-------- C:\EBP

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-19 22:06 --------- d-------- C:\Program Files\Bifrost
2007-09-19 21:42 --------- d-------- C:\Program Files\eMule
2007-09-18 23:04 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-09-13 21:49 --------- d-------- C:\Program Files\MSN Messenger
2007-08-31 16:18 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-08-31 10:55 --------- d-------- C:\Program Files\musik
2007-08-31 10:54 --------- d-------- C:\Program Files\film
2007-08-30 18:15 69632 --a------ C:\WINDOWS\AutoUpdateWin31.dll
2007-08-30 18:15 45056 --a------ C:\WINDOWS\AutoUpdateWin32.exe
2007-08-30 18:15 32768 --a------ C:\WINDOWS\AutoUpdateWin33.exe
2007-08-30 18:15 24576 --a------ C:\WINDOWS\WindowsUpdates.exe
2007-08-05 16:29 --------- d-------- C:\Program Files\Vstep
2007-08-05 16:27 --------- d-------- C:\Program Files\Pro Cycling Manager 2007
2007-08-05 16:11 --------- d-------- C:\Program Files\Anti-Blaxx2
2007-08-05 16:10 --------- d-------- C:\Program Files\Anti-Blaxx
2007-08-05 16:00 --------- d-------- C:\Program Files\Firaxis Games
2007-07-29 15:25 --------- d-------- C:\Program Files\SopCast
2007-07-21 21:50 --------- d-------- C:\Program Files\PROMT5
2006-10-25 22:29 0 --a------ C:\DOCUME~1\COMPAQ~1\84785_redworld2.exe
2006-10-18 16:17 0 --a------ C:\DOCUME~1\COMPAQ~1\84785_norton.exe
2004-08-05 18:00:00 1,097,216 --sh--r C:\WINDOWS\Di32.exe
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-08 05:05]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2005-05-05 01:21]
"PCDrProfiler"="" []
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPwuSchd2.exe" [2005-02-17 07:11]
"ThrustTSR"="C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe" [2003-04-02 05:13]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2005-12-09 08:30]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2005-12-10 16:57]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-02-24 20:36]
"KBD"="C:\HP\KBD\KBD.EXE" [2005-02-02 16:44]
"Lexmark X1100 Series"="C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 11:48]
"GrooveMonitor"="C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 01:47]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57]
"Anti-Blaxx Manager"="C:\Program Files\Anti-Blaxx2\Anti-Blaxx.exe" [2005-05-18 17:08]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]
"WinAVX"="C:\WINDOWS\system32\WinAvXX.exe" [2007-09-14 08:43]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2006-05-19 18:11]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 20:00]
"Internet Explorer 7"="iexploree.exe" []
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2007-05-16 09:27]
"WinAVX"="C:\WINDOWS\system32\WinAvXX.exe" [2007-09-14 08:43]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=1 (0x1)
"DisableTaskMgr"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=1 (0x1)
"DisableTaskMgr"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoControlPanel"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoControlPanel"=1 (0x1)
"NoWindowsUpdate"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Shell"="Explorer.exe C:\WINDOWS\system32\printer.exe"

R1 ISODrive;ISO CD-ROM Device Driver;\??\C:\Program Files\UltraISO\drivers\ISODrive.sys
R1 oreans32;oreans32;\??\C:\WINDOWS\system32\drivers\oreans32.sys
R2 Serv-U;Serv-U FTP Server;c:\windows\ServUDaemon.exe
R3 Pcatip;Pcatip;C:\WINDOWS\system32\DRIVERS\Pcatip.sys
R3 TMBUS;Thrustmapper Device Enumerator;C:\WINDOWS\system32\drivers\TMBUS.sys
R3 TMKEmu;Thrustmapper virtual Keyboard device driver;C:\WINDOWS\system32\drivers\TMKEmu.sys
R3 TMMEmu;Thrustmapper virtual Mouse device driver;C:\WINDOWS\system32\drivers\TMMEmu.sys
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
S2 dll32;FireDaemon Service: dll32;C:\WINDOWS\system32\Xterm\FireDaemon.EXE
S2 smcss;FireDaemon Service: smcss;C:\WINDOWS\system32\Xterm\FireDaemon.EXE
S3 CoachUsb;Coach Digital Camera on USB;C:\WINDOWS\system32\DRIVERS\CoachUsb.sys
S3 NuVision;Hauppauge WinTV USB Pro (PAL/SECAM);C:\WINDOWS\system32\DRIVERS\NUVision.sys
S3 pnicml;pnicml;\??\C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\pnicml.sys
S3 TMHidF;Thrustmaster FireStorm(TM) Wireless Gamepad HID Driver;C:\WINDOWS\system32\drivers\TMHidF.sys
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys
S4 Help Management;Help Management;C:\WINDOWS\system32\microsoft\Groups\Service.exe /name:"Help Management" /start:"C:\WINDOWS\system32\microsoft\Groups\helpmangr.exe"
S4 WinOwn;WinOwn;C:\recycler\dll\Service.exe /name:"WinOwn" /start:"winlogin.exe"


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cd12b4e2-14e2-11db-868a-0013d391db7a}]
AutoRun\command- O:\ecoburotic.exe

.
Contents of the 'Scheduled Tasks' folder
"2006-02-02 10:08:00 C:\WINDOWS\Tasks\Connexion facile à Internet.job"
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-19 22:08:43
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Internet Explorer 7 = iexploree.exe?

scanning hidden files ...

C:\WINDOWS\system32\WinAvXX.exe
C:\WINDOWS\system32\printer.exe

scan completed successfully
hidden files: 2

**************************************************************************
.
Completion time: 2007-09-19 22:12:05 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-09-19 22:11
.
--- E O F ---
"


Puis un nouveau HIJACKTHIS:

Logfile of HijackThis v1.99.1
Scan saved at 22:15:05, on 19/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
c:\windows\ServUDaemon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\QuickTime\qttask.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\Anti-Blaxx2\Anti-Blaxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\autorun.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [ThrustTSR] C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Program Files\Anti-Blaxx2\Anti-Blaxx.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Internet Explorer 7] iexploree.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
O4 - Startup: system.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: autorun.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{65EB32EF-9081-4910-97DD-762E2F55E754}: NameServer = 192.168.1.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: FireDaemon Service: dll32 (dll32) - Unknown owner - C:\WINDOWS\system32\Xterm\FireDaemon.EXE (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Serv-U FTP Server (Serv-U) - Rhino Software, Inc. +1(262) 560-9627 - c:\windows\ServUDaemon.exe
O23 - Service: FireDaemon Service: smcss (smcss) - Unknown owner - C:\WINDOWS\system32\Xterm\FireDaemon.EXE (file missing)


J'AI mes droits!!!!!! c'est toujours ça de prix. J'attends ton verdict alors... franchement, j'aimerai bien savoir d'où ça vient ce truc là, et surtout comment tu fais pour déchiffrer tout ça!
19 Septembre 2007 22:41:57

Pour les droits, je m'en doutais. C'est marqué dans le rapport de Look2Me Destroyer
Citation :
Restoring SeDebugPrivilege for Administrateurs - Succeeded


On continue.
Copie (Ctrl+C) le texte ci-dessous :

File::
C:\WINDOWS\AutoUpdateWin31.dll
C:\WINDOWS\AutoUpdateWin32.exe
C:\WINDOWS\AutoUpdateWin33.exe
C:\WINDOWS\WindowsUpdates.exe
C:\WINDOWS\Di32.exe
C:\WINDOWS\system32\WinAvXX.exe
C:\WINDOWS\system32\printer.exe
C:\WINDOWS\system32\iexploree.exe
C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temp\pnicml.sys

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinAVX"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Internet Explorer 7"=-
"WinAVX"=-


Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précedemment copié.
Sauvegarde ce fichier sous le nom de CFScript.txt



Comme l'image le montre, fait glisser CFScript.txt sur Combofix.exe
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
19 Septembre 2007 23:14:00

Voici le résultat de ta demande:

"ComboFix 07-09-18.4 - "Compaq_Propri‚taire" 2007-09-19 23:01:54.2 - NTFSx86
Microsoft Windows XP dition familiale 5.1.2600.2.1252.1.1036.18.209 [GMT 2:00]
Command switches used :: C:\Documents and Settings\Compaq_Propri‚taire\Bureau\Enguerrand\CFScript.txt
* Created a new restore point

FILE::
C:\WINDOWS\AutoUpdateWin31.dll
C:\WINDOWS\AutoUpdateWin32.exe
C:\WINDOWS\AutoUpdateWin33.exe
C:\WINDOWS\WindowsUpdates.exe
C:\WINDOWS\Di32.exe
C:\WINDOWS\system32\WinAvXX.exe
C:\WINDOWS\system32\printer.exe
C:\WINDOWS\system32\iexploree.exe
C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temp\pnicml.sys
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\AutoUpdateWin31.dll
C:\WINDOWS\AutoUpdateWin32.exe
C:\WINDOWS\AutoUpdateWin33.exe
C:\WINDOWS\Di32.exe
C:\WINDOWS\system32\printer.exe
C:\WINDOWS\system32\WinAvXX.exe
C:\WINDOWS\WindowsUpdates.exe

.
((((((((((((((((((((((((( Files Created from 2007-08-19 to 2007-09-19 )))))))))))))))))))))))))))))))
.

2007-09-19 22:02 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-18 22:07 <REP> d-------- C:\Program Files\CCleaner
2007-09-18 22:03 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-09-18 21:55 2,924 --a------ C:\WINDOWS\system32\tmp.reg
2007-09-18 21:54 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-09-18 21:54 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-09-18 21:54 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-09-18 21:54 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-09-18 21:54 <REP> d-------- C:\DOCUME~1\COMPAQ~1\SmitfraudFix
2007-09-13 21:49 <REP> d-------- C:\DOCUME~1\COMPAQ~1\Contacts
2007-09-09 16:07 <REP> d-------- C:\Program Files\Profitville
2007-09-03 21:17 <REP> d-------- C:\Program Files\Lottso Deluxe
2007-09-03 21:10 <REP> d-------- C:\Program Files\Fichiers communs\DirectX
2007-09-03 21:06 <REP> d-------- C:\Program Files\WPC2
2007-09-03 21:06 <REP> d-------- C:\Program Files\Managed DirectX (0900)
2007-08-31 14:30 <REP> d-------- C:\Program Files\Activision Value
2007-08-23 14:01 <REP> d-------- C:\Program Files\Zylom Games
2007-08-23 14:01 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Zylom
2007-08-22 17:19 68,096 --a------ C:\WINDOWS\system32\Wbtrv32.dll
2007-08-22 17:19 43,008 --a------ C:\WINDOWS\system32\W32BTICM.DLL
2007-08-22 17:19 320,512 --a------ C:\WINDOWS\system32\W32MKDE.EXE
2007-08-22 17:19 110,080 --a------ C:\WINDOWS\system32\W32MKRC.DLL
2007-08-22 17:19 1,929,216 --a------ C:\WINDOWS\system32\cdintf250.dll
2007-08-22 17:19 <REP> d-------- C:\Program Files\EBP
2007-08-22 17:19 <REP> d-------- C:\EBP

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-19 22:58 --------- d-------- C:\Program Files\eMule
2007-09-19 22:06 --------- d-------- C:\Program Files\Bifrost
2007-09-18 23:04 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-09-13 21:49 --------- d-------- C:\Program Files\MSN Messenger
2007-08-31 16:18 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-08-31 10:55 --------- d-------- C:\Program Files\musik
2007-08-31 10:54 --------- d-------- C:\Program Files\film
2007-08-05 16:29 --------- d-------- C:\Program Files\Vstep
2007-08-05 16:27 --------- d-------- C:\Program Files\Pro Cycling Manager 2007
2007-08-05 16:11 --------- d-------- C:\Program Files\Anti-Blaxx2
2007-08-05 16:10 --------- d-------- C:\Program Files\Anti-Blaxx
2007-08-05 16:00 --------- d-------- C:\Program Files\Firaxis Games
2007-07-29 15:25 --------- d-------- C:\Program Files\SopCast
2007-07-21 21:50 --------- d-------- C:\Program Files\PROMT5
2006-10-25 22:29 0 --a------ C:\DOCUME~1\COMPAQ~1\84785_redworld2.exe
2006-10-18 16:17 0 --a------ C:\DOCUME~1\COMPAQ~1\84785_norton.exe
.

((((((((((((((((((((((((((((( snapshot_2007-09-19_221104.56 )))))))))))))))))))))))))))))))))))))))))
.
----a-w 64,172 2007-09-19 20:12:16 C:\WINDOWS\system32\perfc009.dat
----a-w 76,376 2007-09-19 20:12:16 C:\WINDOWS\system32\perfc00C.dat
----a-w 405,602 2007-09-19 20:12:16 C:\WINDOWS\system32\perfh009.dat
----a-w 470,040 2007-09-19 20:12:16 C:\WINDOWS\system32\perfh00C.dat
.
----a-w 64,172 2007-09-19 19:28:37 C:\WINDOWS\system32\perfc009.dat
----a-w 76,376 2007-09-19 19:28:37 C:\WINDOWS\system32\perfc00C.dat
----a-w 405,602 2007-09-19 19:28:37 C:\WINDOWS\system32\perfh009.dat
----a-w 470,040 2007-09-19 19:28:37 C:\WINDOWS\system32\perfh00C.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-08 05:05]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2005-05-05 01:21]
"PCDrProfiler"="" []
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPwuSchd2.exe" [2005-02-17 07:11]
"ThrustTSR"="C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe" [2003-04-02 05:13]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2005-12-09 08:30]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2005-12-10 16:57]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-02-24 20:36]
"KBD"="C:\HP\KBD\KBD.EXE" [2005-02-02 16:44]
"Lexmark X1100 Series"="C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 11:48]
"GrooveMonitor"="C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 01:47]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57]
"Anti-Blaxx Manager"="C:\Program Files\Anti-Blaxx2\Anti-Blaxx.exe" [2005-05-18 17:08]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]
"WinAVX"="C:\WINDOWS\system32\WinAvXX.exe" [2007-09-14 08:43]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2006-05-19 18:11]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 20:00]
"Internet Explorer 7"="iexploree.exe" []
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2007-05-16 09:27]
"WinAVX"="C:\WINDOWS\system32\WinAvXX.exe" [2007-09-14 08:43]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=1 (0x1)
"DisableTaskMgr"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=1 (0x1)
"DisableTaskMgr"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoControlPanel"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoControlPanel"=1 (0x1)
"NoWindowsUpdate"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Shell"="Explorer.exe C:\WINDOWS\system32\printer.exe"

R1 ISODrive;ISO CD-ROM Device Driver;\??\C:\Program Files\UltraISO\drivers\ISODrive.sys
R1 oreans32;oreans32;\??\C:\WINDOWS\system32\drivers\oreans32.sys
R2 Serv-U;Serv-U FTP Server;c:\windows\ServUDaemon.exe
R3 Pcatip;Pcatip;C:\WINDOWS\system32\DRIVERS\Pcatip.sys
R3 TMBUS;Thrustmapper Device Enumerator;C:\WINDOWS\system32\drivers\TMBUS.sys
R3 TMKEmu;Thrustmapper virtual Keyboard device driver;C:\WINDOWS\system32\drivers\TMKEmu.sys
R3 TMMEmu;Thrustmapper virtual Mouse device driver;C:\WINDOWS\system32\drivers\TMMEmu.sys
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
S2 dll32;FireDaemon Service: dll32;C:\WINDOWS\system32\Xterm\FireDaemon.EXE
S2 smcss;FireDaemon Service: smcss;C:\WINDOWS\system32\Xterm\FireDaemon.EXE
S3 CoachUsb;Coach Digital Camera on USB;C:\WINDOWS\system32\DRIVERS\CoachUsb.sys
S3 NuVision;Hauppauge WinTV USB Pro (PAL/SECAM);C:\WINDOWS\system32\DRIVERS\NUVision.sys
S3 pnicml;pnicml;\??\C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\pnicml.sys
S3 TMHidF;Thrustmaster FireStorm(TM) Wireless Gamepad HID Driver;C:\WINDOWS\system32\drivers\TMHidF.sys
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys
S4 Help Management;Help Management;C:\WINDOWS\system32\microsoft\Groups\Service.exe /name:"Help Management" /start:"C:\WINDOWS\system32\microsoft\Groups\helpmangr.exe"
S4 WinOwn;WinOwn;C:\recycler\dll\Service.exe /name:"WinOwn" /start:"winlogin.exe"


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cd12b4e2-14e2-11db-868a-0013d391db7a}]
AutoRun\command- O:\ecoburotic.exe

.
Contents of the 'Scheduled Tasks' folder
"2006-02-02 10:08:00 C:\WINDOWS\Tasks\Connexion facile à Internet.job"
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-19 23:07:09
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Internet Explorer 7 = iexploree.exe?

scanning hidden files ...

C:\WINDOWS\system32\WinAvXX.exe
C:\WINDOWS\system32\printer.exe

scan completed successfully
hidden files: 2

**************************************************************************
.
Completion time: 2007-09-19 23:10:46 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-09-19 23:10
C:\ComboFix2.txt ... 2007-09-19 22:12
.
--- E O F ---"

j'ai toujours mes droits et depuis que j'ai redémarré, le message de windows security alert n'est pas réapparu. pourvu que ça dure...
19 Septembre 2007 23:16:23

en fait, le message vient de réapparaitre....
20 Septembre 2007 21:10:36

Alors, voilà le rapport. J'ai fais le scann pour les emails, y a RAS.

Ensuite, j'ai fais le scan pour C:\Windows dont voici le résultat:

"KASPERSKY ON-LINE SCANNER REPORT
Thursday, September 20, 2007 3:52:51 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 20/09/2007
Enregistrements dans la base antivirus Kaspersky : 421143


Paramètres d'analyse
Analyser avec la base antivirus suivante étendue
Analyser les archives vrai
Analyser les bases de messagerie vrai

Cible de l'analyse Zones critiques
C:\WINDOWS
C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\

Statistiques de l'analyse
Total d'objets analysés 22385
Nombre de virus trouvés 9
Nombre d'objets infectés 9 / 0
Nombre d'objets suspects 0
Durée de l'analyse 00:20:54

Nom de l'objet infecté Nom du virus Dernière action
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\pw.exe Infecté : not-a-virus:p SWTool.Win32.Dialupass.f ignoré

C:\WINDOWS\pw1.exe Infecté : not-a-virus:p SWTool.Win32.MailPassView.130 ignoré

C:\WINDOWS\pw2.exe Infecté : not-a-virus:p SWTool.Win32.Messen.106 ignoré

C:\WINDOWS\pw3.exe Infecté : not-a-virus:p SWTool.Win32.PassView.b ignoré

C:\WINDOWS\pw4.exe Infecté : not-a-virus:p SWTool.Win32.NetPass.b ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\ServUTray.exe Infecté : not-a-virus:Server-FTP.Win32.Serv-U.6200 ignoré

C:\WINDOWS\SoftwareDistribution\EventCache\{6C9FD20C-E2E5-4D06-929C-5C1E6423CC1D}.bin L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edbtmp.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\drivers\atapi.sys L'objet est verrouillé ignoré

C:\WINDOWS\system32\drivers\dtscsi.sys L'objet est verrouillé ignoré

C:\WINDOWS\system32\drivers\etc\hosts Infecté : Trojan.Win32.Qhost.my ignoré

C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré

C:\WINDOWS\system32\drivers\sptd7741.sys L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\Microsoft\Groups\helpmangr.exe Infecté : not-a-virus:Server-FTP.Win32.Serv-U.5201 ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\xterm\smcss.exe Infecté : not-a-virus:Server-FTP.Win32.Serv-U.gen ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\fla312A.tmp L'objet est verrouillé ignoré

C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\~DF6339.tmp L'objet est verrouillé ignoré

Analyse terminée.
"

Puis un scan pour le Poste de Travail (Tous les disques soient le C et D):

"KASPERSKY ON-LINE SCANNER REPORT
Thursday, September 20, 2007 9:04:53 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 20/09/2007
Enregistrements dans la base antivirus Kaspersky : 421143


Paramètres d'analyse
Analyser avec la base antivirus suivante étendue
Analyser les archives vrai
Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\
L:\
M:\
O:\

Statistiques de l'analyse
Total d'objets analysés 123871
Nombre de virus trouvés 24
Nombre d'objets infectés 47 / 0
Nombre d'objets suspects 0
Durée de l'analyse 03:36:45

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\ocmhviq6.default\cert8.db L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\ocmhviq6.default\formhistory.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\ocmhviq6.default\history.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\ocmhviq6.default\key3.db L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\ocmhviq6.default\parent.lock L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\ocmhviq6.default\search.sqlite L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\ocmhviq6.default\urlclassifier2.sqlite L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Application Data\Skype\enguerrand81\call256.dbb L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Application Data\Skype\enguerrand81\chat512.dbb L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Application Data\Skype\enguerrand81\chatmsg1024.dbb L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Application Data\Skype\enguerrand81\chatmsg2048.dbb L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Application Data\Skype\enguerrand81\chatmsg256.dbb L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Application Data\Skype\enguerrand81\chatmsg4096.dbb L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Application Data\Skype\enguerrand81\chatmsg512.dbb L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Application Data\Skype\enguerrand81\chatmsg8192.dbb L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Application Data\Skype\enguerrand81\contactgroup256.dbb L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Application Data\Skype\enguerrand81\index2.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Application Data\Skype\enguerrand81\profile256.dbb L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Application Data\Skype\enguerrand81\transfer512.dbb L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Application Data\Skype\enguerrand81\user1024.dbb L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Application Data\Skype\enguerrand81\user16384.dbb L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Application Data\Skype\enguerrand81\user4096.dbb L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Application Data\Skype\enguerrand81\voicemail256.dbb L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\ZenScripT-1.16c.exe/data.rar/ZenScripT.exe Infecté : not-a-virus:Client-IRC.Win32.mIRC.616 ignoré

C:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\ZenScripT-1.16c.exe/data.rar Infecté : not-a-virus:Client-IRC.Win32.mIRC.616 ignoré

C:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\ZenScripT-1.16c.exe RarSFX: infecté - 2 ignoré

C:\Documents and Settings\Compaq_Propriétaire\Bureau\SmitfraudFix\Reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré

C:\Documents and Settings\Compaq_Propriétaire\Bureau\SmitfraudFix.exe/data.rar/SmitfraudFix/Reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré

C:\Documents and Settings\Compaq_Propriétaire\Bureau\SmitfraudFix.exe/data.rar Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré

C:\Documents and Settings\Compaq_Propriétaire\Bureau\SmitfraudFix.exe RarSFX: infecté - 2 ignoré

C:\Documents and Settings\Compaq_Propriétaire\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\ocmhviq6.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\ocmhviq6.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\ocmhviq6.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\ocmhviq6.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Historique\History.IE5\MSHist012007092020070921\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temp\~DF6339.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Compaq_Propriétaire\SmitfraudFix\Reboot.exe Infecté : not-a-virus:RiskTool.Win32.Reboot.f ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temp\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\hp\bin\KillWind.exe Infecté : not-a-virus:RiskTool.Win32.PsKill.p ignoré

C:\Program Files\DAEMON Tools\SetupDTSB.exe Infecté : not-a-virus:AdTool.Win32.WhenU.a ignoré

C:\Program Files\eMule\Incoming\Profitville v1.02.68 Winall Incl Keygen-Eclipse.zip/Profitville.v1.02.68.WinALL.Incl.Keygen-ECLiPSE/eclpvill.exe Infecté : Trojan-Dropper.Win32.Delf.xo ignoré

C:\Program Files\eMule\Incoming\Profitville v1.02.68 Winall Incl Keygen-Eclipse.zip/Profitville.v1.02.68.WinALL.Incl.Keygen-ECLiPSE/Profitville.v1.02.68.exe Infecté : Trojan-Dropper.Win32.Delf.xo ignoré

C:\Program Files\eMule\Incoming\Profitville v1.02.68 Winall Incl Keygen-Eclipse.zip RAR: infecté - 2 ignoré

C:\Program Files\VNC4\winvnc4.exe Infecté : not-a-virus:RemoteAdmin.Win32.WinVNC.4110 ignoré

C:\Program Files\VNC4\wm_hooks.dll Infecté : not-a-virus:RemoteAdmin.Win32.WinVNC.4 ignoré

C:\qoobox\Quarantine\C\WINDOWS\AutoUpdateWin31.dll.vir Infecté : not-a-virus:AdWare.Win32.Agent.bm ignoré

C:\qoobox\Quarantine\C\WINDOWS\AutoUpdateWin32.exe.vir Infecté : not-a-virus:AdWare.Win32.Agent.ed ignoré

C:\qoobox\Quarantine\C\WINDOWS\AutoUpdateWin33.exe.vir Infecté : not-a-virus:AdWare.Win32.Agent.bm ignoré

C:\qoobox\Quarantine\C\WINDOWS\system32\hldrrr.exe.vir Infecté : Trojan-Proxy.Win32.Mitglieder.ei ignoré

C:\qoobox\Quarantine\C\WINDOWS\WindowsUpdates.exe.vir Infecté : not-a-virus:AdWare.Win32.Agent.bm ignoré

C:\qoobox\Quarantine\C\WINDOWS\winlogon.exe.vir Infecté : Trojan-Proxy.Win32.Agent.kj ignoré

C:\RECYCLER\dll\crss.exe Infecté : Trojan-Downloader.Win32.Banload.cp ignoré

C:\RECYCLER\dll\winlogin.exe Infecté : not-a-virus:Client-IRC.Win32.mIRC.603 ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP623\A0091443.exe Infecté : not-a-virus:AdWare.Win32.Agent.ed ignoré

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP623\A0091444.dll Infecté : not-a-virus:AdWare.Win32.Agent.bm ignoré

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP623\A0091445.exe Infecté : not-a-virus:AdWare.Win32.Agent.bm ignoré

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP623\A0091446.exe Infecté : not-a-virus:AdWare.Win32.Agent.bm ignoré

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP640\A0093572.exe Infecté : Trojan-Dropper.Win32.Delf.xo ignoré

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP642\A0093608.exe Infecté : Trojan-Dropper.Win32.Delf.xo ignoré

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP642\A0093609.exe Infecté : Trojan-Dropper.Win32.Delf.xo ignoré

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP643\A0094678.exe Infecté : Backdoor.Win32.Rbot.dso ignoré

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP644\A0096696.exe Infecté : not-a-virus:RemoteAdmin.Win32.RA.3826 ignoré

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP645\A0096723.exe Infecté : Trojan-Proxy.Win32.Agent.kj ignoré

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP645\A0096725.exe Infecté : Trojan-Proxy.Win32.Mitglieder.ei ignoré

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP646\A0096859.dll Infecté : not-a-virus:AdWare.Win32.Agent.bm ignoré

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP646\A0096860.exe Infecté : not-a-virus:AdWare.Win32.Agent.ed ignoré

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP646\A0096861.exe Infecté : not-a-virus:AdWare.Win32.Agent.bm ignoré

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP646\A0096862.exe Infecté : not-a-virus:AdWare.Win32.Agent.bm ignoré

C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP646\change.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\pw.exe Infecté : not-a-virus:p SWTool.Win32.Dialupass.f ignoré

C:\WINDOWS\pw1.exe Infecté : not-a-virus:p SWTool.Win32.MailPassView.130 ignoré

C:\WINDOWS\pw2.exe Infecté : not-a-virus:p SWTool.Win32.Messen.106 ignoré

C:\WINDOWS\pw3.exe Infecté : not-a-virus:p SWTool.Win32.PassView.b ignoré

C:\WINDOWS\pw4.exe Infecté : not-a-virus:p SWTool.Win32.NetPass.b ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\ServUTray.exe Infecté : not-a-virus:Server-FTP.Win32.Serv-U.6200 ignoré

C:\WINDOWS\SoftwareDistribution\EventCache\{6C9FD20C-E2E5-4D06-929C-5C1E6423CC1D}.bin L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edbtmp.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\drivers\atapi.sys L'objet est verrouillé ignoré

C:\WINDOWS\system32\drivers\dtscsi.sys L'objet est verrouillé ignoré

C:\WINDOWS\system32\drivers\etc\hosts Infecté : Trojan.Win32.Qhost.my ignoré

C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré

C:\WINDOWS\system32\drivers\sptd7741.sys L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\Microsoft\Groups\helpmangr.exe Infecté : not-a-virus:Server-FTP.Win32.Serv-U.5201 ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\xterm\smcss.exe Infecté : not-a-virus:Server-FTP.Win32.Serv-U.gen ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

D:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP646\change.log L'objet est verrouillé ignoré

Analyse terminée.
"

En espérant que ça te parle... en tout cas, je suis bel et bien infecté. 9 virus d'un coté et 24 de l'autre, même si certain doivent être en doublon vu que la première analyse se retrouve surement dans la seconde.

20 Septembre 2007 23:07:07

Re


Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt....
Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve ci-dessous, et colle-la dans le cadre de gauche de OTMoveIt :p aste List of Files/Folders to be moved.

C:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\ZenScripT-1.16c.exe
C:\Documents and Settings\Compaq_Propriétaire\Bureau\SmitfraudFix
C:\Documents and Settings\Compaq_Propriétaire\Bureau\SmitfraudFix.exe
C:\Documents and Settings\Compaq_Propriétaire\SmitfraudFix
C:\Program Files\DAEMON Tools\SetupDTSB.exe
C:\Program Files\eMule\Incoming\Profitville v1.02.68 Winall Incl Keygen-Eclipse.zip
C:\RECYCLER\dll\crss.exe
C:\RECYCLER\dll\winlogin.exe
C:\WINDOWS\pw.exe
C:\WINDOWS\pw1.exe
C:\WINDOWS\pw2.exe
C:\WINDOWS\pw3.exe
C:\WINDOWS\pw4.exe
C:\WINDOWS\system32\drivers\etc\hosts
C:\WINDOWS\system32\Microsoft\Groups\helpmangr.exe
C:\WINDOWS\system32\xterm\smcss.exe


Clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.

Il te sera peut-être demander de redémarrer le PC pour achever la suppression. Si c'est le cas accepte par Yes.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
20 Septembre 2007 23:21:20

alors y a des dossiers qui se sont crées dans le répertoire C:\_OTMoveIt\MovedFiles.genre Documents and settings, programm files, recycler, windows, et y a un fichier qui correspond au résultat.

Je te mets donc ça, je sais pas si c'est ce que tu attends:

C:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\ZenScripT-1.16c.exe moved successfully.
C:\Documents and Settings\Compaq_Propriétaire\Bureau\SmitfraudFix moved successfully.
C:\Documents and Settings\Compaq_Propriétaire\Bureau\SmitfraudFix.exe moved successfully.
C:\Documents and Settings\Compaq_Propriétaire\SmitfraudFix moved successfully.
C:\Program Files\DAEMON Tools\SetupDTSB.exe moved successfully.
C:\Program Files\eMule\Incoming\Profitville v1.02.68 Winall Incl Keygen-Eclipse.zip moved successfully.
C:\RECYCLER\dll\crss.exe moved successfully.
C:\RECYCLER\dll\winlogin.exe moved successfully.
C:\WINDOWS\pw.exe moved successfully.
C:\WINDOWS\pw1.exe moved successfully.
C:\WINDOWS\pw2.exe moved successfully.
C:\WINDOWS\pw3.exe moved successfully.
C:\WINDOWS\pw4.exe moved successfully.
C:\WINDOWS\system32\drivers\etc\hosts moved successfully.
C:\WINDOWS\system32\Microsoft\Groups\helpmangr.exe moved successfully.
C:\WINDOWS\system32\xterm\smcss.exe moved successfully.

Created on 09/20/2007 23:17:11
20 Septembre 2007 23:21:59

et j'ai le message windows security alert qui vient de réapparaitre.
20 Septembre 2007 23:32:28

Re

As tu fais quelque chose de particulier ?

Télécharge SmitfraudFix de S!Ri ---> La version vient de changer.
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Tu le mets sur le Bureau.
Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1
Poste le rapport.
20 Septembre 2007 23:36:09

ben nan, j'ai pas fais qlque chose en particulier. Avant de débuter ce post, j'ai essayé de faire smitfraudix en 1 puis 2 puis g fais CCleaner.

mais comme ça marchait pas des masses, j'ai posté ici.

Sinon, voilà le rapport en option 1. Merci pour ton aide:

"SmitFraudFix v2.226

Rapport fait à 23:33:01,71, 20/09/2007
Executé à partir de C:\Documents and Settings\Compaq_Propri‚taire\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
c:\windows\ServUDaemon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\QuickTime\qttask.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Anti-Blaxx2\Anti-Blaxx.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\autorun.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\eMule\emule.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\printer.exe PRESENT !
C:\WINDOWS\system32\WinAvXX.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Compaq_Propri‚taire


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Compaq_Propri‚taire\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

C:\DOCUME~1\COMPAQ~1\MENUDM~1\PROGRA~1\DMARRA~1\system.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\COMPAQ~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 15.243.128.51
DNS Server Search Order: 15.243.160.51

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{65EB32EF-9081-4910-97DD-762E2F55E754}: NameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CS1\Services\Tcpip\..\{65EB32EF-9081-4910-97DD-762E2F55E754}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CS2\Services\Tcpip\..\{65EB32EF-9081-4910-97DD-762E2F55E754}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CS3\Services\Tcpip\..\{65EB32EF-9081-4910-97DD-762E2F55E754}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

"
20 Septembre 2007 23:40:36

C'est reparti.

Redémarre en mode sans échec.
Fais l'option 2 de Smitfraudfix.
Redémarre normalement et poste son rapport avec un nouveau Hijackthis.
20 Septembre 2007 23:58:39

Rapport Smitfraudix:

"SmitFraudFix v2.226

Rapport fait à 23:46:43,59, 20/09/2007
Executé à partir de C:\Documents and Settings\Compaq_Propri‚taire\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\printer.exe supprimé
C:\WINDOWS\system32\WinAvXX.exe supprimé
C:\DOCUME~1\COMPAQ~1\MENUDM~1\PROGRA~1\DMARRA~1\system.exe supprimé

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{65EB32EF-9081-4910-97DD-762E2F55E754}: NameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CS1\Services\Tcpip\..\{65EB32EF-9081-4910-97DD-762E2F55E754}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CS2\Services\Tcpip\..\{65EB32EF-9081-4910-97DD-762E2F55E754}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CS3\Services\Tcpip\..\{65EB32EF-9081-4910-97DD-762E2F55E754}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{DE246E2C-8697-44FE-A5BB-FA04D12D4DEC}: DhcpNameServer=15.243.128.51 15.243.160.51
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

"


Puis rapport d'HIJACKTHIS:

Logfile of HijackThis v1.99.1
Scan saved at 23:58:24, on 20/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\QuickTime\qttask.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\Anti-Blaxx2\Anti-Blaxx.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
c:\windows\ServUDaemon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\autorun.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Antipub\antipub.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\eMule\emule.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\HijackThis.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [ThrustTSR] C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Program Files\Anti-Blaxx2\Anti-Blaxx.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Internet Explorer 7] iexploree.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
O4 - Startup: system.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: autorun.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{65EB32EF-9081-4910-97DD-762E2F55E754}: NameServer = 192.168.1.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: FireDaemon Service: dll32 (dll32) - Unknown owner - C:\WINDOWS\system32\Xterm\FireDaemon.EXE (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Serv-U FTP Server (Serv-U) - Rhino Software, Inc. +1(262) 560-9627 - c:\windows\ServUDaemon.exe
O23 - Service: FireDaemon Service: smcss (smcss) - Unknown owner - C:\WINDOWS\system32\Xterm\FireDaemon.EXE (file missing)
21 Septembre 2007 00:11:20

On continue.

Double clique combofix.exe et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra.

Copie/colle ce rapport dans ta prochaine réponse avec un nouveau HijackThis.
21 Septembre 2007 00:20:50

Rapport de Combo:

ComboFix 07-09-18.4 - "Compaq_Propri‚taire" 2007-09-21 0:13:55.3 - NTFSx86
Microsoft Windows XP dition familiale 5.1.2600.2.1252.1.1036.18.116 [GMT 2:00]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\printer.exe
C:\WINDOWS\system32\WinAvXX.exe

.
((((((((((((((((((((((((((((( Fichiers créés 2007-08-20 to 2007-09-20 ))))))))))))))))))))))))))))))))))))
.

2007-09-20 12:49 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-09-19 22:02 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-18 22:07 <REP> d-------- C:\Program Files\CCleaner
2007-09-18 22:03 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-09-18 21:55 2,924 --a------ C:\WINDOWS\system32\tmp.reg
2007-09-18 21:54 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-09-18 21:54 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-09-18 21:54 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-09-18 21:54 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-09-13 21:49 <REP> d-------- C:\DOCUME~1\COMPAQ~1\Contacts
2007-09-09 16:07 <REP> d-------- C:\Program Files\Profitville
2007-09-03 21:17 <REP> d-------- C:\Program Files\Lottso Deluxe
2007-09-03 21:10 <REP> d-------- C:\Program Files\Fichiers communs\DirectX
2007-09-03 21:06 <REP> d-------- C:\Program Files\WPC2
2007-09-03 21:06 <REP> d-------- C:\Program Files\Managed DirectX (0900)
2007-08-31 14:30 <REP> d-------- C:\Program Files\Activision Value
2007-08-23 14:01 <REP> d-------- C:\Program Files\Zylom Games
2007-08-23 14:01 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Zylom
2007-08-22 17:19 68,096 --a------ C:\WINDOWS\system32\Wbtrv32.dll
2007-08-22 17:19 43,008 --a------ C:\WINDOWS\system32\W32BTICM.DLL
2007-08-22 17:19 320,512 --a------ C:\WINDOWS\system32\W32MKDE.EXE
2007-08-22 17:19 110,080 --a------ C:\WINDOWS\system32\W32MKRC.DLL
2007-08-22 17:19 1,929,216 --a------ C:\WINDOWS\system32\cdintf250.dll
2007-08-22 17:19 <REP> d-------- C:\Program Files\EBP
2007-08-22 17:19 <REP> d-------- C:\EBP

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-20 23:55 --------- d-------- C:\Program Files\eMule
2007-09-20 23:17 --------- d-------- C:\Program Files\DAEMON Tools
2007-09-19 22:06 --------- d-------- C:\Program Files\Bifrost
2007-09-18 23:04 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-09-13 21:49 --------- d-------- C:\Program Files\MSN Messenger
2007-08-31 16:18 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-08-31 10:55 --------- d-------- C:\Program Files\musik
2007-08-31 10:54 --------- d-------- C:\Program Files\film
2007-08-05 16:29 --------- d-------- C:\Program Files\Vstep
2007-08-05 16:11 --------- d-------- C:\Program Files\Anti-Blaxx2
2007-08-05 16:10 --------- d-------- C:\Program Files\Anti-Blaxx
2007-08-05 16:00 --------- d-------- C:\Program Files\Firaxis Games
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\dllcache\cdm.dll
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\dllcache\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\dllcache\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\dllcache\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\dllcache\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\dllcache\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\dllcache\wups.dll
2007-07-29 15:25 --------- d-------- C:\Program Files\SopCast
2007-07-21 21:50 --------- d-------- C:\Program Files\PROMT5
2007-06-26 16:12 663040 --a------ C:\WINDOWS\system32\dllcache\wininet.dll
2007-06-26 15:56 851968 --a------ C:\WINDOWS\system32\dllcache\vgx.dll
2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\dllcache\msxml3.dll
2006-10-25 22:29 0 --a------ C:\DOCUME~1\COMPAQ~1\84785_redworld2.exe
2006-10-18 16:17 0 --a------ C:\DOCUME~1\COMPAQ~1\84785_norton.exe
.

((((((((((((((((((((((((((((( snapshot_2007-09-19_221104.56 )))))))))))))))))))))))))))))))))))))))))
.
----a-w 64,172 2007-09-20 21:58:27 C:\WINDOWS\system32\perfc009.dat
----a-w 76,376 2007-09-20 21:58:27 C:\WINDOWS\system32\perfc00C.dat
----a-w 405,602 2007-09-20 21:58:27 C:\WINDOWS\system32\perfh009.dat
----a-w 470,040 2007-09-20 21:58:27 C:\WINDOWS\system32\perfh00C.dat
----a-w 213,048 2005-05-16 17:34:48 C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavss.dll
----a-w 65,536 2006-03-20 11:17:24 C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe
----a-w 798,720 2006-03-20 11:17:20 C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll
.
----a-w 64,172 2007-09-19 19:28:37 C:\WINDOWS\system32\perfc009.dat
----a-w 76,376 2007-09-19 19:28:37 C:\WINDOWS\system32\perfc00C.dat
----a-w 405,602 2007-09-19 19:28:37 C:\WINDOWS\system32\perfh009.dat
----a-w 470,040 2007-09-19 19:28:37 C:\WINDOWS\system32\perfh00C.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-08 05:05]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2005-05-05 01:21]
"PCDrProfiler"="" []
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPwuSchd2.exe" [2005-02-17 07:11]
"ThrustTSR"="C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe" [2003-04-02 05:13]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2005-12-09 08:30]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2005-12-10 16:57]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-02-24 20:36]
"KBD"="C:\HP\KBD\KBD.EXE" [2005-02-02 16:44]
"Lexmark X1100 Series"="C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 11:48]
"GrooveMonitor"="C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 01:47]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57]
"Anti-Blaxx Manager"="C:\Program Files\Anti-Blaxx2\Anti-Blaxx.exe" [2005-05-18 17:08]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2006-05-19 18:11]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 20:00]
"Internet Explorer 7"="iexploree.exe" []
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2007-05-16 09:27]

R1 ISODrive;ISO CD-ROM Device Driver;\??\C:\Program Files\UltraISO\drivers\ISODrive.sys
R1 oreans32;oreans32;\??\C:\WINDOWS\system32\drivers\oreans32.sys
R2 Serv-U;Serv-U FTP Server;c:\windows\ServUDaemon.exe
R3 Pcatip;Pcatip;C:\WINDOWS\system32\DRIVERS\Pcatip.sys
R3 TMBUS;Thrustmapper Device Enumerator;C:\WINDOWS\system32\drivers\TMBUS.sys
R3 TMKEmu;Thrustmapper virtual Keyboard device driver;C:\WINDOWS\system32\drivers\TMKEmu.sys
R3 TMMEmu;Thrustmapper virtual Mouse device driver;C:\WINDOWS\system32\drivers\TMMEmu.sys
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
S2 dll32;FireDaemon Service: dll32;C:\WINDOWS\system32\Xterm\FireDaemon.EXE
S2 smcss;FireDaemon Service: smcss;C:\WINDOWS\system32\Xterm\FireDaemon.EXE
S3 CoachUsb;Coach Digital Camera on USB;C:\WINDOWS\system32\DRIVERS\CoachUsb.sys
S3 NuVision;Hauppauge WinTV USB Pro (PAL/SECAM);C:\WINDOWS\system32\DRIVERS\NUVision.sys
S3 pnicml;pnicml;\??\C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\pnicml.sys
S3 TMHidF;Thrustmaster FireStorm(TM) Wireless Gamepad HID Driver;C:\WINDOWS\system32\drivers\TMHidF.sys
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys
S4 Help Management;Help Management;C:\WINDOWS\system32\microsoft\Groups\Service.exe /name:"Help Management" /start:"C:\WINDOWS\system32\microsoft\Groups\helpmangr.exe"
S4 WinOwn;WinOwn;C:\recycler\dll\Service.exe /name:"WinOwn" /start:"winlogin.exe"


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cd12b4e2-14e2-11db-868a-0013d391db7a}]
AutoRun\command- O:\ecoburotic.exe

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2006-02-02 10:08:00 C:\WINDOWS\Tasks\Connexion facile à Internet.job"
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-21 00:17:23
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Internet Explorer 7 = iexploree.exe?

scanning hidden files ...

**************************************************************************
.
Completion time: 2007-09-21 0:18:43
C:\ComboFix-quarantined-files.txt ... 2007-09-21 00:18
C:\ComboFix2.txt ... 2007-09-19 23:10
C:\ComboFix3.txt ... 2007-09-19 22:12
.
--- E O F ---


Rapport Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 00:19:57, on 21/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\QuickTime\qttask.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\Anti-Blaxx2\Anti-Blaxx.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
c:\windows\ServUDaemon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\autorun.exe
C:\Program Files\Antipub\antipub.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [ThrustTSR] C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Program Files\Anti-Blaxx2\Anti-Blaxx.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Internet Explorer 7] iexploree.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
O4 - Startup: system.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: autorun.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{65EB32EF-9081-4910-97DD-762E2F55E754}: NameServer = 192.168.1.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: FireDaemon Service: dll32 (dll32) - Unknown owner - C:\WINDOWS\system32\Xterm\FireDaemon.EXE (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Serv-U FTP Server (Serv-U) - Rhino Software, Inc. +1(262) 560-9627 - c:\windows\ServUDaemon.exe
O23 - Service: FireDaemon Service: smcss (smcss) - Unknown owner - C:\WINDOWS\system32\Xterm\FireDaemon.EXE (file missing)


J'vé me piauter, t'es pas obligé de répondre ce soir... encore merci, c'est sympa.
21 Septembre 2007 00:37:43

Re

$$ Télécharge SDFix sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.e...


$$ Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.


$$ Double clique sur SDFix.exe et choisis Install
Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
Tape Y pour lancer le script.
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire
Presse une touche pour redémarrer

Le PC va mettre du temps avant de démarrer, presse une touche lorsque "Finished" s'affiche

Ouvre le dossier SDFix et copie/colle ici le contenu du fichier "Report.txt" avec un nouveau HijackThis.
21 Septembre 2007 13:02:40

voici donc le rapport de SDFIX:

"SDFix: Version 1.106

Run by Compaq_Propri‚taire on 21/09/2007 at 11:57

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\COMPAQ~1\Bureau\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\system32\i - Deleted


Folder C:\Program Files\Bifrost - Removed

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------

File Backups: - C:\DOCUME~1\COMPAQ~1\Bureau\SDFix\backups\backups.zip

Files with Hidden Attributes:

C:\Documents and Settings\Compaq_Propri‚taire\Application Data\ABSOLUTIST.com\HTML\Thumbs.db
C:\Program Files\Absolutist.com\HTML\Thumbs.db
C:\Program Files\musik\Madonna - Confessions On A Dance Floor (2005) - Pop [www.torrentazos.com]\AlbumArtSmall.jpg
C:\Program Files\musik\Madonna - Confessions On A Dance Floor (2005) - Pop [www.torrentazos.com]\AlbumArt_{F8A0753E-88CC-4794-8662-8CAF9C6E1156}_Large.jpg
C:\Program Files\musik\Madonna - Confessions On A Dance Floor (2005) - Pop [www.torrentazos.com]\AlbumArt_{F8A0753E-88CC-4794-8662-8CAF9C6E1156}_Small.jpg
C:\Program Files\musik\Madonna - Confessions On A Dance Floor (2005) - Pop [www.torrentazos.com]\desktop.ini
C:\Program Files\musik\Madonna - Confessions On A Dance Floor (2005) - Pop [www.torrentazos.com]\Folder.jpg
C:\Program Files\Picasa2\setup.exe
C:\Documents and Settings\Compaq_Propri‚taire\Bureau\Enguerrand\emploi\~WRL3546.tmp
C:\WINDOWS\system32\config\SAM.tmp.LOG
C:\WINDOWS\system32\config\SECURITY.tmp.LOG

Finished!
"


Puis un rapport HIJACKTHIS:

"Logfile of HijackThis v1.99.1
Scan saved at 13:01:19, on 21/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
c:\windows\ServUDaemon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\QuickTime\qttask.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\Anti-Blaxx2\Anti-Blaxx.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\autorun.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Antipub\antipub.exe
C:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [ThrustTSR] C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Program Files\Anti-Blaxx2\Anti-Blaxx.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Internet Explorer 7] iexploree.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
O4 - Startup: system.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: autorun.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{65EB32EF-9081-4910-97DD-762E2F55E754}: NameServer = 192.168.1.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: FireDaemon Service: dll32 (dll32) - Unknown owner - C:\WINDOWS\system32\Xterm\FireDaemon.EXE (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Serv-U FTP Server (Serv-U) - Rhino Software, Inc. +1(262) 560-9627 - c:\windows\ServUDaemon.exe
O23 - Service: FireDaemon Service: smcss (smcss) - Unknown owner - C:\WINDOWS\system32\Xterm\FireDaemon.EXE (file missing)

"
apparemment, il a du mal à supprimer le printer.exe... j'sais pas c'que c'est que ce truc...

Pour le moment, le message n'apparait pas. Je te dirai si je le vois. (sachant que je m'absente jusqu'à 16h30 environ).

J'espère que ces deux rapports t'aideront!

@++

21 Septembre 2007 15:45:48

le foutu message est toujours là... j'ai l'impression que y a plus que ça qui loose.

avant au démarrage, j'avais 2-3 fenêtres qui s'ouvraient genre FIRE DAEMON, ou encore IEXPLORER avec des erreurs, là y a plus ça.. et j'ai toujours bien mes droits admin.

21 Septembre 2007 21:51:32

ptain, j'viens de voir que je peux pas rentrer dans Ajout/suppression de programmes. J'arrive à rentrer ds panneau de configuration, mais c'est tout... snifff
22 Septembre 2007 00:03:30

Re


Relance un scan HijackThis et coche les lignes ci-dessous :

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKCU\..\Run: [Internet Explorer 7] iexploree.exe
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: FireDaemon Service: dll32 (dll32) - Unknown owner - C:\WINDOWS\system32\Xterm\FireDaemon.EXE (file missing)
O23 - Service: FireDaemon Service: smcss (smcss) - Unknown owner - C:\WINDOWS\system32\Xterm\FireDaemon.EXE (file missing)

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »


Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve ci-dessous, et colle-la dans le cadre de gauche de OTMoveIt :p aste List of Files/Folders to be moved.

C:\WINDOWS\system32\printer.exe
C:\WINDOWS\system32\WinAvXX.exe
C:\WINDOWS\system32\Xterm\FireDaemon.EXE
C:\WINDOWS\system32\iexploree.exe


Clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.

Il te sera peut-être demander de redémarrer le PC pour achever la suppression. Si c'est le cas accepte par Yes.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles avec un nouveau Hijackthis.
22 Septembre 2007 10:12:15

Bon, après avoir coché les cases et clické sur FIX CHECKED, un message me dit que le nettoyage du registre a été désactivé par l'admin... en gros (à voir avec le rapport), j'suis pas sur qu'il ait bien "FIXé" tout ce qu'il fallait...

Enfin, voici le rapport de OTMoveIt: (il ne m'a pas demandé de redémarrer):

"C:\WINDOWS\system32\printer.exe moved successfully.
C:\WINDOWS\system32\WinAvXX.exe moved successfully.
File/Folder C:\WINDOWS\system32\Xterm\FireDaemon.EXE not found.
File/Folder C:\WINDOWS\system32\iexploree.exe not found.

Created on 09/22/2007 10:07:21"

Puis le HIJACKTHIS:

Logfile of HijackThis v1.99.1
Scan saved at 10:10:13, on 22/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
c:\windows\ServUDaemon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\Anti-Blaxx2\Anti-Blaxx.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Antipub\antipub.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ThrustTSR] C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Program Files\Anti-Blaxx2\Anti-Blaxx.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: autorun.exe
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{65EB32EF-9081-4910-97DD-762E2F55E754}: NameServer = 192.168.1.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: FireDaemon Service: dll32 (dll32) - Unknown owner - C:\WINDOWS\system32\Xterm\FireDaemon.EXE (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Serv-U FTP Server (Serv-U) - Rhino Software, Inc. +1(262) 560-9627 - c:\windows\ServUDaemon.exe
O23 - Service: FireDaemon Service: smcss (smcss) - Unknown owner - C:\WINDOWS\system32\Xterm\FireDaemon.EXE (file missing)

"


Voilà... hé ouai, j'ai encore ce foutu smcss... c'est vraiment l'hallu!

(et je ne peux toujours pas accèder à Ajout/suppression de programmes). Je vais redémarrer voir si ça change qlue chose, si c'est le cas, je te le dirai. Sinon, c'est que j'y arrive toujours pas.

Bon courage, et une nouvelle fois, MERCI!!!
22 Septembre 2007 10:27:25

Bon, ben j'ai redémarré, et mon panneau de configuration a de nouveau disparu. Qd je fais ALT CTRL SUPPR, j'ai des restrictions de l'admin( moi)... donc impossible d'ouvrir la fenêtre. Par contre le message du spyware "windows security alert" n'a pas l'air de revenir... je confirmerai ou infirmerai un peu plus tard.. on ne sait jamais.

Deux questions: lorsque je redémarre en mode sans échec, j'ai le choix entre ma session et celle de l'admin. Pour faire les manips que tu m'as demandé de faire, j'suis rentré dans ma session. Fallait-il rentrer ds la session admin?

Ensuite pour smitfraudix, qd je choisis l'option 2, j'ai seulement comme question"Voulez vous nettoyer le registre", je fais OUI. Il me nettoie et m'ouvre la petite fenêtre bien connu qd on nettoie le disque C. Mais je n'ai pas d'autres questions...

Voilà pour ces détails.
22 Septembre 2007 10:28:42

nan, c'était trop beau, le message du spam est réapparu...

ptain, c'est super frustrant. J'ai l'impression que ce que tu me dis de faire est efficace et pourtant, ça résiste. Y a surement un truc que je fais mal, c'est po possible!

22 Septembre 2007 12:40:24

Bonjour


Clique sur le bouton Démarrer puis sur Exécuter
Dans le champ Ouvrir, saisis la commande services.msc puis clique sur le bouton OK.
Double clique sur FireDaemon Service: smcss dans la fenêtre des services
Clique sur le bouton Arrêter
Déroule la liste Type de démarrage puis choisis Désactivé
Valide enfin par OK

Recommence avec FireDaemon Service: dll32

Redémarre le PC.

Poste ces deux rapports.

$$ Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.
https://europe.f-secure.com/blacklight/try.shtml
Clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

Double-clique fsbl.exe et accepte la licence; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse.


$$ Télécharge clean.zip
http://www.malekal.com/download/clean.zip
Décompresse le sur ton bureau
Double-clic sur clean qui se trouve dans le dossier clean.
Choisis l'option 1
Un rapport va etre généré, colle le contenu entier ici.
22 Septembre 2007 16:30:55

bonjour,


Alors, j'ai pas pu clické sur "arrêter" pour les 2 firedaemon, tout était en grisé sauf "démarrer". Je n'ai donc pu faire que "désactiver" dans le menu deroulant. J'ai redémarré et aucun rapport n'ait apparu...

Je suis en train d'exécuter Blacklight, je te mets le rapport dès que je l'ai avec celui de Clean.
22 Septembre 2007 16:46:02

bon, alors, c'est une fois de plus assez hallucinant. FSBL ne m'a trouvé aucun fichier (0 items found...)

je te colle le rapport:

09/22/07 16:28:25 [Info]: BlackLight Engine 1.0.64 initialized
09/22/07 16:28:25 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/22/07 16:28:25 [Note]: 7019 4
09/22/07 16:28:25 [Note]: 7005 0
09/22/07 16:28:28 [Note]: 7006 0
09/22/07 16:28:28 [Note]: 7011 1660
09/22/07 16:28:28 [Note]: 7026 0
09/22/07 16:28:28 [Note]: 7026 0
09/22/07 16:28:34 [Note]: FSRAW library version 1.7.1022
09/22/07 16:42:47 [Note]: 2000 1012
09/22/07 16:43:18 [Note]: 7007 0


Puis le rapport de Clean:

"22/09/2007 a 16:44:25,62

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\
C:\WINDOWS\ALCXMNTR.EXE FOUND

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\ide21201.vxd FOUND
C:\WINDOWS\system32\printer.exe FOUND
C:\WINDOWS\system32\WinAvXX.exe FOUND

*** Recherche des fichiers dans C:\Program Files
"C:\Program Files\Media Access\" FOUND
*** Fin du rapport !
"


on retrouve mes potes printer et winavxx.... :( 

bon courage et merci!
22 Septembre 2007 16:46:52

j'ai tjrs le même message et le panneau de configuration n'est pas revenu. Mais je n'ai pas redémarré après avoir exécuté CLEAN.

j'attends tes instructions, si tu en as.

merci
22 Septembre 2007 17:03:30

Redémarre en mode sans échec.


Relance clean mais choisis cette fois l'option 2
Enregistre le rapport une fois le scan terminé.


Redémarre normalement.


Double clique combofix.exe et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra.

Copie/colle ce rapport dans ta prochaine réponse avec un nouveau HijackThis et le rapport qui se trouve ici C:\rapport_clean.txt
22 Septembre 2007 17:28:12

alors voici les rapports. J'ai retrouvé l'icone "panneau de conf", j'arrive à y rentrer mais impossible d'entrer dans "ajout/suppr de prog".

Voici donc le rapport de CLEAN:

"Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 22/09/2007 a 17:12:10,98

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\
tentative de suppression de C:\WINDOWS\ALCXMNTR.EXE

*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\WINDOWS\system32\ide21201.vxd
tentative de suppression de C:\WINDOWS\system32\printer.exe
Impossible de supprimer C:\WINDOWS\system32\printer.exe
tentative de suppression de C:\WINDOWS\system32\WinAvXX.exe

*** Suppression des fichiers dans C:\Program Files
tentative de suppression de "C:\Program Files\Media Access\"

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !
"

Et voici celui de Combofix:

"ComboFix 07-09-18.4 - "Compaq_Propri‚taire" 2007-09-22 17:17:36.4 - NTFSx86 MINIMAL
Microsoft Windows XP dition familiale 5.1.2600.2.1252.1.1036.18.322 [GMT 2:00]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\printer.exe

.
((((((((((((((((((((((((((((( Fichiers créés 2007-08-22 to 2007-09-22 ))))))))))))))))))))))))))))))))))))
.

2007-09-21 11:54 <REP> d-------- C:\WINDOWS\ERUNT
2007-09-20 12:49 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-09-19 22:02 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-18 22:07 <REP> d-------- C:\Program Files\CCleaner
2007-09-18 22:03 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-09-18 21:55 2,924 --a------ C:\WINDOWS\system32\tmp.reg
2007-09-18 21:54 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-09-18 21:54 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-09-18 21:54 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-09-18 21:54 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-09-13 21:49 <REP> d-------- C:\DOCUME~1\COMPAQ~1\Contacts
2007-09-09 16:07 <REP> d-------- C:\Program Files\Profitville
2007-09-03 21:17 <REP> d-------- C:\Program Files\Lottso Deluxe
2007-09-03 21:10 <REP> d-------- C:\Program Files\Fichiers communs\DirectX
2007-09-03 21:06 <REP> d-------- C:\Program Files\WPC2
2007-09-03 21:06 <REP> d-------- C:\Program Files\Managed DirectX (0900)
2007-08-31 14:30 <REP> d-------- C:\Program Files\Activision Value
2007-08-23 14:01 <REP> d-------- C:\Program Files\Zylom Games
2007-08-23 14:01 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Zylom
2007-08-22 17:19 68,096 --a------ C:\WINDOWS\system32\Wbtrv32.dll
2007-08-22 17:19 43,008 --a------ C:\WINDOWS\system32\W32BTICM.DLL
2007-08-22 17:19 320,512 --a------ C:\WINDOWS\system32\W32MKDE.EXE
2007-08-22 17:19 110,080 --a------ C:\WINDOWS\system32\W32MKRC.DLL
2007-08-22 17:19 1,929,216 --a------ C:\WINDOWS\system32\cdintf250.dll
2007-08-22 17:19 <REP> d-------- C:\Program Files\EBP
2007-08-22 17:19 <REP> d-------- C:\EBP

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-22 00:22 --------- d-------- C:\Program Files\eMule
2007-09-20 23:17 --------- d-------- C:\Program Files\DAEMON Tools
2007-09-18 23:04 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-09-13 21:49 --------- d-------- C:\Program Files\MSN Messenger
2007-08-31 16:18 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-08-31 10:55 --------- d-------- C:\Program Files\musik
2007-08-31 10:54 --------- d-------- C:\Program Files\film
2007-08-05 16:29 --------- d-------- C:\Program Files\Vstep
2007-08-05 16:11 --------- d-------- C:\Program Files\Anti-Blaxx2
2007-08-05 16:10 --------- d-------- C:\Program Files\Anti-Blaxx
2007-08-05 16:00 --------- d-------- C:\Program Files\Firaxis Games
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\dllcache\cdm.dll
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\dllcache\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\dllcache\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\dllcache\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\dllcache\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\dllcache\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\dllcache\wups.dll
2007-07-29 15:25 --------- d-------- C:\Program Files\SopCast
2007-06-26 16:12 663040 --a------ C:\WINDOWS\system32\dllcache\wininet.dll
2007-06-26 15:56 851968 --a------ C:\WINDOWS\system32\dllcache\vgx.dll
2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\dllcache\msxml3.dll
2006-10-25 22:29 0 --a------ C:\DOCUME~1\COMPAQ~1\84785_redworld2.exe
2006-10-18 16:17 0 --a------ C:\DOCUME~1\COMPAQ~1\84785_norton.exe
.

((((((((((((((((((((((((((((( snapshot_2007-09-19_221104.56 )))))))))))))))))))))))))))))))))))))))))
.
----a-w 163,328 2007-09-19 21:46:25 C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
----a-w 5,402,624 2007-09-21 09:55:37 C:\WINDOWS\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
----a-w 196,608 2007-09-21 09:55:37 C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
----a-w 163,328 2007-09-19 21:46:25 C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
----a-w 5,402,624 2007-09-21 09:54:52 C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT
----a-w 196,608 2007-09-21 09:54:52 C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
----a-w 50,620 2001-08-18 11:00:00 C:\WINDOWS\system32\command.com
----a-w 64,036 2007-09-22 15:14:46 C:\WINDOWS\system32\perfc009.dat
----a-w 76,136 2007-09-22 15:14:46 C:\WINDOWS\system32\perfc00C.dat
----a-w 405,466 2007-09-22 15:14:46 C:\WINDOWS\system32\perfh009.dat
----a-w 469,622 2007-09-22 15:14:46 C:\WINDOWS\system32\perfh00C.dat
----a-w 213,048 2005-05-16 17:34:48 C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavss.dll
----a-w 65,536 2006-03-20 11:17:24 C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe
----a-w 798,720 2006-03-20 11:17:20 C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll
.
----a-w 52,103 2004-08-05 12:00:00 C:\WINDOWS\system32\command.com
----a-w 64,172 2007-09-19 19:28:37 C:\WINDOWS\system32\perfc009.dat
----a-w 76,376 2007-09-19 19:28:37 C:\WINDOWS\system32\perfc00C.dat
----a-w 405,602 2007-09-19 19:28:37 C:\WINDOWS\system32\perfh009.dat
----a-w 470,040 2007-09-19 19:28:37 C:\WINDOWS\system32\perfh00C.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-08 05:05]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2005-05-05 01:21]
"PCDrProfiler"="" []
"ThrustTSR"="C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe" [2003-04-02 05:13]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2005-12-10 16:57]
"KBD"="C:\HP\KBD\KBD.EXE" [2005-02-02 16:44]
"Lexmark X1100 Series"="C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 11:48]
"GrooveMonitor"="C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 01:47]
"Anti-Blaxx Manager"="C:\Program Files\Anti-Blaxx2\Anti-Blaxx.exe" [2005-05-18 17:08]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2006-05-19 18:11]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 20:00]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2007-05-16 09:27]

R3 Pcatip;Pcatip;C:\WINDOWS\system32\DRIVERS\Pcatip.sys
R3 TMBUS;Thrustmapper Device Enumerator;C:\WINDOWS\system32\drivers\TMBUS.sys
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
S1 ISODrive;ISO CD-ROM Device Driver;\??\C:\Program Files\UltraISO\drivers\ISODrive.sys
S1 oreans32;oreans32;\??\C:\WINDOWS\system32\drivers\oreans32.sys
S2 Serv-U;Serv-U FTP Server;c:\windows\ServUDaemon.exe
S3 CoachUsb;Coach Digital Camera on USB;C:\WINDOWS\system32\DRIVERS\CoachUsb.sys
S3 NuVision;Hauppauge WinTV USB Pro (PAL/SECAM);C:\WINDOWS\system32\DRIVERS\NUVision.sys
S3 pnicml;pnicml;\??\C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\pnicml.sys
S3 TMHidF;Thrustmaster FireStorm(TM) Wireless Gamepad HID Driver;C:\WINDOWS\system32\drivers\TMHidF.sys
S3 TMKEmu;Thrustmapper virtual Keyboard device driver;C:\WINDOWS\system32\drivers\TMKEmu.sys
S3 TMMEmu;Thrustmapper virtual Mouse device driver;C:\WINDOWS\system32\drivers\TMMEmu.sys
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys
S4 dll32;FireDaemon Service: dll32;C:\WINDOWS\system32\Xterm\FireDaemon.EXE
S4 Help Management;Help Management;C:\WINDOWS\system32\microsoft\Groups\Service.exe /name:"Help Management" /start:"C:\WINDOWS\system32\microsoft\Groups\helpmangr.exe"
S4 smcss;FireDaemon Service: smcss;C:\WINDOWS\system32\Xterm\FireDaemon.EXE
S4 WinOwn;WinOwn;C:\recycler\dll\Service.exe /name:"WinOwn" /start:"winlogin.exe"


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cd12b4e2-14e2-11db-868a-0013d391db7a}]
AutoRun\command- O:\ecoburotic.exe

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2006-02-02 10:08:00 C:\WINDOWS\Tasks\Connexion facile à Internet.job"
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-22 17:19:40
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

**************************************************************************
.
Completion time: 2007-09-22 17:21:08
C:\ComboFix-quarantined-files.txt ... 2007-09-22 17:20
C:\ComboFix2.txt ... 2007-09-21 00:18
C:\ComboFix3.txt ... 2007-09-19 23:10
.
--- E O F ---
"

puis un ptit HIJACKTHIS:

"Logfile of HijackThis v1.99.1
Scan saved at 17:27:44, on 22/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Anti-Blaxx2\Anti-Blaxx.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
c:\windows\ServUDaemon.exe
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\autorun.exe
C:\Program Files\Antipub\antipub.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ThrustTSR] C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Program Files\Anti-Blaxx2\Anti-Blaxx.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
O4 - Startup: system.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: autorun.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{65EB32EF-9081-4910-97DD-762E2F55E754}: NameServer = 192.168.1.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Serv-U FTP Server (Serv-U) - Rhino Software, Inc. +1(262) 560-9627 - c:\windows\ServUDaemon.exe

"

Voili voilou.. j'suis désolé de te pourrir ton samedi...
22 Septembre 2007 17:29:12

... et j'ai toujours le message de spam
22 Septembre 2007 18:05:29

Les fichiers infectieux sont toujours visibles.

Télécharge DiagHelp.zip (de Malekal_Morte) sur ton bureau
http://www.malekal.com/download/DiagHelp.zip
- Fais un clic droit sur le fichier et extraire tout
- Un nouveau dossier chercher va être créé DiagHelp
- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 1
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande

ATTENTION : pendant l'analyse, après le rapport catchme, il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran !

- A la fin de l'analyse, il te sera peut-être demandé de redémarrer l'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note.. Ce dernier se trouve sur C:\resultat.txt
- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :
-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout
-- A nouveau menu Edition / copier
-- Dans un nouveau message ici, faire un clic droit / coller
22 Septembre 2007 18:57:49

alors, il ne m'a pas demandé de redémarrer... le rapport est apparu après un ptit moment.

par contre, pendant l'execution, y a un truc super rapide qui est apparu, j'ai discerné ATTENTION et c'est là où il fallait appuyer sur une touche il me semble et suivre ce qu'il dit. Mais j'ai pas eu le tps, l'analyse s'est enchainée avec plein de clé du registre apparemment.

Voici donc le rapport (le spam apparait toujours) et je ne peux tjrs pas entrer ds "ajout/supp de programmes".

DiagHelp version v1.2 - http://www.malekal.com
excute le 22/09/2007 à 18:49:02,01


Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\CHCP.COM-17EDBDC9.pf -->22/09/2007 18:49:00
C:\WINDOWS\prefetch\CMD.EXE-034B0549.pf -->22/09/2007 18:48:56
C:\WINDOWS\prefetch\WINRAR.EXE-0AA31BB9.pf -->22/09/2007 18:48:19
C:\WINDOWS\prefetch\FIREFOX.EXE-06188867.pf -->22/09/2007 18:46:12
C:\WINDOWS\prefetch\HIJACKTHIS.EXE-206D1BA6.pf -->22/09/2007 17:27:47
C:\WINDOWS\prefetch\WMIADAP.EXE-32F99497.pf -->22/09/2007 17:27:38
C:\WINDOWS\prefetch\NOTEPAD.EXE-2F2D61E1.pf -->22/09/2007 17:26:08
C:\WINDOWS\prefetch\RUNDLL32.EXE-61AF0B13.pf -->22/09/2007 17:25:42
C:\WINDOWS\prefetch\RUNDLL32.EXE-6DF739B2.pf -->22/09/2007 17:24:58
C:\WINDOWS\prefetch\WUAUCLT.EXE-1360D60A.pf -->22/09/2007 17:24:40

C:\WINDOWS\System32\drivers\AvgAsCln.sys -->30/05/2007 14:10:42
C:\WINDOWS\System32\drivers\imagesrv.sys -->16/05/2007 18:19:52
C:\WINDOWS\System32\drivers\imagedrv.sys -->16/05/2007 18:19:50
C:\WINDOWS\System32\drivers\ntfs.sys -->09/02/2007 13:10:35
C:\WINDOWS\System32\drivers\atksgt.sys -->08/12/2006 22:47:31
C:\WINDOWS\System32\drivers\oreans32.sys -->04/09/2006 23:32:45
C:\WINDOWS\System32\drivers\fltmgr.sys -->21/08/2006 11:14:58

C:\WINDOWS\System32\PerfStringBackup.INI -->22/09/2007 17:27:37
C:\WINDOWS\System32\perfh00C.dat -->22/09/2007 17:27:37
C:\WINDOWS\System32\perfh009.dat -->22/09/2007 17:27:37
C:\WINDOWS\System32\perfc00C.dat -->22/09/2007 17:27:37
C:\WINDOWS\System32\perfc009.dat -->22/09/2007 17:27:37
C:\WINDOWS\System32\wpa.dbl -->22/09/2007 17:24:18
C:\WINDOWS\System32\tmp.txt -->20/09/2007 23:46:56
C:\WINDOWS\System32\tmp.reg -->20/09/2007 23:46:56
C:\WINDOWS\System32\WinAvXX.exe -->14/09/2007 08:43:11
C:\WINDOWS\System32\printer.exe -->14/09/2007 08:43:11
C:\WINDOWS\System32\MRT.exe -->06/09/2007 04:50:42
C:\WINDOWS\System32\VCCLSID.exe -->06/09/2007 00:22:23
C:\WINDOWS\System32\TZLog.log -->29/08/2007 03:01:13
C:\WINDOWS\System32\wuaucpl.cpl.mui -->30/07/2007 19:20:06
C:\WINDOWS\System32\wuapi.dll.mui -->30/07/2007 19:19:52
C:\WINDOWS\System32\wuaueng.dll -->30/07/2007 19:19:42
C:\WINDOWS\System32\wuapi.dll -->30/07/2007 19:19:36
C:\WINDOWS\System32\wucltui.dll -->30/07/2007 19:19:32
C:\WINDOWS\System32\wuweb.dll -->30/07/2007 19:19:28
C:\WINDOWS\System32\wuaucpl.cpl -->30/07/2007 19:19:28
C:\WINDOWS\System32\cdm.dll -->30/07/2007 19:19:20
C:\WINDOWS\System32\wuauclt.exe -->30/07/2007 19:19:16
C:\WINDOWS\System32\wups2.dll -->30/07/2007 19:19:12
C:\WINDOWS\System32\wucltui.dll.mui -->30/07/2007 19:19:04
C:\WINDOWS\System32\wuaueng.dll.mui -->30/07/2007 19:18:48

C:\WINDOWS\0.log -->22/09/2007 17:23:42
C:\WINDOWS\WindowsUpdate.log -->22/09/2007 17:23:34
C:\WINDOWS\wiaservc.log -->22/09/2007 17:23:31
C:\WINDOWS\ServUStartUpLog.txt -->22/09/2007 17:23:31
C:\WINDOWS\wiadebug.log -->22/09/2007 17:23:30
C:\WINDOWS\ServUDaemon.ini -->22/09/2007 17:23:30
C:\WINDOWS\bootstat.dat -->22/09/2007 17:23:01
C:\WINDOWS\ntbtlog.txt -->22/09/2007 17:19:36
C:\WINDOWS\setupact.log -->22/09/2007 17:16:27
C:\WINDOWS\SchedLgU.Txt -->22/09/2007 17:07:43
C:\WINDOWS\QTFont.qfn -->21/09/2007 12:59:58
C:\WINDOWS\QTFont.for -->21/09/2007 12:59:58
C:\WINDOWS\BRWMARK.INI -->20/09/2007 15:36:41
C:\WINDOWS\BRPP2KA.INI -->20/09/2007 15:36:41
C:\WINDOWS\setupapi.log -->20/09/2007 12:49:04


MD5 des fichiers sensibles
tcpip.sys b2220c618b42a2212a59d91ebd6fc4b4
ndis.sys 558635d3af1c7546d26067d5d9b6959e
null.sys 73c1e1f395918bc2c6dd67af7591a3ad
svchost.exe 1bd6c2f707a275cb7c16fd99fe0f31ca


Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 943F-FECC

Répertoire de C:\WINDOWS\system

07/05/1998 18:04 52 736 hpsysdrv.exe
1 fichier(s) 52 736 octets
0 Rép(s) 28 511 305 728 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 943F-FECC

Répertoire de C:\WINDOWS\system32

05/08/2004 20:00 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 28 511 301 632 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 943F-FECC

Répertoire de C:\WINDOWS\Downloaded Program Files

20/09/2007 12:49 <REP> .
20/09/2007 12:49 <REP> ..
23/11/2004 23:20 65 desktop.ini
26/07/2002 02:13 24 576 dwusplay.dll
26/07/2002 02:13 196 608 dwusplay.exe
28/07/2004 00:48 323 584 isusweb.dll
08/08/2006 11:45 576 kavwebscan.inf
11/06/2007 12:21 5 021 swflash.inf
6 fichier(s) 550 430 octets

Total des fichiers listés :
6 fichier(s) 550 430 octets
2 Rép(s) 28 511 301 632 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\winav.exe"="%windir%\\system32\\winav.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

"%windir%\\system32\\winav.exe"="%windir%\\system32\\winav.exe:*:Enabled:@xpsp2res.dll,-22019"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"



exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"DisableRegistryTools"=dword:00000001
"DisableTaskMgr"=dword:00000001



Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
192.168.200.3 downloads-us1.kaspersky-labs.com
192.168.200.3 downloads-us2.kaspersky-labs.com
192.168.200.3 downloads-us3.kaspersky-labs.com
192.168.200.3 downloads1.kaspersky-labs.com
192.168.200.3 downloads2.kaspersky-labs.com
192.168.200.3 downloads3.kaspersky-labs.com
192.168.200.3 downloads4.kaspersky-labs.com
192.168.200.3 ftp.downloads1.kaspersky-labs.com
192.168.200.3 ftp.downloads2.kaspersky-labs.com
192.168.200.3 ftp.downloads3.kaspersky-labs.com
192.168.200.3 ftp.kasperskylab.ru
192.168.200.3 ids.kaspersky-labs.com
192.168.200.3 kaspersky-labs.com
192.168.200.3 kaspersky.com
192.168.200.3 updates1.kaspersky-labs.com
192.168.200.3 updates2.kaspersky-labs.com
192.168.200.3 updates3.kaspersky-labs.com
192.168.200.3 updates4.kaspersky-labs.com
192.168.200.3 updates5.kaspersky-labs.com
192.168.200.3 www.kaspersky-labs.com
192.168.200.3 www.kaspersky.com
192.168.200.3 www.kaspersky.ru
192.168.200.3 customer.symantec.com
192.168.200.3 liveupdate.symantec.com
192.168.200.3 liveupdate.symantecliveupdate.com
192.168.200.3 securityresponse.symantec.com
192.168.200.3 service1.symantec.com
192.168.200.3 symantec.com
192.168.200.3 update.symantec.com
192.168.200.3 updates.symantec.com
192.168.200.3 www.symantec.com
192.168.200.3 www.symantec.com
192.168.200.3 liveupdate.symantec.com
192.168.200.3 liveupdate.symantecliveupdate.com
192.168.200.3 liveupdate.symantec.com
192.168.200.3 liveupdate.symantecliveupdate.com
192.168.200.3 update.symantec.com
192.168.200.3 updates.symantec.com
192.168.200.3 updates1.kaspersky-labs.com
192.168.200.3 updates2.kaspersky-labs.com
192.168.200.3 updates3.kaspersky-labs.com
192.168.200.3 updates4.kaspersky-labs.com
192.168.200.3 updates5.kaspersky-labs.com
192.168.200.3 windowsupdate.microsoft.com
192.168.200.3 trendmicro.com
192.168.200.3 www.trendmicro.com
192.168.200.3 ftp.sophos.com
192.168.200.3 sophos.com
192.168.200.3 www.sophos.com
192.168.200.3 pandasoftware.com
192.168.200.3 www.pandasoftware.com
192.168.200.3 networkassociates.com
192.168.200.3 www.networkassociates.com
192.168.200.3 windowsupdate.microsoft.com
catchme 0.3.1160 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-22 18:49:19
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:15,5a,dd,c6,23,26,71,bf,26,56,9c,67,5a,ba,06,7c,bf,74,e3,9b,d3,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,73,ce,ac,00,88,0d,2e,8c,7f,74,a4,81,c5,a6,0f,b1,35,..
"khjeh"=hex:61,0c,c1,43,ab,8e,f7,f6,d6,74,d2,74,19,fb,4f,0a,b1,fe,5b,35,c0,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:19,b3,0f,33,e7,e9,9d,1e,9e,2a,62,2b,a4,de,c8,20,80,2e,3c,b9,8c,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:03,7b,80,aa,4f,56,a9,33,ba,22,0f,1d,d2,33,be,19,8a,00,ed,42,87,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:94,29,37,85,a9,87,ae,10,93,c3,88,0d,57,d1,18,0a,d0,d2,0d,d7,36,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:c7,e1,ab,0c,e9,9a,d0,53,ce,21,a3,c0,c6,b5,71,a4,c0,4f,51,e0,cc,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:15,5a,dd,c6,23,26,71,bf,26,56,9c,67,5a,ba,06,7c,bf,74,e3,9b,d3,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,73,ce,ac,00,88,0d,2e,8c,7f,74,a4,81,c5,a6,0f,b1,35,..
"khjeh"=hex:61,0c,c1,43,ab,8e,f7,f6,d6,74,d2,74,19,fb,4f,0a,b1,fe,5b,35,c0,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:9e,e6,13,59,60,3e,47,24,a6,2c,83,29,c0,fa,0a,38,23,9a,31,28,07,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:19,c7,bc,1c,ff,c6,e8,4f,3f,39,4b,7b,d1,22,d2,4c,a4,41,f3,1f,cd,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:49,96,14,18,e2,55,cf,14,c0,0a,f3,82,50,f4,98,ce,33,51,70,40,9a,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:5b,4f,69,82,85,41,ee,ce,12,a5,98,a0,e8,70,5a,60,c3,5e,65,50,bf,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:D 0,68,b6,21,13,98,e2,f7,e8,a6,25,5e,59,1b,c2,f6,8a,5f,57,fa,c2,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,73,ce,ac,00,88,0d,2e,8c,7f,74,a4,81,c5,a6,0f,b1,35,..
"khjeh"=hex:61,0c,c1,43,ab,8e,f7,f6,d6,74,d2,74,19,fb,4f,0a,b1,fe,5b,35,c0,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:7e,0e,27,4e,8a,73,24,9a,ed,3c,1c,7b,9c,8c,ba,3d,d8,89,ef,b2,aa,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:3b,92,e6,f3,78,1c,40,11,39,1c,e1,af,65,4f,c1,bc,0c,73,3e,a0,6d,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:cf,90,fd,98,ea,c4,d8,e8,54,60,a0,0d,e6,f2,1c,f8,7d,7f,31,c5,81,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:cf,90,fd,98,ea,c4,d8,e8,54,60,a0,0d,e6,f2,1c,f8,7d,7f,31,c5,81,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:15,5a,dd,c6,23,26,71,bf,26,56,9c,67,5a,ba,06,7c,bf,74,e3,9b,d3,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,73,ce,ac,00,88,0d,2e,8c,7f,74,a4,81,c5,a6,0f,b1,35,..
"khjeh"=hex:61,0c,c1,43,ab,8e,f7,f6,d6,74,d2,74,19,fb,4f,0a,b1,fe,5b,35,c0,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:e6,49,be,21,66,a4,03,fe,84,fa,3b,2f,4e,41,5a,41,7c,5f,65,ed,9e,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:03,7b,80,aa,4f,56,a9,33,ba,22,0f,1d,d2,33,be,19,8a,00,ed,42,87,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:94,29,37,85,a9,87,ae,10,93,c3,88,0d,57,d1,18,0a,d0,d2,0d,d7,36,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:c7,e1,ab,0c,e9,9a,d0,53,ce,21,a3,c0,c6,b5,71,a4,c0,4f,51,e0,cc,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:15,5a,dd,c6,23,26,71,bf,26,56,9c,67,5a,ba,06,7c,bf,74,e3,9b,d3,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,73,ce,ac,00,88,0d,2e,8c,7f,74,a4,81,c5,a6,0f,b1,35,..
"khjeh"=hex:61,0c,c1,43,ab,8e,f7,f6,d6,74,d2,74,19,fb,4f,0a,b1,fe,5b,35,c0,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:D 8,df,8a,f0,a0,9b,e9,79,5b,24,a3,b7,5d,08,76,f3,8c,6e,7c,ab,e5,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:3a,ef,3e,b9,e5,91,95,fd,51,fc,af,e0,87,61,12,3c,00,46,88,6e,cd,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:03,7b,80,aa,4f,56,a9,33,ba,22,0f,1d,d2,33,be,19,8a,00,ed,42,87,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:42,d1,43,f6,1b,76,dc,6f,2e,2c,f1,9c,5f,9b,74,61,4a,ba,01,61,76,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:15,5a,dd,c6,23,26,71,bf,26,56,9c,67,5a,ba,06,7c,bf,74,e3,9b,d3,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,73,ce,ac,00,88,0d,2e,8c,7f,74,a4,81,c5,a6,0f,b1,35,..
"khjeh"=hex:61,0c,c1,43,ab,8e,f7,f6,d6,74,d2,74,19,fb,4f,0a,b1,fe,5b,35,c0,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:7c,08,78,8e,de,17,c0,e0,b8,cc,f9,de,ea,d7,25,3b,09,22,71,29,fa,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:bf,da,05,5e,c9,ad,c3,b2,08,4c,a1,34,68,cd,5f,75,a8,b7,8b,8c,1d,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:21,19,14,20,70,f5,6d,60,96,14,b0,5a,f0,ab,24,db,19,dd,e9,59,e3,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:f6,33,e1,ae,78,41,e6,f2,5d,7a,7d,98,fb,71,66,0a,f3,a5,09,37,f3,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:15,5a,dd,c6,23,26,71,bf,26,56,9c,67,5a,ba,06,7c,bf,74,e3,9b,d3,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,73,ce,ac,00,88,0d,2e,8c,7f,74,a4,81,c5,a6,0f,b1,35,..
"khjeh"=hex:61,0c,c1,43,ab,8e,f7,f6,d6,74,d2,74,19,fb,4f,0a,b1,fe,5b,35,c0,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:0b,11,46,3d,0e,2f,e2,a9,ae,e1,b7,62,ee,08,e7,ab,c1,3d,9c,5a,e4,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:b0,5d,b9,57,25,b1,96,2b,68,f7,03,e2,5d,13,d7,a9,36,61,09,bc,fe,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:b2,74,0d,a2,5a,f8,74,52,e1,79,3f,37,44,c8,28,66,c5,2d,eb,68,a2,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:1d,49,65,17,cd,69,73,35,7f,be,22,71,b4,40,73,39,a1,69,f0,e7,ac,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet008\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:15,5a,dd,c6,23,26,71,bf,26,56,9c,67,5a,ba,06,7c,bf,74,e3,9b,d3,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet008\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,73,ce,ac,00,88,0d,2e,8c,7f,74,a4,81,c5,a6,0f,b1,35,..
"khjeh"=hex:61,0c,c1,43,ab,8e,f7,f6,d6,74,d2,74,19,fb,4f,0a,b1,fe,5b,35,c0,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet008\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:14,79,5f,3b,d9,73,19,2d,0c,68,8b,4f,8c,aa,13,3d,39,07,e6,eb,c1,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet008\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:04,a7,21,1d,f0,74,a4,f6,a5,3c,19,8c,56,b4,3d,ab,f7,65,89,d4,85,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet008\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:57,02,85,75,d9,8e,65,43,41,ea,2b,a7,3e,79,69,f5,b1,78,63,29,39,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet008\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:5a,4a,9c,b6,ad,7f,e1,c1,3d,09,6a,6b,0e,6f,6d,c5,e4,3d,b4,69,5c,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet009\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:01,a1,60,55,6e,31,a9,63,f3,cb,59,d4,68,3b,52,f1,72,a3,45,a6,4c,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet009\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,73,ce,ac,00,88,0d,2e,8c,7f,74,a4,81,c5,a6,0f,b1,35,..
"khjeh"=hex:61,0c,c1,43,ab,8e,f7,f6,d6,74,d2,74,19,fb,4f,0a,b1,fe,5b,35,c0,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet009\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:49,53,ea,bc,0c,87,a9,49,bc,fc,ae,53,eb,37,15,74,5d,00,5f,96,c6,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet009\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:00,e8,fb,83,b5,07,8e,aa,33,b6,46,54,d1,48,89,c7,d5,ea,5a,86,d9,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet009\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:12,cb,b5,d6,08,cf,87,47,ff,2c,00,cb,ac,60,76,81,95,a6,b3,6a,78,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet009\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:7b,82,14,62,16,b1,21,e5,46,81,7c,34,68,dd,bd,df,9c,4c,a7,20,c2,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s0"=dword:f70b277a
"s1"=dword:1f76524e
"s2"=dword:ff248753
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:01,a1,60,55,6e,31,a9,63,f3,cb,59,d4,68,3b,52,f1,72,a3,45,a6,4c,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,73,ce,ac,00,88,0d,2e,8c,7f,74,a4,81,c5,a6,0f,b1,35,..
"khjeh"=hex:61,0c,c1,43,ab,8e,f7,f6,d6,74,d2,74,19,fb,4f,0a,b1,fe,5b,35,c0,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:36,db,c2,5e,4c,0c,83,93,d4,48,a7,11,d1,c4,f3,37,fe,08,d7,74,bd,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:3d,b9,d9,34,d8,07,fd,f7,d4,8b,19,f5,2a,98,84,fd,35,fa,75,cc,0e,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:7c,95,89,5e,95,79,8b,3e,26,05,b9,86,7d,50,52,30,e4,17,79,cf,03,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:68,88,9c,c9,6f,dd,f9,bd,68,f5,88,35,13,69,17,25,c3,6e,ab,c2,40,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:01,a1,60,55,6e,31,a9,63,f3,cb,59,d4,68,3b,52,f1,72,a3,45,a6,4c,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,73,ce,ac,00,88,0d,2e,8c,7f,74,a4,81,c5,a6,0f,b1,35,..
"khjeh"=hex:61,0c,c1,43,ab,8e,f7,f6,d6,74,d2,74,19,fb,4f,0a,b1,fe,5b,35,c0,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:36,db,c2,5e,4c,0c,83,93,d4,48,a7,11,d1,c4,f3,37,fe,08,d7,74,bd,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:3d,b9,d9,34,d8,07,fd,f7,d4,8b,19,f5,2a,98,84,fd,35,fa,75,cc,0e,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:7c,95,89,5e,95,79,8b,3e,26,05,b9,86,7d,50,52,30,e4,17,79,cf,03,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet011\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:68,88,9c,c9,6f,dd,f9,bd,68,f5,88,35,13,69,17,25,c3,6e,ab,c2,40,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}]
"DisplayName"="Alcohol 120%"

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0


KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
248 - guard.exe
456 - ServUDaemon.exe
640 - csrss.exe
644 - antipub.exe
668 - winlogon.exe
716 - services.exe
728 - lsass.exe
904 - svchost.exe
968 - svchost.exe
1044 - svchost.exe
1116 - svchost.exe
1184 - firefox.exe
1212 - svchost.exe
1632 - explorer.exe
1832 - atiptaxx.exe
1848 - TMTMTSR.exe
1984 - avgas.exe
2000 - msnmsgr.exe
2016 - Skype.exe
2024 - ctfmon.exe
2144 - iPodService.exe
2472 - cmd.exe
2704 - alg.exe
3152 - svchost.exe

Total number of processes = 25
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntkrnlpa.exe
806CE000 - \WINDOWS\system32\hal.dll
F89E6000 - \WINDOWS\system32\KDCOM.DLL
F88F6000 - \WINDOWS\system32\BOOTVID.dll
F8315000 - sptd.sys
F89E8000 - \WINDOWS\System32\Drivers\WMILIB.SYS
F82FD000 - \WINDOWS\System32\Drivers\SPTD7741.SYS
F82D5000 - a347bus.sys
F82A6000 - ACPI.sys
F8295000 - pci.sys
F84E6000 - isapnp.sys
F84F6000 - ohci1394.sys
F8506000 - \WINDOWS\system32\DRIVERS\1394BUS.SYS
F8AAE000 - pciide.sys
F8766000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
F89EA000 - viaide.sys
F89EC000 - intelide.sys
F8516000 - MountMgr.sys
F8276000 - ftdisk.sys
F876E000 - PartMgr.sys
F8776000 - sfsync02.sys
F8526000 - VolSnap.sys
F825E000 -
F89EE000 - a347scsi.sys
F8246000 - \WINDOWS\System32\Drivers\SCSIPORT.SYS
F8536000 - disk.sys
F8546000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
F8226000 - fltMgr.sys
F8214000 - sr.sys
F877E000 - PxHelp20.sys
F81FD000 - KSecDD.sys
F8170000 - Ntfs.sys
F8143000 - NDIS.sys
F8786000 - sfhlp02.sys
F8132000 - sfdrv01.sys
F89F0000 - prosync1.sys
F811A000 - prohlp02.sys
F80FF000 - Mup.sys
F8646000 - \SystemRoot\system32\DRIVERS\AmdK8.sys
F7B4C000 - \SystemRoot\system32\DRIVERS\ati2mtag.sys
F7B38000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
F8856000 - \SystemRoot\system32\DRIVERS\usbohci.sys
F7B15000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
F885E000 - \SystemRoot\system32\DRIVERS\usbehci.sys
F8656000 - \SystemRoot\system32\DRIVERS\imapi.sys
F8866000 - \SystemRoot\system32\drivers\ASAPIW2k.sys
F8666000 - \SystemRoot\system32\DRIVERS\cdrom.sys
F8676000 - \SystemRoot\system32\DRIVERS\redbook.sys
F7AF2000 - \SystemRoot\system32\DRIVERS\ks.sys
F886E000 - \SystemRoot\System32\DRIVERS\Pcatip.sys
F8876000 - \SystemRoot\SYSTEM32\DRIVERS\GEARAspiWDM.sys
F7ADF000 - \SystemRoot\system32\DRIVERS\Rtlnicxp.sys
F8686000 - \SystemRoot\system32\DRIVERS\nic1394.sys
F78A9000 - \SystemRoot\system32\drivers\ALCXWDM.SYS
F7887000 - \SystemRoot\system32\drivers\portcls.sys
F8696000 - \SystemRoot\system32\drivers\drmk.sys
F783D000 - \SystemRoot\System32\Drivers\dtscsi.sys
F7829000 - \SystemRoot\system32\DRIVERS\parport.sys
F86A6000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
F887E000 - \SystemRoot\system32\DRIVERS\PS2.sys
F8886000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
F8B25000 - \SystemRoot\system32\DRIVERS\audstub.sys
F86B6000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
F7E3A000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
F7812000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
F86C6000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
F86D6000 - \SystemRoot\system32\DRIVERS\raspptp.sys
F888E000 - \SystemRoot\system32\DRIVERS\TDI.SYS
F7801000 - \SystemRoot\system32\DRIVERS\psched.sys
F86E6000 - \SystemRoot\system32\DRIVERS\msgpc.sys
F8896000 - \SystemRoot\system32\DRIVERS\ptilink.sys
F889E000 - \SystemRoot\system32\DRIVERS\raspti.sys
F86F6000 - \SystemRoot\System32\Drivers\Pcouffin.sys
F8706000 - \SystemRoot\system32\DRIVERS\termdd.sys
F88A6000 - \SystemRoot\system32\DRIVERS\mouclass.sys
F8A36000 - \SystemRoot\system32\DRIVERS\swenum.sys
F772D000 - \SystemRoot\system32\DRIVERS\update.sys
F7E32000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
F7716000 - \SystemRoot\system32\DRIVERS\MarvinBus.sys
F7E2E000 - \SystemRoot\system32\drivers\TMBUS.sys
F8716000 - \SystemRoot\System32\Drivers\NDProxy.SYS
F8746000 - \SystemRoot\system32\DRIVERS\usbhub.sys
F8A38000 - \SystemRoot\system32\DRIVERS\USBD.SYS
F8A3A000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
F8B78000 - \SystemRoot\System32\Drivers\Null.SYS
F8A3C000 - \SystemRoot\System32\Drivers\Beep.SYS
F8B76000 - \SystemRoot\System32\DRIVERS\AvgAsCln.sys
F88C6000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
F88CE000 - \SystemRoot\System32\drivers\vga.sys
F8A40000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F8A42000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F88D6000 - \SystemRoot\System32\Drivers\Msfs.SYS
F88DE000 - \SystemRoot\System32\Drivers\Npfs.SYS
F80CB000 - \SystemRoot\system32\DRIVERS\rasacd.sys
EF69B000 - \SystemRoot\system32\DRIVERS\ipsec.sys
EF642000 - \SystemRoot\system32\DRIVERS\tcpip.sys
EF61A000 - \SystemRoot\system32\DRIVERS\netbt.sys
EF5F8000 - \SystemRoot\System32\drivers\afd.sys
F8756000 - \SystemRoot\system32\DRIVERS\netbios.sys
EF5CD000 - \SystemRoot\system32\DRIVERS\rdbss.sys
F8586000 - \SystemRoot\System32\drivers\prodrv06.sys
F80B3000 - \??\C:\WINDOWS\system32\drivers\pclepci.sys
F8596000 - \??\C:\WINDOWS\system32\drivers\oreans32.sys
EF536000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
EF522000 - \??\C:\Program Files\UltraISO\drivers\ISODrive.sys
F85A6000 - \SystemRoot\System32\Drivers\Fips.SYS
EF501000 - \SystemRoot\system32\DRIVERS\ipnat.sys
F85B6000 - \SystemRoot\system32\DRIVERS\wanarp.sys
F85C6000 - \SystemRoot\system32\DRIVERS\arp1394.sys
F8C30000 - \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys
EF416000 - \SystemRoot\System32\Drivers\Fastfat.SYS
F7E4A000 - \SystemRoot\system32\DRIVERS\hidusb.sys
F85E6000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
F87AE000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS
F7E46000 - \SystemRoot\system32\DRIVERS\mouhid.sys
EF3FE000 - \SystemRoot\System32\Drivers\dump_atapi.sys
F8A52000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
EF6EA000 - \SystemRoot\System32\drivers\Dxapi.sys
F87B6000 - \SystemRoot\System32\watchdog.sys
BF9C3000 - \SystemRoot\System32\drivers\dxg.sys
F8BCB000 - \SystemRoot\System32\drivers\dxgthk.sys
BF9D5000 - \SystemRoot\System32\ati2dvag.dll
BFA10000 - \SystemRoot\System32\ati2cqag.dll
BFA40000 - \SystemRoot\System32\atikvmag.dll
BFA71000 - \SystemRoot\System32\ati3duag.dll
BFC92000 - \SystemRoot\System32\ativvaxx.dll
B8EDC000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
B8AEB000 - \SystemRoot\system32\drivers\wdmaud.sys
B8CC8000 - \SystemRoot\system32\drivers\sysaudio.sys
B89D0000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
B8825000 - \SystemRoot\system32\DRIVERS\atksgt.sys
F87E6000 - \SystemRoot\system32\DRIVERS\lirsgt.sys
B870D000 - \SystemRoot\system32\DRIVERS\secdrv.sys
F8AA8000 - \SystemRoot\system32\drivers\TMMEmu.sys
F89F2000 - \SystemRoot\system32\drivers\TMKEmu.sys
B8BD8000 - \SystemRoot\system32\DRIVERS\kbdhid.sys
B8693000 - \SystemRoot\system32\DRIVERS\srv.sys
B8242000 - \SystemRoot\System32\Drivers\HTTP.sys
B7CCA000 - \SystemRoot\system32\drivers\kmixer.sys
F8B36000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 141

Liste des programmes installes

Adobe Flash Player 9 ActiveX
Adobe Photoshop 7.0
Adobe Reader 7.0.9 - Français
ADS Tech Master Installer V3.0
ADS Tech V3.1 DVD Xpress CapWiz
AGEIA PhysX v6.10.25
Anti-Blaxx 1.16
Anti-Pub 2003.03
Archiveur WinRAR
ATI Control Panel
ATI Display Driver
AutoUpdate
AVG Anti-Spyware 7.5
BlindWrite suite
BSPlayer
Bubble Golden Pack Deluxe v1.2
CCleaner (remove only)
Commande ECHO désactivée.
Correctif Windows XP - KB873339
Correctif Windows XP - KB883667
Correctif Windows XP - KB884020
Correctif Windows XP - KB885250
Correctif Windows XP - KB885835
Correctif Windows XP - KB885836
Correctif Windows XP - KB885884
Correctif Windows XP - KB886185
Correctif Windows XP - KB887472
Correctif Windows XP - KB887742
Correctif Windows XP - KB888113
Correctif Windows XP - KB888239
Correctif Windows XP - KB888302
Correctif Windows XP - KB890175
Correctif Windows XP - KB890859
Correctif Windows XP - KB891781
Correctif Windows XP - KB893066
DivX Codec
DivX Converter
EA SPORTS online 2006
EBP Comptabilité et Facturation
eMule
Enhanced Multimedia Keyboard Solution
FIFA 07
Google Earth
High Definition Audio - KB888111
HijackThis 1.99.1
HP Software Update
HpSdpAppCoreApp
InterVideo WinDVD Player
InterVideo WinDVD Player
iTunes
iTunes
J2SE Runtime Environment 5.0
J2SE Runtime Environment 5.0 Update 10
J2SE Runtime Environment 5.0 Update 11
J2SE Runtime Environment 5.0 Update 6
J2SE Runtime Environment 5.0 Update 8
J2SE Runtime Environment 5.0 Update 9
Jasc Paint Shop Pro 9
Jasc Paint Shop Pro 9.01 Patch
Java(TM) 6 Update 2
Java(TM) SE Runtime Environment 6 Update 1
jetAudio Basic
Kaspersky Online Scanner
Lecteur Windows Media 10
Lexmark X1100 Series
LFP Manager 07
LMSOFT Web Creator Pro 3
Macromedia Dreamweaver MX
Macromedia Extension Manager
Managed DirectX (0900)
MEGA PIXEL DSC
MeuhMeuhTV (désinstallation uniquement)
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 French Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0
Microsoft Office Access MUI (French) 2007
Microsoft Office Enterprise 2007
Microsoft Office Enterprise 2007
Microsoft Office Excel MUI (French) 2007
Microsoft Office Groove MUI (French) 2007
Microsoft Office InfoPath MUI (French) 2007
Microsoft Office OneNote MUI (French) 2007
Microsoft Office Outlook MUI (French) 2007
Microsoft Office PowerPoint MUI (French) 2007
Microsoft Office Proof (Arabic) 2007
Microsoft Office Proof (Dutch) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Spanish) 2007
Microsoft Office Proofing (French) 2007
Microsoft Office Publisher MUI (French) 2007
Microsoft Office Shared MUI (French) 2007
Microsoft Office Word MUI (French) 2007
Microsoft Software Update for Web Folders (French) 12
Microsoft Visual C++ 2005 Redistributable
mIRC
Mise à jour de sécurité pour Lecteur Windows Media (KB911564)
Mise à jour de sécurité pour Lecteur Windows Media 10 (KB911565)
Mise à jour de sécurité pour Lecteur Windows Media 10 (KB917734)
Mise à jour de sécurité pour Lecteur Windows Media 10 (KB936782)
Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398)
Mise à jour de sécurité pour Step by Step Interactive Training (KB898458)
Mise à jour de sécurité pour Step by Step Interactive Training (KB923723)
Mise à jour de sécurité pour Windows XP (KB883939)
Mise à jour de sécurité pour Windows XP (KB890046)
Mise à jour de sécurité pour Windows XP (KB893756)
Mise à jour de sécurité pour Windows XP (KB896358)
Mise à jour de sécurité pour Windows XP (KB896422)
Mise à jour de sécurité pour Windows XP (KB896423)
Mise à jour de sécurité pour Windows XP (KB896424)
Mise à jour de sécurité pour Windows XP (KB896428)
Mise à jour de sécurité pour Windows XP (KB899587)
Mise à jour de sécurité pour Windows XP (KB899591)
Mise à jour de sécurité pour Windows XP (KB900725)
Mise à jour de sécurité pour Windows XP (KB901017)
Mise à jour de sécurité pour Windows XP (KB901214)
Mise à jour de sécurité pour Windows XP (KB902400)
Mise à jour de sécurité pour Windows XP (KB904706)
Mise à jour de sécurité pour Windows XP (KB905414)
Mise à jour de sécurité pour Windows XP (KB905749)
Mise à jour de sécurité pour Windows XP (KB905915)
Mise à jour de sécurité pour Windows XP (KB908519)
Mise à jour de sécurité pour Windows XP (KB908531)
Mise à jour de sécurité pour Windows XP (KB911280)
Mise à jour de sécurité pour Windows XP (KB911562)
Mise à jour de sécurité pour Windows XP (KB911567)
Mise à jour de sécurité pour Windows XP (KB911927)
Mise à jour de sécurité pour Windows XP (KB912812)
Mise à jour de sécurité pour Windows XP (KB912919)
Mise à jour de sécurité pour Windows XP (KB913446)
Mise à jour de sécurité pour Windows XP (KB913580)
Mise à jour de sécurité pour Windows XP (KB914388)
Mise à jour de sécurité pour Windows XP (KB914389)
Mise à jour de sécurité pour Windows XP (KB916281)
Mise à jour de sécurité pour Windows XP (KB917159)
Mise à jour de sécurité pour Windows XP (KB917344)
Mise à jour de sécurité pour Windows XP (KB917422)
Mise à jour de sécurité pour Windows XP (KB917953)
Mise à jour de sécurité pour Windows XP (KB918118)
Mise à jour de sécurité pour Windows XP (KB918439)
Mise à jour de sécurité pour Windows XP (KB918899)
Mise à jour de sécurité pour Windows XP (KB919007)
Mise à jour de sécurité pour Windows XP (KB920213)
Mise à jour de sécurité pour Windows XP (KB920214)
Mise à jour de sécurité pour Windows XP (KB920670)
Mise à jour de sécurité pour Windows XP (KB920683)
Mise à jour de sécurité pour Windows XP (KB920685)
Mise à jour de sécurité pour Windows XP (KB921398)
Mise à jour de sécurité pour Windows XP (KB921503)
Mise à jour de sécurité pour Windows XP (KB921883)
Mise à jour de sécurité pour Windows XP (KB922616)
Mise à jour de sécurité pour Windows XP (KB922760)
Mise à jour de sécurité pour Windows XP (KB922819)
Mise à jour de sécurité pour Windows XP (KB923191)
Mise à jour de sécurité pour Windows XP (KB923414)
Mise à jour de sécurité pour Windows XP (KB923689)
Mise à jour de sécurité pour Windows XP (KB923694)
Mise à jour de sécurité pour Windows XP (KB923980)
Mise à jour de sécurité pour Windows XP (KB924191)
Mise à jour de sécurité pour Windows XP (KB924270)
Mise à jour de sécurité pour Windows XP (KB924496)
Mise à jour de sécurité pour Windows XP (KB924667)
Mise à jour de sécurité pour Windows XP (KB925454)
Mise à jour de sécurité pour Windows XP (KB925486)
Mise à jour de sécurité pour Windows XP (KB925902)
Mise à jour de sécurité pour Windows XP (KB926255)
Mise à jour de sécurité pour Windows XP (KB926436)
Mise à jour de sécurité pour Windows XP (KB927779)
Mise à jour de sécurité pour Windows XP (KB927802)
Mise à jour de sécurité pour Windows XP (KB928090)
Mise à jour de sécurité pour Windows XP (KB928255)
Mise à jour de sécurité pour Windows XP (KB928843)
Mise à jour de sécurité pour Windows XP (KB929123)
Mise à jour de sécurité pour Windows XP (KB929969)
Mise à jour de sécurité pour Windows XP (KB930178)
Mise à jour de sécurité pour Windows XP (KB931261)
Mise à jour de sécurité pour Windows XP (KB931768)
Mise à jour de sécurité pour Windows XP (KB931784)
Mise à jour de sécurité pour Windows XP (KB932168)
Mise à jour de sécurité pour Windows XP (KB933566)
Mise à jour de sécurité pour Windows XP (KB935839)
Mise à jour de sécurité pour Windows XP (KB935840)
Mise à jour de sécurité pour Windows XP (KB936021)
Mise à jour de sécurité pour Windows XP (KB937143)
Mise à jour de sécurité pour Windows XP (KB938127)
Mise à jour de sécurité pour Windows XP (KB938829)
Mise à jour pour Windows XP (KB894391)
Mise à jour pour Windows XP (KB898461)
Mise à jour pour Windows XP (KB900485)
Mise à jour pour Windows XP (KB910437)
Mise à jour pour Windows XP (KB916595)
Mise à jour pour Windows XP (KB920872)
Mise à jour pour Windows XP (KB922582)
Mise à jour pour Windows XP (KB927891)
Mise à jour pour Windows XP (KB929338)
Mise à jour pour Windows XP (KB930916)
Mise à jour pour Windows XP (KB931836)
Mise à jour pour Windows XP (KB933360)
Mise à jour pour Windows XP (KB938828)
Mozilla Firefox (2.0.0.7)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
Nero 7
neroxml
Neuf - Kit de connexion
PC-Doctor 5 for Windows
PC-Doctor 5 for Windows
Picasa 2
Pinnacle Hollywood FX
PS2
QuickTime
Security Update for Microsoft .NET Framework 2.0 (KB928365)
Serv-U 6.3
Shockwave
Skype 2.0
SLD Codec Pack
SmartFTP Client 2.0
Sonic Express Labeler
Sonic MyDVD Plus
Sonic RecordNow Audio
Sonic RecordNow Copy
Sonic RecordNow Data
Sonic Update Manager
SopCast 1.1.2
Spy Sweeper 4.x.x FIX
Spybot - Search & Destroy 1.4
SpywareBlaster v3.5.1
Studio 9
Synacast Plug-in 1.1.0.7
Thrustmapper
Téléchargement Photoways 2.0.8
TV Giant
UltraISO Premium V8.61
vanBasco's Karaoke Player
VideoLAN VLC media player 0.8.4
Virtual DJ - Atomix Productions
VNC Free Edition 4.1.1
WebFldrs XP
Winamp (remove only)
Windows Genuine Advantage Notifications (KB905474)
Windows Genuine Advantage Validation Tool
Windows Installer 3.1 (KB893803)
Windows Live Messenger
Windows Media Format Runtime
World Poker Championship 2



Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 943F-FECC

Répertoire de C:\Program Files

22/09/2007 17:13 <REP> .
22/09/2007 17:13 <REP> ..
20/02/2006 17:16 <REP> Absolutist.com
31/08/2007 16:17 <REP> Activision Value
29/03/2006 17:39 <REP> Adobe
08/03/2006 19:21 <REP> ADSTech
17/01/2006 16:01 <REP> ADSTech DVD Xpress
26/02/2007 11:34 <REP> AGEIA Technologies
31/12/2006 13:39 <REP> Album
03/03/2006 16:27 <REP> Alcohol Soft
05/08/2007 16:10 <REP> Anti-Blaxx
05/08/2007 16:11 <REP> Anti-Blaxx2
11/03/2006 16:28 <REP> Antipub
03/01/2005 05:59 <REP> ATI Technologies
20/02/2006 17:44 <REP> BGPackDeluxe
01/07/2007 14:42 <REP> BitLord
07/03/2006 13:30 <REP> BlindWrite
11/02/2007 22:32 <REP> BSplayer
18/09/2007 22:07 <REP> CCleaner
09/11/2006 11:43 <REP> Common Files
20/09/2007 23:17 <REP> DAEMON Tools
28/01/2006 14:32 <REP> Digital Still Camera Drivers
14/02/2006 18:15 <REP> directx
05/05/2007 16:42 <REP> DivX
05/10/2006 07:41 <REP> Dreamfall
10/09/2006 23:57 <REP> EA GAMES
19/11/2006 18:50 <REP> EA SPORTS
22/08/2007 17:19 <REP> EBP
19/11/2006 21:11 <REP> Electronic Arts
22/09/2007 00:22 <REP> eMule
03/09/2007 21:10 <REP> Fichiers communs
31/08/2007 10:54 <REP> film
05/08/2007 16:00 <REP> Firaxis Games
04/04/2007 16:45 <REP> Football Manager 2007
17/04/2006 21:49 <REP> Google
18/09/2007 22:03 <REP> Grisoft
03/01/2005 06:07 <REP> Hewlett-Packard
03/01/2005 06:07 <REP> Hp
16/08/2007 03:02 <REP> Internet Explorer
03/01/2005 06:11 <REP> iPod
03/01/2005 06:11 <REP> iTunes
23/05/2007 16:26 <REP> Jasc Software Inc
23/07/2007 21:22 <REP> Java
02/02/2006 16:17 <REP> JetAudio
02/02/2007 00:10 <REP> Kaspersky Lab
23/05/2007 15:01 <REP> Lexmark X1100 Series
05/09/2007 16:48 <REP> Lottso Deluxe
29/03/2006 12:35 <REP> Macromedia
03/09/2007 21:06 <REP> Managed DirectX (0900)
03/01/2005 05:56 <REP> Messenger
25/02/2006 18:22 <REP> MeuhMeuhTV
25/11/2004 05:27 <REP> microsoft frontpage
21/01/2007 18:53 <REP> Microsoft Office
21/01/2007 18:53 <REP> Microsoft Visual Studio
21/01/2007 18:54 <REP> Microsoft Works
21/01/2007 18:51 <REP> Microsoft.NET
25/11/2004 05:27 <REP> Movie Maker
20/09/2007 16:10 <REP> Mozilla Firefox
21/01/2007 18:54 <REP> MSBuild
25/11/2004 05:27 <REP> MSN
25/11/2004 05:27 <REP> MSN Gaming Zone
13/09/2007 21:49 <REP> MSN Messenger
15/11/2006 15:50 <REP> MSXML 4.0
31/08/2007 10:55 <REP> musik
08/07/2007 17:54 <REP> Nero
01/02/2005 09:46 <REP> NetMeeting
11/07/2007 14:04 <REP> Neuf
25/11/2004 05:27 <REP> Online Services
11/06/2006 12:25 <REP> OpiStat
24/06/2007 03:02 <REP> Outlook Express
03/01/2005 06:24 <REP> PC-Doctor 5 for Windows
03/05/2006 18:03 <REP> PHOTOWAYS
02/10/2006 17:33 <REP> Picasa2
07/02/2006 09:01 <REP> Pinnacle
08/02/2006 21:26 <REP> PpStream Fr
09/09/2007 16:18 <REP> Profitville
21/07/2007 21:50 <REP> PROMT5
24/02/2006 20:36 <REP> QuickTime
24/06/2007 11:49 <REP> ReflexiveArcade
28/03/2006 18:03 <REP> RegCleaner
11/04/2007 22:33 <REP> Sega
03/01/2005 06:22 <REP> Services en ligne
24/12/2006 13:38 <REP> sixteen tons entertainment
12/01/2006 14:34 <REP> Skype
03/12/2005 22:38 <REP> SLD Codec Pack
29/01/2006 23:10 <REP> SmartFTP Client 2.0
29/01/2006 23:10 <REP> SmartFTP Client 2.0 Setup Files
03/01/2005 06:06 <REP> Sonic
29/07/2007 15:25 <REP> SopCast
12/01/2006 15:04 <REP> Sports Interactive
09/03/2006 00:33 <REP> Spybot - Search & Destroy
27/03/2006 16:09 <REP> SpywareBlaster
11/06/2006 17:14 <REP> Starfuck
25/12/2005 02:41 <REP> Thrustmaster
12/07/2007 22:56 <REP> UBISOFT
07/02/2007 23:06 <REP> UltraISO
12/10/2006 14:50 <REP> vanBasco's Karaoke Player
11/01/2006 23:22 <REP> VideoLAN
25/12/2006 18:43 <REP> VirtualDJ
02/02/2006 22:06 <REP> VNC4
05/08/2007 16:29 <REP> Vstep
29/03/2006 14:44 <REP> Web Creator Pro 3
19/05/2007 12:50 <REP> Winamp
15/02/2006 22:47 <REP> Windows Media Player
01/02/2005 09:46 <REP> Windows NT
19/04/2006 16:34 <REP> WinRAR
25/02/2006 18:07 <REP> WinTV
06/09/2007 16:02 <REP> WPC2
25/11/2004 05:28 <REP> xerox
31/08/2007 10:59 <REP> Zylom Games
0 fichier(s) 0 octets
110 Rép(s) 28 510 953 472 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 943F-FECC

Répertoire de C:\Program Files\fichiers communs

03/09/2007 21:10 <REP> .
03/09/2007 21:10 <REP> ..
29/03/2006 17:39 <REP> Adobe
08/07/2007 17:58 <REP> Ahead
02/02/2006 15:46 <REP> COWON
21/01/2007 18:53 <REP> DESIGNER
03/09/2007 21:10 <REP> DirectX
07/02/2007 23:06 <REP> EZB Systems
24/10/2006 09:52 <REP> InstallShield
23/05/2007 16:29 <REP> Jasc Software Inc
03/01/2005 05:52 <REP> Java
29/03/2006 12:35 <REP> Macromedia
18/07/2007 14:10 <REP> Microsoft Shared
25/11/2004 05:26 <REP> MSSoap
19/09/2006 21:09 <REP> NSV
25/11/2004 05:26 <REP> ODBC
01/02/2005 09:46 <REP> Services
03/01/2005 06:05 <REP> Sonic Shared
25/11/2004 05:26 <REP> SpeechEngines
03/01/2005 06:05 <REP> SureThing Shared
02/02/2007 00:09 <REP> Symantec Shared
08/02/2006 22:05 <REP> Synacast
24/06/2007 03:09 <REP> System
03/01/2005 06:06 <REP> TiVo Shared
29/03/2006 12:35 <REP> Vbox
26/02/2007 11:34 <REP> Wise Installation Wizard
08/03/2006 21:26 <REP> wiuq
0 fichier(s) 0 octets
27 Rép(s) 28 510 961 664 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 943F-FECC

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

21/01/2007 18:52 <REP> .
21/01/2007 18:52 <REP> ..
12/01/2006 11:44 <REP> 1033
21/01/2007 18:47 <REP> 1036
26/10/2006 20:49 970 528 MSONSEXT.DLL
26/10/2006 21:12 40 256 MSOSV.DLL
03/06/1999 19:09 122 937 MSOWS409.DLL
07/03/2001 14:00 127 033 MSOWS40c.DLL
22/01/2001 04:25 86 016 PKMWS.DLL
5 fichier(s) 1 346 770 octets
4 Rép(s) 28 510 949 376 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 943F-FECC

Répertoire de C:\Program Files\common files

09/11/2006 11:43 <REP> .
09/11/2006 11:43 <REP> ..
0 fichier(s) 0 octets
2 Rép(s) 28 510 949 376 octets libres




c:\Documents and Settings\Crx.exe
c:\Documents and Settings\server.exe
c:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\autorun.exe
c:\Documents and Settings\Compaq_Propriétaire\84785_norton.exe
c:\Documents and Settings\Compaq_Propriétaire\84785_redworld2.exe
c:\Documents and Settings\Compaq_Propriétaire\Application Data\Adobe\Acrobat\7.0\Updater\AdbeRdr709_fr_FR.exe
c:\Documents and Settings\Compaq_Propriétaire\Application Data\Microsoft\Installer\{EABB7AE6-15DB-4E62-84E8-B0C6F7913861}\ARPPRODUCTICON.exe
c:\Documents and Settings\Compaq_Propriétaire\Application Data\Microsoft\Installer\{EABB7AE6-15DB-4E62-84E8-B0C6F7913861}\WPC2.exe_EABB7AE615DB4E6284E8B0C6F7913861.exe
c:\Documents and Settings\Compaq_Propriétaire\Application Data\Microsoft\Installer\{EABB7AE6-15DB-4E62-84E8-B0C6F7913861}\WPC2.exe1_EABB7AE615DB4E6284E8B0C6F7913861.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\ComboFix.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\fsbl.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\google-earth_google_earth_3.0.0762_beta_anglais_14783.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\KB905474_WGA_1.5.540.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Look2Me-Destroyer.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\OTMoveIt.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\SkypeSetup.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\SmitfraudFix.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\clean\pskill.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\catchme.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\diff.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\dumphive.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\find2.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\Fport.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\grep.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\KProcCheck.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\LFiles.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\md5sums.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\pslist.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\streams.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\DiagHelp\swreg.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\aawsepersonal.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Adobe Photoshop 7.0 patch (us-fr).exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\antipub.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\ati_catalyst_control_center_6.1_3220.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\BlindWrite5_setup.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\bsplayer122.817.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\ccsetup127.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\daemon-tools_daemon_tools_4.0.3_anglais_10729.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\eMule0.46c_Installer.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Firefox Setup 1.5.0.3.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\HijackThis.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Install_MSN_Messenger.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\JAD6_BASIC.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\msjavwu_.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Nero-6.6.0.18.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Pack2.2.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\picasa2-current.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\PpStream_Fr.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\QuickTimeInstaller.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\RegCleaner.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\SFTPMSI.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\SkypeSetup.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\spybotsd14.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\SpySweeperTrialSetup_FR.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\spywareblastersetup351.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Update.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\viviplay.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\vlc-0.8.4-win32.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\webcamviewer.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\winamp512_full_emusic-7plus.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\winamp512_lite.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Xtremsplit.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Alcohol 120% v1.9.2.1705 Multilanguage + serial (OK)\Alcohol120_retail_1_9_2_1705.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Alcohol 120% v1.9.2.1705 Multilanguage + serial (OK)\setup.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\backups\backup-20070922-100618-306-autorun.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\backups\backup-20070922-100618-437-system.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Blindwriter 4.3.1\blindwrite_full_setup.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Blindwriter 4.3.1\cr-bws43.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\carte télé\hcwclear.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\carte télé\wintvusb_263_23081.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Daemon Tools\daemon344.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\driver canon\Disk0\cnmunins.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\driver canon\Disk0\cnmvsa.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\driver canon\Disk0\setup.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\drivers hp\SP25796.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\drivers hp\SP27936.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\drivers hp\SP30791.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Macromedia Dreamweaver MX\Macromedia Dreamweaver MX.exe
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\CDSTART.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SYMSETUP.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\MANUAL\AR600FRA.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\NAV\OMIGRATE.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\NAV\UPSWPLUG.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\NAV\EXTERNAL\COMMONFI\SYMSHARE\CFGWIZ.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\NAV\EXTERNAL\COMMONFI\SYMSHARE\DJSNETCN.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\NAV\EXTERNAL\COMMONFI\SYMSHARE\LRSEND.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\NAV\EXTERNAL\COMMONFI\SYMSHARE\SMNLNCH.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\NAV\EXTERNAL\COMMONFI\SYMSHARE\SSAUTORN.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\NAV\EXTERNAL\NORTON\BOOTWARN.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\NAV\EXTERNAL\NORTON\NAVAPW32.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\NAV\EXTERNAL\NORTON\APP\CCIMSCAN.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\NAV\EXTERNAL\NORTON\APP\NAVAPSVC.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\NAV\EXTERNAL\NORTON\APP\NAVDX.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\NAV\EXTERNAL\NORTON\APP\NAVSTUB.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\NAV\EXTERNAL\NORTON\APP\NAVW32.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\NAV\EXTERNAL\NORTON\APP\NAVWNT.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\NAV\EXTERNAL\NORTON\APP\OPSCAN.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\NAV\EXTERNAL\NORTON\APP\QCONSOLE.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\NAV\EXTERNAL\NORTON\APP\SAVSCAN.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\NAV\EXTERNAL\NORTON\APP\UNDOBOOT.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SETUP\ADBLCK\COMMON\SYMSHARE\ADBLCK\ADTRASH.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SETUP\ASCORE\COMMON\SYMSHARE\ANTISPAM\ASOELNCH.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SETUP\ASCORE\COMMON\SYMSHARE\ANTISPAM\RULEWIZ.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SETUP\FIREWALL\APP\HNETWIZ.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SETUP\ISCOMMON\APP\ALERTAST.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SETUP\ISCOMMON\APP\ALESCAN.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SETUP\ISCOMMON\APP\IAMSTATS.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SETUP\ISCOMMON\APP\LOGEXPRT.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SETUP\ISCOMMON\COMMON\SYMSHARE\ADBLCK\NSMDTR.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SETUP\PCONTROL\APP\PCWIZ.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SETUP\PCONTROL\APP\URLLSTCK.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SETUP\PCONTROL\APP\URLUPDAT.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SETUP\PRIVACY\APP\NISEMSVR.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SETUP\SETUP\COMMON\SYMSHARE\ANTISPAM\EUDOHELP.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SETUP\SYMLT\COMMON\SYMSHARE\CFGWIZ.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SETUP\SYMLT\COMMON\SYMSHARE\SMNLNCH.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SUPPORT\ALERULES\ALERULES.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SUPPORT\CCCOMMON\CCCOMMON\COMMONFI\SYMSHARE\CCAPP.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SUPPORT\CCCOMMON\CCCOMMON\COMMONFI\SYMSHARE\CCEVTMGR.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SUPPORT\CCCOMMON\CCCOMMON\COMMONFI\SYMSHARE\CCLGVIEW.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SUPPORT\CCCOMMON\CCCOMMON\COMMONFI\SYMSHARE\CCPWDSVC.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SUPPORT\CCCOMMON\CCCOMMON\COMMONFI\SYMSHARE\CCSETMGR.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SUPPORT\CCCOMMON\CCCOMMON\COMMONFI\SYMSHARE\NMAIN.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SUPPORT\DCOM98\DCOM98.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SUPPORT\EDISK\NED.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SUPPORT\FRE\FREMSI.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SUPPORT\FRE\FREUPDT.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SUPPORT\LIVEREG\LRSETUP.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SUPPORT\LUPDATE\LUSETUP.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SUPPORT\MEMSCAN\MEMSCAN.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SUPPORT\MSI\INSTMSIA.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SUPPORT\MSI\INSTMSIW.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SUPPORT\MSIE\IE55URD.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SUPPORT\MSIE\IE6SETUP.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SUPPORT\NAVTOOLS\REPAIR\AUTOUPDR\FIXUPDTR.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SUPPORT\NAVTOOLS\REPAIR\BLASTER\FIXBLAST.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SUPPORT\NAVTOOLS\REPAIR\BUGBEAR\FIXBUGB.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SUPPORT\NAVTOOLS\REPAIR\OPASERV\FIXOPSRV.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SUPPORT\NAVTOOLS\REPAIR\SOBIG.A\FIXSOBIG.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SUPPORT\NAVTOOLS\REPAIR\SOBIG.B\FXSOBIGB.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SUPPORT\NAVTOOLS\REPAIR\SOBIG.C\FIXSBIGC.EXE
c:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\Norton Internet Security\SUPPORT\NAVTOOLS\REPAIR\SOBIG.E\FIXSBIGE.EXE
c:\Documents and Settings\C
22 Septembre 2007 22:29:50

Re


$$ Télécharge ZebRestore sur le Bureau
http://telechargement.zebulon.fr/telecharger-zeb-restor...
Décompresse le.
Ouvre le dossier qui vient d'être créé.
Double clique sur Zeb-Restore.exe
Coche
- RegEdit
- Gestionnaire des tâches
- Panneau de configuration
- Ajout/Suppression de programmes
- Policies
- Réinitialiser Fichier Hosts

Clique sur Restaurer.


$$ Relance un scan HijackThis et coche les lignes ci-dessous :

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »


$$
1. Télécharge The Avenger par Swandog46 sur le Bureau
http://swandog46.geekstogo.com/avenger.zip
  • Clique sur Avenger.zip pour ouvrir le fichier
  • Extraire avenger.exe sur le bureau

    2. Copier tout le texte de la boîte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

    Files to delete:
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\autorun.exe
    C:\WINDOWS\system32\Xterm\FireDaemon.EXE
    C:\WINDOWS\system32\printer.exe
    C:\WINDOWS\system32\WinAvXX.exe
    C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\system.exe
    C:\WINDOWS\system32\iexploree.exe
    C:\WINDOWS\system\iexploree.exe
    C:\WINDOWS\system32\\winav.exe
    c:\Documents and Settings\Crx.exe
    c:\Documents and Settings\server.exe
    c:\Documents and Settings\Compaq_Propriétaire\84785_norton.exe
    c:\Documents and Settings\Compaq_Propriétaire\84785_redworld2.exe

    Folders to delete:
    C:\Program Files\fichiers communs\wiuq



    IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
    si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.


    3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.
  • Sous "Script file to execute" choisir "Input Script Manually".
  • Puis clique sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
  • Dans cette fenêtre, colle le texte précedemment copié sur le bureau par les touches (Ctrl+V).
  • Clique Done
  • ensuite clique sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
  • Répondre "Yes" deux fois quand demandé.

    4. The Avenger va automatiquement faire ce qui suit:
  • Il va Re-démarrer le système.
  • Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
  • Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
  • The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

    5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse avec un nouveau log HijackThis en utilisant REPONDRE
    22 Septembre 2007 22:46:27

    après le redémarrage, une fenêtre est apparue avec croix rouge:
    Windows- Pas de disque

    exception Processing Message c0000013 Parameters 75afbf9c 4 75afbf9c 75afbf9c. je peux annuler, recommencer ou continuer.

    je click sur "continuer" mais j'voulais qd même te le dire..
    22 Septembre 2007 22:51:26

    ouai, la fenêtre est apparu plusieurs fois puis s'est stoppée.

    voici le rapport d'Avenger:

    Logfile of The Avenger version 1, by Swandog46
    Running from registry key:
    \Registry\Machine\System\CurrentControlSet\Services\lqsfaqyb

    *******************

    Script file located at: \??\C:\Program Files\tftcebki.txt
    Script file opened successfully.

    Script file read successfully

    Backups directory opened successfully at C:\Avenger

    *******************

    Beginning to process script file:

    File C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\autorun.exe deleted successfully.


    File C:\WINDOWS\system32\Xterm\FireDaemon.EXE not found!
    Deletion of file C:\WINDOWS\system32\Xterm\FireDaemon.EXE failed!

    Could not process line:
    C:\WINDOWS\system32\Xterm\FireDaemon.EXE
    Status: 0xc0000034

    File C:\WINDOWS\system32\printer.exe deleted successfully.
    File C:\WINDOWS\system32\WinAvXX.exe deleted successfully.


    Could not open file C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\system.exe for deletion
    Deletion of file C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\system.exe failed!

    Could not process line:
    C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\system.exe
    Status: 0xc000003a



    File C:\WINDOWS\system32\iexploree.exe not found!
    Deletion of file C:\WINDOWS\system32\iexploree.exe failed!

    Could not process line:
    C:\WINDOWS\system32\iexploree.exe
    Status: 0xc0000034



    File C:\WINDOWS\system\iexploree.exe not found!
    Deletion of file C:\WINDOWS\system\iexploree.exe failed!

    Could not process line:
    C:\WINDOWS\system\iexploree.exe
    Status: 0xc0000034



    File C:\WINDOWS\system32\\winav.exe not found!
    Deletion of file C:\WINDOWS\system32\\winav.exe failed!

    Could not process line:
    C:\WINDOWS\system32\\winav.exe
    Status: 0xc0000034

    File c:\Documents and Settings\Crx.exe deleted successfully.
    File c:\Documents and Settings\server.exe deleted successfully.
    File c:\Documents and Settings\Compaq_Propriétaire\84785_norton.exe deleted successfully.
    File c:\Documents and Settings\Compaq_Propriétaire\84785_redworld2.exe deleted successfully.
    Folder C:\Program Files\fichiers communs\wiuq deleted successfully.

    Completed script processing.

    *******************

    Finished! Terminate.



    Rapport de Hijackthis:

    "Logfile of HijackThis v1.99.1
    Scan saved at 22:47:36, on 22/09/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe
    C:\Program Files\DAEMON Tools\daemon.exe
    C:\HP\KBD\KBD.EXE
    C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
    c:\windows\ServUDaemon.exe
    C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
    C:\Program Files\Anti-Blaxx2\Anti-Blaxx.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Antipub\antipub.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\notepad.exe
    \?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE
    C:\Documents and Settings\Compaq_Propriétaire\Bureau\Enguerrand\Programmes\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [ThrustTSR] C:\Program Files\Thrustmaster\Thrustmapper\TMTMTSR.exe
    O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
    O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
    O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Program Files\Anti-Blaxx2\Anti-Blaxx.exe
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
    O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{65EB32EF-9081-4910-97DD-762E2F55E754}: NameServer = 192.168.1.1
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
    O23 - Service: Serv-U FTP Server (Serv-U) - Rhino Software, Inc. +1(262) 560-9627 - c:\windows\ServUDaemon.exe

    "

    avec l'espoir que ça te parle...

    j'arrive à rentrer dans "ajout/suppression de programmes"...

    sinon, j'ai pas réussi à supprimer dans Hijackthis le autorun.exe
    Il me met un message comme quoi il est utilisé et qu'il faut que je le kill. Mais dans ma liste de processus, impossible de trouver. Hijackthis me disait qu'après je pouvais retenter de fix l'autorun.
    22 Septembre 2007 23:32:58

    Ce fichier a normalement été supprimé par The Avenger.

    Comme
    C:\WINDOWS\system32\printer.exe
    et
    C:\WINDOWS\system32\WinAvXX.exe
    Mais ces derniers avaient déja été "supprimés" par Smitfraudfix, Combofix et OTMoveIt alors qu'ils étaient encore présents ....

    Croisons les doigts.

    Fais une analyse antivirus en ligne sur Kaspersky
    http://webscanner.kaspersky.fr/
    Clique sur Démarrer Online Scanner.
    Sélectionne le poste de travail comme analyse.
    Colle son rapport ici.

    Aide toi de ce lien.
    http://www.infos-du-net.com/forum/267224-11-scan-ligne-...
    22 Septembre 2007 23:54:41

    bon ben écoute, il semblerait que tout soit rentré dans l'ordre.

    Y a t-il des possibilités que ça revienne? si oui, il existe aucun anti virus ou programme pour zapper ça?

    si ça m'arrive encore, je m'aiderai de ce qu'on a fait, j'ai plus qu'à essayer de comprendre toutes ces lignes!!

    en tout cas, un grand merci, c'est vraiment impressionnant!
    23 Septembre 2007 00:08:59

    Il vaudrait mieux faire le scan de contrôle, il peut rester des choses.
    23 Septembre 2007 12:59:55

    le scan de controle? tu veux que je reposte un Hijackthis?
    23 Septembre 2007 13:51:26

    en attendant ta réponse, j'aurai autre chose à te demander. Surtout, si ça te soule ou que tu n'as pas envie, tu me le dis, et je formaterai à la barbare...

    En fait, sur un ordinateur portable, y a un soucis d'Active Directory et Desktop. Le fond du bureau y a "Récupération d'Active Desktop" sauf que lorsque je click pour récupérer, y a rien qui se passe.

    Lorsque je click gauche sur le bureau, puis propriétés et enfin l'onglet bureau, tous les thèmes du bureau sont en grisés, je ne peux rien faire.

    Par contre, aucun soucis pour le panneau de configuration et pas de message de spam. C'est juste ce soucis d'active desktop. Et aussi IMPOSSIBLE de faire une restauration...

    je te fais le rapport de HIJACKTHIS. Si tu peux t'y pencher, je t'en remercie et si tu peux pas c'est pas grave!

    "Logfile of HijackThis v1.99.1
    Scan saved at 13:46:18, on 23/09/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
    C:\WINDOWS\system32\DVDRAMSV.exe
    C:\PVSW\Bin\WGE_SRV.exe
    C:\Program Files\OneStepSearch\onestep.exe
    C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
    C:\PVSW\BIN\W3dbsmgr.EXE
    C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\OneStepSearch\onestep.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\Program Files\DAEMON Tools\daemon.exe
    C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
    C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
    C:\Program Files\Neuf\Kit\WiFi\9wifi.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
    C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\WINDOWS\system32\RAMASST.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Skype\Plugin Manager\skypePM.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe
    C:\WINDOWS\BricoPacks\Crystal Clear\YzShadow\YzShadow.exe
    C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\PROGRA~1\Grisoft\AVG7\avginet.exe
    C:\Documents and Settings\Administrateur\Mes documents\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\Microsoft Office\Office12\GrooveShellExtensions.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
    O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll (file missing)
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM\..\Run: [Windows Framework] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\frmwrk.exe
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [Autoconfigurateur WiFi Neuf] "C:\Program Files\Neuf\Kit\WiFi\9wifi.exe"
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
    O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe"
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SpywareSoftStop] C:\Program Files\SpywareSoftStop\SpywareSoftStop.exe
    O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
    O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe
    O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzShadow\YzShadow.exe
    O4 - Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
    O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\Microsoft Office\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\Microsoft Office\Office12\ONBttnIE.dll
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\Office12\REFIEBAR.DLL
    O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\Microsoft Office\Office12\GrooveSystemServices.dll
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.8.1.0178.00.dll
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.8.1.0178.00.dll
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\Skype4COM.dll
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
    O20 - Winlogon Notify: avgwlntf - C:\WINDOWS\SYSTEM32\avgwlntf.dll
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
    O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
    O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
    O23 - Service: EBP Pervasive.SQL - Unknown owner - C:\PVSW\Bin\WGE_SRV.exe
    O23 - Service: OneStep Search Service - Unknown owner - C:\Program Files\OneStepSearch\onestep.exe" "C:\Program Files\OneStepSearch\onestep.dll" Service (file missing)

    "

    Après, s'il faut créer un nouveau post, y a pas de soucis..
    23 Septembre 2007 22:37:05

    Bonjour

    Pour le premier PC, c'est un scan en ligne sur Kaspersky que je voudrais.

    Pour le portable, pas grand chose. Il y a une infection, mais je ne sais pas si c'est cela qui provoque ce dysfonctionnement.
    Télécharge Combofix.exe (par sUBs) sur ton Bureau
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    Double clique combofix.exe et suis les invites.
    Lorsque le scan sera complété, un rapport apparaîtra.

    Copie/colle ce rapport dans ta prochaine réponse avec un nouveau HijackThis.

    24 Septembre 2007 21:09:32

    alors, voici le rapport de Combo (pour le pc portable)

    ComboFix 07-09-18.4 - "Administrateur" 2007-09-24 20:55:28.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.95 [GMT 2:00]
    * Created a new restore point
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\DOCUME~1\ADMINI~1\new.txt
    C:\install\install.exe
    C:\WINDOWS\system32\cfx32.ocx
    C:\WINDOWS\system32\ldpackage.dll
    C:\WINDOWS\system32\model.dat
    C:\WINDOWS\system32\rlxf.dll
    C:\WINDOWS\system32\silc_dll.dll
    C:\WINDOWS\wr.txt

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


    -------\LEGACY_VTL41


    ((((((((((((((((((((((((((((( Fichiers créés 2007-08-24 to 2007-09-24 ))))))))))))))))))))))))))))))))))))
    .

    2007-09-24 20:54 51,200 --a------ C:\WINDOWS\NirCmd.exe
    2007-09-24 11:02 <REP> d-------- C:\Program Files\GameSpy Arcade
    2007-09-24 11:01 <REP> d-------- C:\Program Files\Infogrames
    2007-09-23 12:39 <REP> d-------- C:\Program Files\Gran Paradiso
    2007-09-19 09:10 <REP> d-------- C:\Program Files\Google
    2007-09-19 09:10 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Google
    2007-09-14 10:00 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Help
    2007-09-14 09:25 <REP> d-------- C:\WINDOWS\system32\NtmsData
    2007-09-13 18:11 9,216 --a------ C:\WINDOWS\system32\avgwlntf.dll
    2007-09-13 17:54 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
    2007-09-13 17:54 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
    2007-09-13 17:54 110,592 --a------ C:\WINDOWS\system32\avgfwafu.dll
    2007-09-13 12:36 <REP> d-------- C:\Program Files\SpywareSoftStop
    2007-09-13 10:05 678,498 --a------ C:\WINDOWS\system32\center.exe
    2007-09-13 09:24 177,664 --a------ C:\WINDOWS\system32\drivers\Vtl41.sys
    2007-09-11 09:17 177,664 --a------ C:\WINDOWS\system32\drivers\Ntui66.sys
    2007-09-10 17:46 14,848 --a--c--- C:\WINDOWS\system32\dllcache\kbdhid.sys
    2007-09-10 17:46 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys
    2007-09-10 16:44 192,512 --a------ C:\WINDOWS\Calceuro.exe
    2007-09-10 16:44 102,400 --a------ C:\WINDOWS\system32\CmutEuro32.dll
    2007-09-10 16:43 <REP> d-------- C:\Program Files\FILBANQUE
    2007-09-10 16:39 <REP> d--h----- C:\DOCUME~1\ALLUSE~1\APPLIC~1\{B33CBE2B-A739-401D-A5E0-041195C4A17B}
    2007-09-10 16:39 <REP> d-------- C:\pvswarch
    2007-09-10 16:39 <REP> d-------- C:\PVSW
    2007-09-10 16:36 <REP> d--h----- C:\DOCUME~1\ALLUSE~1\APPLIC~1\{7BB121D6-7600-4558-AB42-6E3B25FFE647}
    2007-09-10 05:15 177,664 --a------ C:\WINDOWS\system32\drivers\symavc32.sys
    2007-09-10 05:15 177,664 --a------ C:\WINDOWS\system32\drivers\Hmxo74.sys
    2007-09-07 19:39 <REP> d-------- C:\Program Files\Fichiers communs\DirectX
    2007-09-07 19:04 <REP> d-------- C:\Program Files\ValuSoft
    2007-09-07 19:01 <REP> d-------- C:\Program Files\Managed DirectX (0900)
    2007-09-06 18:25 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Comptabilit‚ et Facturation
    2007-09-06 17:32 1,929,216 --a------ C:\WINDOWS\system32\cdintf250.dll
    2007-09-06 17:32 <REP> d-------- C:\EBP
    2007-09-03 19:20 <REP> d-------- C:\Program Files\lottso
    2007-08-31 12:13 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Pogo Games

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-09-24 19:11 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Skype
    2007-09-24 11:01 --------- d--h----- C:\Program Files\InstallShield Installation Information
    2007-09-22 12:50 96256 --a------ C:\WINDOWS\system32\drivers\sptd2541.sys
    2007-09-14 10:14 --------- d-------- C:\Program Files\themexp
    2007-09-13 19:27 --------- d-------- C:\Program Files\FlashGet
    2007-09-10 16:47 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\EBP
    2007-09-10 16:38 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\EBP
    2007-09-10 16:36 --------- d-------- C:\Program Files\Fichiers communs\EBP
    2007-09-10 16:36 --------- d-------- C:\Program Files\EBP
    2007-09-06 17:31 --------- d-------- C:\Program Files\Fichiers communs\InstallShield
    2007-09-02 17:39 --------- d-------- C:\Program Files\WinTV
    2007-08-19 21:12 --------- d-------- C:\Program Files\MeuhMeuhTV
    2007-08-18 23:07 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\PlayFirst
    2007-08-14 11:49 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Escape From Paradise
    2007-08-14 11:48 --------- d-------- C:\Program Files\Fichiers communs\BOONTY Shared
    2007-08-10 12:11 --------- d-------- C:\Program Files\MSN Messenger
    2007-08-08 23:01 --------- d-------- C:\Program Files\BSplayer
    2007-08-07 16:41 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft Help
    2007-08-07 16:39 --------- d-------- C:\Program Files\Microsoft Works
    2007-08-07 16:38 --------- d-------- C:\Program Files\MSBuild
    2007-08-07 16:36 --------- d-------- C:\Program Files\Microsoft.NET
    2007-08-07 16:25 223128 --a------ C:\WINDOWS\system32\drivers\dtscsi.sys
    2007-08-07 16:25 --------- d-------- C:\Program Files\DAEMON Tools
    2007-08-07 16:18 642560 --a------ C:\WINDOWS\system32\drivers\sptd.sys
    2007-08-07 15:56 --------- d-------- C:\Program Files\Skype
    2007-08-07 15:56 --------- d-------- C:\Program Files\Fichiers communs\Skype
    2007-08-07 15:56 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Skype
    2007-08-07 12:04 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\AdobeUM
    2007-08-06 00:59 5597 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd
    2007-08-06 00:59 50760 --a------ C:\WINDOWS\BricoPackUninst.cmd
    2007-08-06 00:59 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\GRETECH
    2007-08-06 00:58 --------- d-------- C:\Program Files\GRETECH
    2007-08-06 00:58 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\GRETECH
    2007-08-06 00:52 --------- d-------- C:\Program Files\OneStepSearch
    2007-08-06 00:32 8464 --a------ C:\WINDOWS\system32\sporder.dll
    2007-08-05 13:20 219648 --a------ C:\WINDOWS\system32\uxtheme.dll
    2007-08-05 13:10 --------- d-------- C:\Program Files\CONEXANT
    2007-08-05 12:47 --------- d-------- C:\Program Files\Mozilla Firefox(2)
    2007-08-05 12:46 --------- d-------- C:\Program Files\Nvu
    2007-08-05 12:46 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Nvu
    2007-08-05 12:41 --------- d-------- C:\Program Files\LMSOFT Web Creator Pro 4(2)
    2007-08-05 12:37 --------- d-------- C:\Program Files\ZenScripT
    2007-08-05 12:37 --------- d-------- C:\Program Files\mIRC
    2007-08-05 12:34 --------- d-------- C:\Program Files\Words
    2007-08-05 12:34 --------- d-------- C:\Program Files\MSN Messenger(2)
    2007-08-05 12:05 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Oberon Games
    2007-08-05 11:41 --------- d-------- C:\Program Files\Zylom Games
    2007-08-05 11:37 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Zylom
    2007-08-03 16:43 --------- d-------- C:\Program Files\Mindscape
    2007-08-02 19:24 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\BOONTY
    2007-08-02 13:34 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\~LM00002.tmp
    2007-07-28 17:25 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\~LM00001.tmp
    2007-07-26 17:51 --------- d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Talkback
    2007-07-26 12:31 --------- d-------- C:\Program Files\Synaptics
    2007-07-26 12:30 --------- d-------- C:\Program Files\TOSHIBA
    2007-07-26 12:30 --------- d-------- C:\Program Files\DVD-RAM
    2007-07-26 12:28 --------- d-------- C:\Program Files\INPROCOMM
    2007-07-25 20:14 --------- d-------- C:\Program Files\Neuf
    2007-07-25 18:22 --------- d-------- C:\Program Files\Fichiers communs\SpeechEngines
    2007-07-25 18:22 --------- d-------- C:\Program Files\Fichiers communs\ODBC
    2007-07-25 16:42 --------- d-------- C:\Program Files\WinISO
    2007-07-25 16:42 --------- d-------- C:\Program Files\DVD Shrink
    2007-07-25 16:42 --------- d-------- C:\Program Files\Alcohol Soft
    2007-07-25 16:42 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\DVD Shrink
    2007-07-25 16:40 --------- d-------- C:\Program Files\Fichiers communs\Ahead
    2007-07-25 16:40 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\MSN Messenger 6.2.0137
    2007-07-25 16:33 --------- d-------- C:\Program Files\microsoft frontpage
    2007-07-25 16:30 --------- d-------- C:\Program Files\Services en ligne
    2007-07-25 16:29 --------- d-------- C:\Program Files\Fichiers communs\MSSoap
    --------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Comptabilité et Facturation
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
    "SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe" [2004-06-03 22:05]
    "SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2004-12-16 11:34]
    "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2004-12-16 11:34]
    "igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2006-02-07 08:39]
    "igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-02-07 08:36]
    "igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2006-02-07 08:40]
    "DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2005-12-10 16:57]
    "GrooveMonitor"="C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47]
    "AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-09-15 09:06]
    "Autoconfigurateur WiFi Neuf"="C:\Program Files\Neuf\Kit\WiFi\9wifi.exe" [2007-02-14 13:06]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
    "TOSCDSPD"="C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2003-09-15 16:19]
    "RocketDock"="C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe" [2006-05-14 22:47]
    "Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2007-08-06 12:43]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 02:54]
    "SpywareSoftStop"="C:\Program Files\SpywareSoftStop\SpywareSoftStop.exe" []

    C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\
    RAMASST.lnk - C:\WINDOWS\system32\RAMASST.exe [2007-07-26 12:30:04]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
    "NoSetActiveDesktop"=1 (0x1)

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "NoSetActiveDesktop"=1 (0x1)

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    "{740470CC-C8E1-4325-BD9B-03DD0C0C226C}"= haspnt32.dll [ ]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgwlntf]
    avgwlntf.dll 2007-09-13 18:11 9216 C:\WINDOWS\system32\avgwlntf.dll

    R1 SMBHC;Pilote de contrôleur hôte du bus de gestion du système Microsoft;C:\WINDOWS\system32\DRIVERS\SMBHC.sys
    R2 EBP Pervasive.SQL;EBP Pervasive.SQL;C:\PVSW\Bin\WGE_SRV.exe
    R2 OneStep Search Service;OneStep Search Service;"C:\Program Files\OneStepSearch\onestep.exe" "C:\Program Files\OneStepSearch\onestep.dll" Service
    R3 IPN2220;INPROCOMM IPN2220 Wireless LAN Card Driver;C:\WINDOWS\system32\DRIVERS\i2220ntx.sys
    R3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys
    R3 SMBBATT;Pilote de batterie intelligente Microsoft;C:\WINDOWS\system32\DRIVERS\SMBBATT.sys
    S3 NuVision;Hauppauge WinTV USB Pro (PAL/SECAM);C:\WINDOWS\system32\DRIVERS\NUVision.sys
    S4 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe"


    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
    AutoRun\command- E:\SETUP.EXE
    configure\command- E:\SETUP.EXE
    install\command- E:\SETUP.EXE

    .
    **************************************************************************

    catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-09-24 21:01:55
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2007-09-24 21:04:56 - machine was rebooted
    C:\ComboFix-quarantined-files.txt ... 2007-09-24 21:04
    .
    --- E O F ---


    Puis l'hijackthis:

    Logfile of HijackThis v1.99.1
    Scan saved at 21:07, on 24/09/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
    C:\WINDOWS\system32\DVDRAMSV.exe
    C:\PVSW\Bin\WGE_SRV.exe
    C:\Program Files\OneStepSearch\onestep.exe
    C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
    C:\PVSW\BIN\W3dbsmgr.EXE
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\OneStepSearch\onestep.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\Program Files\DAEMON Tools\daemon.exe
    C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
    C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
    C:\Program Files\Neuf\Kit\WiFi\9wifi.exe
    C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
    C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\WINDOWS\system32\RAMASST.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe
    C:\WINDOWS\BricoPacks\Crystal Clear\YzShadow\YzShadow.exe
    C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\Program Files\Skype\Plugin Manager\skypePM.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\Administrateur\Mes documents\Mes fichiers reçus\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\Microsoft Office\Office12\GrooveShellExtensions.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
    O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll (file missing)
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [Autoconfigurateur WiFi Neuf] "C:\Program Files\Neuf\Kit\WiFi\9wifi.exe"
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
    O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe"
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SpywareSoftStop] C:\Program Files\SpywareSoftStop\SpywareSoftStop.exe
    O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
    O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe
    O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzShadow\YzShadow.exe
    O4 - Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
    O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\Microsoft Office\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\Microsoft Office\Office12\ONBttnIE.dll
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\Office12\REFIEBAR.DLL
    O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\Microsoft Office\Office12\GrooveSystemServices.dll
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.8.1.0178.00.dll
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.8.1.0178.00.dll
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\Skype4COM.dll
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
    O20 - Winlogon Notify: avgwlntf - C:\WINDOWS\SYSTEM32\avgwlntf.dll
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
    O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
    O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
    O23 - Service: EBP Pervasive.SQL - Unknown owner - C:\PVSW\Bin\WGE_SRV.exe
    O23 - Service: OneStep Search Service - Unknown owner - C:\Program Files\OneStepSearch\onestep.exe" "C:\Program Files\OneStepSearch\onestep.dll" Service (file missing)


    Sinon, un écran bleu avec du texte (vidage de la mémoire) apparait. Je n'ai qu'une chose à faire: couper le pc... après, c'est possible que ça soit la carte mère qui fatigue... je sais pas si les deux rapports que je te donne vont répondre à cette interrogation.

    Pour l'autre pc (celui au spam), je fais le scan kasperky durant la nuit et je poste ça demain matin. Mais effectivement, y a encore de l'infection. Je l'avais commencé et il m'a mis 2 infections...
    24 Septembre 2007 21:34:05

    Re

    Un peu de ménage a été fait.

    Relance un scan HijackThis et coche les lignes ci-dessous :

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
    O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll (file missing)
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKCU\..\Run: [SpywareSoftStop] C:\Program Files\SpywareSoftStop\SpywareSoftStop.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

    Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »


    Désinstalle et supprime SpywareSoftStop.


    Télécharge clean.zip
    http://www.malekal.com/download/clean.zip
    Décompresse le sur ton bureau
    Double-clic sur clean qui se trouve dans le dossier clean.
    Choisis l'option 1
    Un rapport va etre généré, colle le contenu entier ici.
    24 Septembre 2007 22:36:08

    voici le rapport de clean, avec tous mes remerciements... j'me répète, je sais!

    Logfile of HijackThis v1.99.1
    Scan saved at 21:07, on 24/09/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
    C:\WINDOWS\system32\DVDRAMSV.exe
    C:\PVSW\Bin\WGE_SRV.exe
    C:\Program Files\OneStepSearch\onestep.exe
    C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
    C:\PVSW\BIN\W3dbsmgr.EXE
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\OneStepSearch\onestep.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\Program Files\DAEMON Tools\daemon.exe
    C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
    C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
    C:\Program Files\Neuf\Kit\WiFi\9wifi.exe
    C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
    C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\WINDOWS\system32\RAMASST.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe
    C:\WINDOWS\BricoPacks\Crystal Clear\YzShadow\YzShadow.exe
    C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    C:\Program Files\Skype\Plugin Manager\skypePM.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\Administrateur\Mes documents\Mes fichiers reçus\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\Microsoft Office\Office12\GrooveShellExtensions.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
    O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll (file missing)
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [Autoconfigurateur WiFi Neuf] "C:\Program Files\Neuf\Kit\WiFi\9wifi.exe"
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
    O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe"
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SpywareSoftStop] C:\Program Files\SpywareSoftStop\SpywareSoftStop.exe
    O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
    O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe
    O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzShadow\YzShadow.exe
    O4 - Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
    O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\Microsoft Office\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\Microsoft Office\Office12\ONBttnIE.dll
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\Office12\REFIEBAR.DLL
    O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\Microsoft Office\Office12\GrooveSystemServices.dll
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.8.1.0178.00.dll
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\msgrapp.8.1.0178.00.dll
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\Skype4COM.dll
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
    O20 - Winlogon Notify: avgwlntf - C:\WINDOWS\SYSTEM32\avgwlntf.dll
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
    O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
    O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
    O23 - Service: EBP Pervasive.SQL - Unknown owner - C:\PVSW\Bin\WGE_SRV.exe
    O23 - Service: OneStep Search Service - Unknown owner - C:\Program Files\OneStepSearch\onestep.exe" "C:\Program Files\OneStepSearch\onestep.dll" Service (file missing)

    24 Septembre 2007 22:38:28

    Tu viens de remettre le rapport Hijackthis, pas le rapport de Clean ;-)
        • 1 / 2
        • 2
        • Dernier
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS