Se connecter / S'enregistrer
Votre question

problemes avec differents trojans même apres plusieurs scans

Tags :
  • Windows
  • Sécurité
Dernière réponse : dans Sécurité et virus
18 Septembre 2007 17:51:59

bonjour ames charitables et les autres aussi...

Comme l'explique le titre du sujet j'ai de graves problemes avec mon PC depuis hier.

J'ai deja eu des virii (ca ce dit hein?) par le passé et apres un scan avec mon antivirus Avira antivir tout revenait dans l'ordre. Mais cette fois c'est bien plus dur!

on anti virus trouve :
worm/vanbot.dt.2
tr/pck.klone.k.20
tr/cryptexe.a
tr/crypt.xpack.gen
tr/tldr.conhook.ah.9

sans pour autant pouvoir en venir a bout. J'ai essayé de scanner en ligne mon disque dur avec trend micro houscall (je crois) mais l me fait une erreur avant la fin. Ils se situent tous dans le dossier windows dans temp ou system 32

De plus,la frappe de mon clavier est bizarre depuis hier: si je veux taper le mot bonjour je me retrouve avec bonourj, les lettres apparaissent dans le desordre ( c'est donc tres dur d'ecrire ce message)

voici un rapport hijackthis (qui ne veut absolument rien dire pour moi) au besoin et d'avance merci!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:50:18, on 18/09/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\oequprd.exe
C:\WINDOWS\System32\winIogon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\logon.exe
C:\WINDOWS\System32\rdla.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\Isass.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\czsrv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\afzic.exe
C:\DOCUME~1\admin\LOCALS~1\Temp\Rar$EX00.063\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\czsrv.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [qprfsymm] C:\WINDOWS\System32\qprfsymm.exe
O4 - HKLM\..\Run: [Microsoft Visual Studio VSA] varpc32.exe
O4 - HKLM\..\Run: [Windows Update Manager] updmgr.exe
O4 - HKLM\..\Run: [xax] C:\WINDOWS\xax.exe
O4 - HKLM\..\Run: [scREdp.exe] c:\documents and settings\samir\local settings\temp\scREdp.exe
O4 - HKLM\..\Run: [Microsoft Windows System Update] rpcxupdtsys.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [notes] notes.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\tsjkcxd.exe
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe
O4 - HKLM\..\Run: [Services] C:\WINDOWS\System32\rdla.exe
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\System32\afzic.exe
O4 - HKLM\..\RunServices: [Microsoft Visual Studio VSA] varpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Windows System Update] rpcxupdtsys.exe
O4 - HKLM\..\RunServices: [Windows Update Manager] updmgr.exe
O4 - HKLM\..\RunServices: [notes] notes.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Windows System Update] rpcxupdtsys.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-606747145-1770027372-682003330-1007\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-606747145-1770027372-682003330-1007 Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe (User '?')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578....
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall-beta.trendmicro.com/housecall/xscan60....
O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://www.mayeticvillage.fr/qp2.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab285...
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/1627b6337fb824609806/netzip/RdxIE6...
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall....
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDown...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.ca...
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown....
O20 - AppInit_DLLs: c:\windows\system32\gebywxu.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Szservice - Unknown owner - C:\WINDOWS\czsrv.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
O23 - Service: Windows Update Manager (Update Manager ) - Unknown owner - C:\WINDOWS\System32\updmgr.exe (file missing)

--
End of file - 8986 bytes




Autres pages sur : problemes differents trojans plusieurs scans

a b 8 Sécurité
18 Septembre 2007 17:55:22

Bonjour,

Tu es très infecté !

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
  • Double-clique VundoFix.exe afin de le lancer
  • Clique sur le bouton Scan for Vundo
  • Lorsque le scan est complété, clique sur le bouton Remove Vundo
  • Une invite te demandera si tu veux supprimer les fichiers, clique YES
  • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  • Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  • Copie/colle le contenu du rapport situé dans C:\vundofix.txt.
    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

    &

    Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
    Double clique sur SDFix.exe et choisis Install pour l'extraire sur le Bureau.

    Redémarre en mode sans échec

  • Ouvre le dossier SDFix qui vient d'être créé à la racine de ton dique dur (C:) et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.

    &

  • Télécharge combofix.exe (par sUBs) sur ton Bureau.
  • Double clique combofix.exe.
  • Tape sur la touche 1 (Yes) pour démarrer le scan.
  • Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt
    18 Septembre 2007 18:18:16

    merci pour la réponse rapide MAIS Vundo ne se lance pas il fait une erreur :

    erreur d'execution '- 2747023174 (800706ba)':
    erreur de systeme &H800706ba (-2747023174) le serveur rpc n'est pas disponible
    Contenus similaires
    a b 8 Sécurité
    18 Septembre 2007 18:28:13

    Continue alors.
    18 Septembre 2007 19:35:36

    me revoila après avoir effectué les manips (d'ailleurs merci)

    j'ai réussi à faire les 3 scan (apres reboot il s'est averé que vundo fonctionnait)

    voici les rapports


    VundoFix V6.5.8

    Checking Java version...

    Scan started at 18:35:08 18/09/2007

    Listing files found while scanning....

    No infected files were found.


    Beginning removal...
    --------------------------------------------------------------

    SDFix: Version 1.105

    Run by admin on 18/09/2007 at 18:51

    Microsoft Windows XP [version 5.1.2600]

    Running From: C:\DOCUME~1\admin\Bureau\SDFix

    Safe Mode:
    Checking Services:

    Name:
    MSWindows
    Szservice

    ImagePath:
    "C:\WINDOWS\System32\urdvxc.exe" /service
    "C:\WINDOWS\czsrv.exe"

    MSWindows - Deleted
    Szservice - Deleted


    C:\WINDOWS\system32\Microsoft\backup.ftp Found
    C:\WINDOWS\system32\Microsoft\backup.tftp Found

    Checking files:

    Genuine:
    C:\WINDOWS\system32\Microsoft\backup.ftp
    C:\WINDOWS\system32\Microsoft\backup.tftp

    Dummy:
    C:\WINDOWS\system32\ftp.exe
    C:\WINDOWS\system32\tftp.exe
    C:\WINDOWS\system32\dllcache\ftp.exe
    C:\WINDOWS\system32\dllcache\tftp.exe

    Files copied to SDFix\Backups

    Restoring files if backups are found

    Final Check:

    Genuine:
    C:\WINDOWS\system32\Microsoft\backup.ftp
    C:\WINDOWS\system32\Microsoft\backup.tftp
    C:\WINDOWS\system32\ftp.exe
    C:\WINDOWS\system32\tftp.exe
    C:\WINDOWS\system32\dllcache\ftp.exe
    C:\WINDOWS\system32\dllcache\tftp.exe

    Dummy:



    Restoring Windows Registry Values
    Restoring Windows Default Hosts File
    Resetting AppInit_DLLs value


    Rebooting...


    Normal Mode:
    Checking Files:

    Trojan Files Found:

    C:\WINDOWS\system32\.exe - Deleted
    C:\WINDOWS\SYSTEM32\AWTSSQR.DLL - Deleted
    C:\WINDOWS\SYSTEM32\DDAYAXY.DLL - Deleted
    C:\WINDOWS\SYSTEM32\DDCCYWX.DLL - Deleted
    C:\WINDOWS\SYSTEM32\DDCYWUV.DLL - Deleted
    C:\WINDOWS\SYSTEM32\GEBCBYA.DLL - Deleted
    C:\WINDOWS\SYSTEM32\GEBCDCC.DLL - Deleted
    C:\WINDOWS\SYSTEM32\GEBYWXU.DLL - Deleted
    C:\WINDOWS\SYSTEM32\GEEBYWX.DLL - Deleted
    C:\WINDOWS\SYSTEM32\GEEDEDD.DLL - Deleted
    C:\WINDOWS\SYSTEM32\JKHFDBC.DLL - Deleted
    C:\WINDOWS\SYSTEM32\JKHHECD.DLL - Deleted
    C:\WINDOWS\SYSTEM32\MLJGECD.DLL - Deleted
    C:\WINDOWS\SYSTEM32\MLJGFDE.DLL - Deleted
    C:\WINDOWS\SYSTEM32\MLJJHFG.DLL - Deleted
    C:\WINDOWS\SYSTEM32\PMNLKJJ.DLL - Deleted
    C:\WINDOWS\SYSTEM32\PMNLKKK.DLL - Deleted
    C:\WINDOWS\SYSTEM32\PMNLLKK.DLL - Deleted
    C:\WINDOWS\SYSTEM32\PMNNLKK.DLL - Deleted
    C:\WINDOWS\SYSTEM32\PMNNNMM.DLL - Deleted
    C:\WINDOWS\SYSTEM32\VTSQOMN.DLL - Deleted
    C:\WINDOWS\SYSTEM32\VTSQPNO.DLL - Deleted
    C:\WINDOWS\SYSTEM32\VTSTUTT.DLL - Deleted
    C:\WINDOWS\SYSTEM32\VTUTRQQ.DLL - Deleted
    C:\WINDOWS\SYSTEM32\VTUTSSS.DLL - Deleted
    C:\WINDOWS\SYSTEM32\FTPUPD.EXE - Deleted
    C:\WINDOWS\SYSTEM32\IT.EXE - Deleted
    C:\WINDOWS\SYSTEM32\BKLFJE.EXE - Deleted
    C:\WINDOWS\SYSTEM32\GKXJG.EXE - Deleted
    C:\WINDOWS\SYSTEM32\LOIOGEBD.EXE - Deleted
    C:\WINDOWS\SYSTEM32\PNIBOBCB.EXE - Deleted
    C:\WINDOWS\SYSTEM32\TZNGM.EXE - Deleted
    C:\WINDOWS\wnwh.exe.tmp - Deleted
    C:\WINDOWS\system32\sndvol32.exe.tmp - Deleted
    C:\WINDOWS\czsrv.exe - Deleted
    C:\WINDOWS\system32\.exe - Deleted
    C:\WINDOWS\system32\csrs.exe - Deleted
    C:\WINDOWS\system32\Isass.exe - Deleted
    C:\WINDOWS\system32\logon.exe - Deleted
    C:\WINDOWS\system32\Microsoft\backup.ftp - Deleted
    C:\WINDOWS\system32\Microsoft\backup.tftp - Deleted
    C:\WINDOWS\system32\TFTP2624 - Deleted
    C:\WINDOWS\system32\TFTP2820 - Deleted
    C:\WINDOWS\system32\TFTP3808 - Deleted
    C:\WINDOWS\system32\TFTP3844 - Deleted
    C:\WINDOWS\system32\TFTP3868 - Deleted
    C:\WINDOWS\system32\urdvxc.exe - Deleted

    Could Not Remove C:\WINDOWS\system32\winIogon.exe


    Removing Temp Files...

    ADS Check:

    C:\WINDOWS
    No streams found.

    C:\WINDOWS\system32
    No streams found.

    C:\WINDOWS\system32\svchost.exe
    No streams found.

    C:\WINDOWS\system32\ntoskrnl.exe
    No streams found.



    Final Check:

    Remaining Services:
    ------------------




    Authorized Application Key Export:

    Remaining Files:
    ---------------
    C:\WINDOWS\system32\winIogon.exe Found

    File Backups: - C:\DOCUME~1\admin\Bureau\SDFix\backups\backups.zip

    Files with Hidden Attributes:

    C:\WINDOWS\system32\dllcache\Dirhost.com
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Outlook Express\msimn.exe
    C:\WINDOWS\wnwh.exe
    C:\WINDOWS\system32\shrr.exe
    C:\WINDOWS\system32\wms.exe
    C:\WINDOWS\system32\xygqshqm.exe
    C:\Documents and Settings\admin\Application Data\Microsoft\Word\~WRL0476.tmp
    C:\Documents and Settings\admin\Mes documents\Mes images\meilleures photos\Nath Mannequin\SIV95.tmp
    C:\Documents and Settings\admin\Mes documents\Mes images\meilleures photos\Nath Mannequin\SIV96.tmp
    C:\WINDOWS\LastGood.Tmp\INF\oem4.inf
    C:\WINDOWS\LastGood.Tmp\INF\oem4.PNF
    C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\0e92ff5501f813d2ec95068424de2bb6\download\BITF.tmp

    Finished!
    --------------------------------------------------------------
    ComboFix 07-09-18.4 - "admin" 2007-09-18 19:17:35.1 - NTFSx86
    .
    ADS - svchost.exe: deleted 68 bytes in 1 streams.
    ADS - ntoskrnl.exe: deleted 68 bytes in 1 streams.

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\system32\.exe
    C:\WINDOWS\system32\cbxvuvv.dll
    C:\WINDOWS\system32\firewall.exe
    C:\WINDOWS\system32\jkklj.dll
    C:\WINDOWS\system32\jlkkj.bak1
    C:\WINDOWS\system32\jlkkj.ini
    C:\WINDOWS\system32\tuvtspo.dll

    .
    ((((((((((((((((((((((((( Files Created from 2007-08-18 to 2007-09-18 )))))))))))))))))))))))))))))))
    .

    2007-09-18 19:25 100,352 --ah----- C:\WINDOWS\system32\krxatg.exe
    2007-09-18 19:24 81,920 --ah----- C:\WINDOWS\system32\saodlb.exe
    2007-09-18 19:16 211,968 -r-hs---- C:\WINDOWS\system32\Tilecomgm.com
    2007-09-18 19:14 80,384 ---h----- C:\sdszfszzo.exe
    2007-09-18 19:14 23,552 --a------ C:\WINDOWS\system32\wmimgr32.dll
    2007-09-18 19:10 55,004 --ah----- C:\WINDOWS\system32\sjye.exe
    2007-09-18 19:10 38,912 -r-hs---- C:\WINDOWS\system\NOTEPAD.exe
    2007-09-18 19:10 38,912 --a------ C:\WINDOWS\system32\re1.exe
    2007-09-18 19:10 115 --a------ C:\WINDOWS\system32\qvhih.bat
    2007-09-18 19:09 545,280 --a------ C:\WINDOWS\system32\win2682.dll
    2007-09-18 19:09 39,936 --a------ C:\WINDOWS\system32\winresponse32.exe
    2007-09-18 19:09 123 --a------ C:\WINDOWS\system32\gpqm.bat
    2007-09-18 19:08 81,920 --ah----- C:\WINDOWS\system32\yyxaasw.exe
    2007-09-18 19:08 114 --a------ C:\WINDOWS\system32\tmtr.bat
    2007-09-18 19:07 143,360 --ah----- C:\WINDOWS\system32\lcnk.exe
    2007-09-18 19:06 73,728 --ah----- C:\WINDOWS\system32\soosjz.exe
    2007-09-18 19:06 122 --a------ C:\WINDOWS\system32\lgpgjn.bat
    2007-09-18 19:06 121 --a------ C:\WINDOWS\system32\coxrl.bat
    2007-09-18 19:06 100,352 --ah----- C:\WINDOWS\system32\tynvdl.exe
    2007-09-18 19:05 126 --a------ C:\WINDOWS\system32\epwp.bat
    2007-09-18 19:05 116 --a------ C:\WINDOWS\system32\hrrnyz.bat
    2007-09-18 19:04 48,136 --ah----- C:\WINDOWS\system32\frgv.exe
    2007-09-18 19:03 8,482 --ahs---- C:\WINDOWS\system32\wms.exe
    2007-09-18 18:50 <REP> d-------- C:\WINDOWS\ERUNT
    2007-09-18 18:37 28,160 --a------ C:\WINDOWS\system32\lksayz.exe
    2007-09-18 18:36 149,504 -r-hsc--- C:\WINDOWS\system32\dllcache\Dirhost.com
    2007-09-18 18:35 <REP> d-------- C:\VundoFix Backups
    2007-09-18 18:30 63,488 --a------ C:\WINDOWS\system32\vrtqesrb.exe
    2007-09-18 18:30 63,488 --a------ C:\WINDOWS\system32\btjektwz.exe
    2007-09-18 18:22 51,200 --a------ C:\WINDOWS\NirCmd.exe
    2007-09-18 18:14 63,488 --a------ C:\DOCUME~1\ALLUSE~1\APPLIC~1\nbkrjlbx.exe
    2007-09-18 17:32 64,816 --a------ C:\WINDOWS\system32\afzic.exe
    2007-09-18 17:18 40,960 --a------ C:\5c3x8p2r8t8.exe
    2007-09-18 17:18 <REP> d--h----- C:\Program Files\Fichiers communs\Carlson
    2007-09-18 16:54 28,160 --------- C:\WINDOWS\system32\rdla.exe
    2007-09-18 16:47 1,635 --a------ C:\WINDOWS\system32\wbrvcoym.exe
    2007-09-18 16:35 1,635 --a------ C:\WINDOWS\system32\ujlv.exe
    2007-09-18 15:23 68,560 --a------ C:\WINDOWS\system32\huxx.exe
    2007-09-18 15:22 24,090 --------- C:\WINDOWS\system32\oequprd.exe
    2007-09-18 15:18 233,472 --a------ C:\WINDOWS\system32\grs.exe
    2007-09-18 15:01 <REP> d-------- C:\WINDOWS\avxoscan
    2007-09-18 13:24 55,004 --ah----- C:\WINDOWS\system32\shrr.exe
    2007-09-18 13:24 117 --a------ C:\WINDOWS\system32\rubripf.bat
    2007-09-18 13:23 55,004 --ah----- C:\WINDOWS\system32\xygqshqm.exe
    2007-09-18 13:23 475,136 --a------ C:\WINDOWS\system32\bkc.exe
    2007-09-18 13:23 127 --a------ C:\WINDOWS\system32\vxqxk.bat
    2007-09-17 12:20 88,688 -ra------ C:\WINDOWS\system32\drivers\SE27mgmt.sys
    2007-09-17 12:20 86,560 -ra------ C:\WINDOWS\system32\drivers\SE27obex.sys
    2007-09-13 22:27 97,184 -ra------ C:\WINDOWS\system32\drivers\SE27mdm.sys
    2007-09-13 22:27 9,360 -ra------ C:\WINDOWS\system32\drivers\SE27mdfl.sys
    2007-09-13 22:27 6,240 -ra------ C:\WINDOWS\system32\drivers\SE27cmnt.sys
    2007-09-13 22:27 6,240 -ra------ C:\WINDOWS\system32\drivers\SE27cm.sys
    2007-09-13 22:21 <REP> d-------- C:\DOCUME~1\admin\APPLIC~1\Teleca
    2007-09-13 22:21 <REP> d-------- C:\DOCUME~1\admin\APPLIC~1\Sony Ericsson
    2007-09-13 22:17 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
    2007-09-13 22:16 <REP> d-------- C:\Program Files\Sony Ericsson
    2007-09-13 22:16 <REP> d-------- C:\Program Files\Fichiers communs\Teleca Shared
    2007-09-13 22:16 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Teleca
    2007-09-13 22:16 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Sony Ericsson
    2007-09-13 22:10 61,600 -ra------ C:\WINDOWS\system32\drivers\SE27bus.sys
    2007-09-13 22:10 5,872 -ra------ C:\WINDOWS\system32\drivers\SE27whnt.sys
    2007-09-13 22:10 5,872 -ra------ C:\WINDOWS\system32\drivers\SE27wh.sys
    2007-09-13 22:10 28,160 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
    2007-09-13 22:10 28,160 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
    2007-09-13 22:09 <REP> d-------- C:\WUTemp
    2007-08-25 19:47 3,729 --a------ C:\WINDOWS\mozver.dat
    2007-08-25 13:36 0 --a------ C:\WINDOWS\nsreg.dat

    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-09-18 18:28 63488 --a------ C:\WINDOWS\Help\tsbjbtvn.exe
    2007-09-18 18:28 63488 --a------ C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Cnt\tjnbzhbh.exe
    2007-09-18 18:28 63488 --a------ C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Audio\lllknblj.exe
    2007-09-18 18:28 63488 --a------ C:\WINDOWS\Help\jjlenkbt.exe
    2007-09-18 18:28 63488 --a------ C:\WINDOWS\Help\jbnshhqj.exe
    2007-09-18 18:28 63488 --a------ C:\WINDOWS\Help\hwexrtne.exe
    2007-09-18 18:28 63488 --a------ C:\WINDOWS\Help\bzehxvnz.exe
    2007-09-18 18:28 63488 --a------ C:\WINDOWS\Help\bxhltkek.exe
    2007-09-18 18:27 --------- d-------- C:\Program Files\Winamp
    2007-09-18 18:26 --------- d-------- C:\Program Files\QuickTime
    2007-09-18 18:14 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\AntiVir PersonalEdition Classic
    2007-09-18 16:54 --------- d-------- C:\Program Files\eMule
    2007-09-17 18:47 6870 --a------ C:\Program Files\samir.txt
    2007-08-31 12:33 6 --a------ C:\Program Files\nomutil.txt
    2007-08-19 21:52 --------- d-------- C:\Program Files\GrabIt
    2007-08-11 13:49 --------- d-------- C:\Program Files\VideoLAN
    2007-08-11 13:15 --------- d--h----- C:\Program Files\InstallShield Installation Information
    2007-08-11 13:09 --------- d-------- C:\Program Files\Wanadoo
    2007-07-26 22:29 --------- d-------- C:\Program Files\Fichiers communs\AVSMedia
    2007-07-26 22:29 --------- d-------- C:\Program Files\AVSMedia
    2007-07-26 21:54 --------- d-------- C:\DOCUME~1\admin\APPLIC~1\dvdcss
    2007-07-25 13:20 --------- dr-h----- C:\DOCUME~1\admin\APPLIC~1\SecuROM
    2002-08-29 09:45:10 80,384 --shatw C:\WINDOWS\system32\dtzdrdebn.exe
    .

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .

    *Note* empty entries & legit default entries are not shown

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "@"="" []
    "NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2005-07-03 14:12]
    "qprfsymm"="C:\WINDOWS\System32\qprfsymm.exe" []
    "Microsoft Visual Studio VSA"="varpc32.exe" []
    "xax"="C:\WINDOWS\xax.exe" []
    "scREdp.exe"="c:\documents and settings\samir\local settings\temp\scREdp.exe" []
    "Microsoft Windows System Update"="rpcxupdtsys.exe" []
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe" [2004-12-06 21:31]
    "Log System"="C:\WINDOWS\System32\dtzdrdebn.exe" [2002-08-29 11:45]
    "notes"="notes.exe" []
    "WMC_AutoUpdate"="" []
    "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-12-05 20:27]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2005-12-27 18:40]
    "avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-09-07 13:26]
    "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-08-11 21:43]
    "nwiz"="nwiz.exe" [2006-08-11 21:43 C:\WINDOWS\system32\nwiz.exe]
    "NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2006-08-11 21:43]
    "Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 17:17]
    "Windows Logon Application"="C:\WINDOWS\System32\winIogon.exe" [2002-08-29 11:45]
    "PC Tilecomgm"="Tilecomgm.com" [2007-09-18 19:16 C:\WINDOWS\system32\Tilecomgm.com]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 11:45]
    "Microsoft Windows System Update"="rpcxupdtsys.exe" []
    "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2005-09-19 07:14]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
    "Microsoft Visual Studio VSA"=varpc32.exe
    "Microsoft Windows System Update"=rpcxupdtsys.exe
    "notes"=notes.exe
    "PC Tilecomgm"=Tilecomgm.com

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
    "Microsoft Windows System Update"=rpcxupdtsys.exe
    "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" /background

    C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\
    Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 05:44:06]
    TabUserW.exe.lnk - C:\WINDOWS\system32\WTablet\TabUserW.exe [2006-09-20 12:54:14]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "appinit_dlls"=c:\windows\system32\gebywxu.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\7TezY.exe]
    C:\documents and settings\samir\local settings\temp\7TezY.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsLH.exe]
    c:\documents and settings\samir\local settings\temp\hsLH.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
    "C:\Program Files\iTunes\iTunesHelper.exe"

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Windows Secure Update]
    rpcxwinupdt.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Windows System Update]
    rpcxupdtsys.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PW2x.exe]
    c:\documents and settings\samir\local settings\temp\PW2x.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    "C:\Program Files\QuickTime\qttask.exe" -atboottime

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Start Upping]
    windupdts.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
    "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
    "C:\Program Files\Winamp\Winampa.exe"

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows AdControl]
    C:\Program Files\Windows AdControl\WinAdCtl.exe

    R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys
    R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys
    R1 SSHDRV85;SSHDRV85;\??\C:\WINDOWS\System32\drivers\SSHDRV85.sys
    R2 Dnscache;Client DNS;C:\WINDOWS\System32\svchost.exe -k NetworkService
    R2 Microsoft Dir32;Microsoft Dir32;"C:\WINDOWS\System32\dllcache\Dirhost.com"
    R2 NOTEPAD;NOTEPAD;"C:\WINDOWS\system\NOTEPAD.exe"
    R2 wms;Windows Management Service;C:\WINDOWS\System32\wms.exe
    S2 Update Manager ;Windows Update Manager;C:\WINDOWS\System32\updmgr.exe
    S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\System32\DRIVERS\fbxusb32.sys
    S3 gel90xne;gel90xne;\??\C:\DOCUME~1\admin\LOCALS~1\Temp\gel90xne.sys
    S3 SE27bus;Sony Ericsson Device 039 Driver driver (WDM);C:\WINDOWS\System32\DRIVERS\SE27bus.sys
    S3 SE27mdfl;Sony Ericsson Device 039 USB WMC Modem Filter;C:\WINDOWS\System32\DRIVERS\SE27mdfl.sys
    S3 SE27mdm;Sony Ericsson Device 039 USB WMC Modem Driver;C:\WINDOWS\System32\DRIVERS\SE27mdm.sys
    S3 SE27mgmt;Sony Ericsson Device 039 USB WMC Device Management Drivers (WDM);C:\WINDOWS\System32\DRIVERS\SE27mgmt.sys
    S3 SE27obex;Sony Ericsson Device 039 USB WMC OBEX Interface;C:\WINDOWS\System32\DRIVERS\SE27obex.sys

    .
    **************************************************************************

    catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-09-18 19:25:26
    Windows 5.1.2600 Service Pack 1 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2007-09-18 19:27:18 - machine was rebooted
    C:\ComboFix-quarantined-files.txt ... 2007-09-18 19:26
    .
    --- E O F ---
    --------------------------------------------------------------
    Toutefois, durant ces scans, mon anti virus a decouvert que d'autres trojans existaient dans mon ordi, je pose donc la question:sont ils neutralisés ou pas?

    En tout cas merci pour ces eclaircissements

    En esperant que ce soit presque fini

    'Phie

    PS: j'ai oublié de signalé aussi que le PC fait des comptes a rebours comme pour sasser a l'epoque et que j'ai du faire la manip anti reboot rapides "shudown -a"
    a b 8 Sécurité
    18 Septembre 2007 19:43:55

    C'était pas Combofix qui voulait redémarrer... ?

    Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

    File::
    C:\WINDOWS\system32\krxatg.exe
    C:\WINDOWS\system32\saodlb.exe
    C:\WINDOWS\system32\Tilecomgm.com
    C:\sdszfszzo.exe
    C:\WINDOWS\system32\wmimgr32.dll
    C:\WINDOWS\system\NOTEPAD.exe
    C:\WINDOWS\system32\re1.exe
    C:\WINDOWS\system32\qvhih.bat
    C:\WINDOWS\system32\win2682.dll
    C:\WINDOWS\system32\winresponse32.exe
    C:\WINDOWS\system32\gpqm.bat
    C:\WINDOWS\system32\yyxaasw.exe
    C:\WINDOWS\system32\tmtr.bat
    C:\WINDOWS\system32\lcnk.exe
    C:\WINDOWS\system32\soosjz.exe
    C:\WINDOWS\system32\lgpgjn.bat
    C:\WINDOWS\system32\coxrl.bat
    C:\WINDOWS\system32\tynvdl.exe
    C:\WINDOWS\system32\epwp.bat
    C:\WINDOWS\system32\hrrnyz.bat
    C:\WINDOWS\system32\frgv.exe
    C:\WINDOWS\system32\vrtqesrb.exe
    C:\WINDOWS\system32\btjektwz.exe
    C:\Documents and Settings\All Users\Application Data\nbkrjlbx.exe
    C:\WINDOWS\system32\afzic.exe
    C:\5c3x8p2r8t8.exe
    C:\WINDOWS\system32\rdla.exe
    C:\WINDOWS\system32\wbrvcoym.exe
    C:\WINDOWS\system32\ujlv.exe
    C:\WINDOWS\system32\huxx.exe
    C:\WINDOWS\system32\oequprd.exe
    C:\WINDOWS\system32\shrr.exe
    C:\WINDOWS\system32\rubripf.bat
    C:\WINDOWS\system32\xygqshqm.exe
    C:\WINDOWS\system32\bkc.exe
    C:\WINDOWS\system32\vxqxk.ba
    C:\WINDOWS\Help\tsbjbtvn.exe
    C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Cnt\tjnbzhbh.exe
    C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Audio\lllknblj.exe
    C:\WINDOWS\Help\jjlenkbt.exe
    C:\WINDOWS\Help\jbnshhqj.exe
    C:\WINDOWS\Help\hwexrtne.exe
    C:\WINDOWS\Help\bzehxvnz.exe
    C:\WINDOWS\Help\bxhltkek.exe


    Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précedemment copié.
    Sauvegarde ce fichier sous le nom de CFScript.txt.

    Glisse maintenant le fichier ComboFix-Do.txt dans Combofix.exe comme ci-dessous :


    Cela va relancer Combofix, tape sur 1 puis valide. Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.
    [#ff0000]NOTE : S'il n'y a pas de rédémarrage, poste quand même les rapports demandés.[/#f]
    18 Septembre 2007 22:41:18

    voici les rapports
    ComboFix 07-09-18.4 - "admin" 2007-09-18 21:47:28.3 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.200 [GMT 2:00]
    * Created a new restore point
    .

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\system32\bccdd.ini
    C:\WINDOWS\system32\ddccb.dll

    .
    ((((((((((((((((((((((((( Files Created from 2007-08-18 to 2007-09-18 )))))))))))))))))))))))))))))))
    .

    2007-09-18 21:53 183,416 -r-hs---- C:\WINDOWS\system32\ntss.exe
    2007-09-18 21:25 28,160 --a------ C:\WINDOWS\system32\neltxcu.exe
    2007-09-18 21:09 28,160 --a------ C:\WINDOWS\system32\xzueea.exe
    2007-09-18 21:06 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\AVS4YOU
    2007-09-18 20:44 80,808 --ah----- C:\WINDOWS\system32\bvyjdz.exe
    2007-09-18 20:34 81,920 --ah----- C:\WINDOWS\system32\ciaqme.exe
    2007-09-18 20:21 560,640 -r-hs---- C:\WINDOWS\czsrv.exe
    2007-09-18 20:15 38,912 -r-hsc--- C:\WINDOWS\system32\dllcache\ivchost.exe
    2007-09-18 20:12 28,160 --a------ C:\WINDOWS\system32\uvzr.exe
    2007-09-18 19:33 70,656 --ah----- C:\WINDOWS\system32\ktmd.exe
    2007-09-18 19:33 143,360 --ah----- C:\WINDOWS\system32\dvxly.exe
    2007-09-18 19:31 28,160 --a------ C:\WINDOWS\system32\wwavh.exe
    2007-09-18 19:30 48,136 --ah----- C:\WINDOWS\system32\zfgb.exe
    2007-09-18 19:16 211,968 -r-hs---- C:\WINDOWS\system32\Tilecomgm.com
    2007-09-18 19:10 55,004 --ah----- C:\WINDOWS\system32\sjye.exe
    2007-09-18 19:10 38,912 -r-hs---- C:\WINDOWS\system\NOTEPAD.exe
    2007-09-18 19:10 38,912 --a------ C:\WINDOWS\system32\re1.exe
    2007-09-18 19:10 115 --a------ C:\WINDOWS\system32\qvhih.bat
    2007-09-18 19:09 545,280 --a------ C:\WINDOWS\system32\win2682.dll
    2007-09-18 19:09 39,936 --a------ C:\WINDOWS\system32\winresponse32.exe
    2007-09-18 19:09 123 --a------ C:\WINDOWS\system32\gpqm.bat
    2007-09-18 19:08 81,920 --ah----- C:\WINDOWS\system32\yyxaasw.exe
    2007-09-18 19:08 114 --a------ C:\WINDOWS\system32\tmtr.bat
    2007-09-18 19:07 143,360 --ah----- C:\WINDOWS\system32\lcnk.exe
    2007-09-18 19:06 73,728 --ah----- C:\WINDOWS\system32\soosjz.exe
    2007-09-18 19:06 122 --a------ C:\WINDOWS\system32\lgpgjn.bat
    2007-09-18 19:06 121 --a------ C:\WINDOWS\system32\coxrl.bat
    2007-09-18 19:06 100,352 --ah----- C:\WINDOWS\system32\tynvdl.exe
    2007-09-18 19:05 126 --a------ C:\WINDOWS\system32\epwp.bat
    2007-09-18 19:05 116 --a------ C:\WINDOWS\system32\hrrnyz.bat
    2007-09-18 19:04 48,136 --ah----- C:\WINDOWS\system32\frgv.exe
    2007-09-18 19:03 8,482 --ahs---- C:\WINDOWS\system32\wms.exe
    2007-09-18 18:50 <REP> d-------- C:\WINDOWS\ERUNT
    2007-09-18 18:37 28,160 --a------ C:\WINDOWS\system32\lksayz.exe
    2007-09-18 18:36 149,504 -r-hsc--- C:\WINDOWS\system32\dllcache\Dirhost.com
    2007-09-18 18:30 63,488 --a------ C:\WINDOWS\system32\vrtqesrb.exe
    2007-09-18 18:30 63,488 --a------ C:\WINDOWS\system32\btjektwz.exe
    2007-09-18 18:22 51,200 --a------ C:\WINDOWS\NirCmd.exe
    2007-09-18 18:14 83,968 --a------ C:\DOCUME~1\ALLUSE~1\APPLIC~1\nbkrjlbx.exe
    2007-09-18 17:32 64,816 --a------ C:\WINDOWS\system32\afzic.exe
    2007-09-18 17:18 <REP> d--h----- C:\Program Files\Fichiers communs\Carlson
    2007-09-18 16:54 28,160 --------- C:\WINDOWS\system32\rdla.exe
    2007-09-18 16:47 1,635 --a------ C:\WINDOWS\system32\wbrvcoym.exe
    2007-09-18 16:35 1,635 --a------ C:\WINDOWS\system32\ujlv.exe
    2007-09-18 15:23 68,560 --a------ C:\WINDOWS\system32\huxx.exe
    2007-09-18 15:22 24,090 --------- C:\WINDOWS\system32\oequprd.exe
    2007-09-18 15:18 233,472 --a------ C:\WINDOWS\system32\grs.exe
    2007-09-18 15:01 <REP> d-------- C:\WINDOWS\avxoscan
    2007-09-18 13:24 55,004 --ah----- C:\WINDOWS\system32\shrr.exe
    2007-09-18 13:24 117 --a------ C:\WINDOWS\system32\rubripf.bat
    2007-09-18 13:23 55,004 --ah----- C:\WINDOWS\system32\xygqshqm.exe
    2007-09-18 13:23 475,136 --a------ C:\WINDOWS\system32\bkc.exe
    2007-09-18 13:23 127 --a------ C:\WINDOWS\system32\vxqxk.bat
    2007-09-17 12:20 88,688 -ra------ C:\WINDOWS\system32\drivers\SE27mgmt.sys
    2007-09-17 12:20 86,560 -ra------ C:\WINDOWS\system32\drivers\SE27obex.sys
    2007-09-13 22:27 97,184 -ra------ C:\WINDOWS\system32\drivers\SE27mdm.sys
    2007-09-13 22:27 9,360 -ra------ C:\WINDOWS\system32\drivers\SE27mdfl.sys
    2007-09-13 22:27 6,240 -ra------ C:\WINDOWS\system32\drivers\SE27cmnt.sys
    2007-09-13 22:27 6,240 -ra------ C:\WINDOWS\system32\drivers\SE27cm.sys
    2007-09-13 22:21 <REP> d-------- C:\DOCUME~1\admin\APPLIC~1\Teleca
    2007-09-13 22:21 <REP> d-------- C:\DOCUME~1\admin\APPLIC~1\Sony Ericsson
    2007-09-13 22:17 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
    2007-09-13 22:16 <REP> d-------- C:\Program Files\Sony Ericsson
    2007-09-13 22:16 <REP> d-------- C:\Program Files\Fichiers communs\Teleca Shared
    2007-09-13 22:16 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Teleca
    2007-09-13 22:16 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Sony Ericsson
    2007-09-13 22:10 61,600 -ra------ C:\WINDOWS\system32\drivers\SE27bus.sys
    2007-09-13 22:10 5,872 -ra------ C:\WINDOWS\system32\drivers\SE27whnt.sys
    2007-09-13 22:10 5,872 -ra------ C:\WINDOWS\system32\drivers\SE27wh.sys
    2007-09-13 22:10 28,160 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
    2007-09-13 22:10 28,160 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
    2007-08-25 19:47 3,729 --a------ C:\WINDOWS\mozver.dat
    2007-08-25 13:36 0 --a------ C:\WINDOWS\nsreg.dat

    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-09-18 21:53 44032 --a------ C:\WINDOWS\system32\ftp.exe
    2007-09-18 21:53 17920 --a------ C:\WINDOWS\system32\tftp.exe
    2007-09-18 18:31 63488 --a------ C:\WINDOWS\Web\wcxnjhhj.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\zejthvxk.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\tlrrsvlj.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Email\btlekkxb.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Common\btlekkxb.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Common\btlekkxb.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\btlekkxb.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\estewkrn.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\necxlsbh.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\hsxenjvk.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\hnshlbtv.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\ewznktww.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\UpdateCtr\ecrvhvjh.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\trvnbvzr.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\tehbbexs.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\selznkbn.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\qnkstrhn.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\kenjxzsk.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\hzenbhql.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\cszbbkjb.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\sysinfo\cjrhtnee.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\sljktqsl.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\lenvstcw.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\lbncltew.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\vhzlshll.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\heclkcje.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\ejjtwclz.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\brbjhjhb.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Server\bbcrvske.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Common\xxrlrrck.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Common\slkweqkr.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Common\jjtkbtsb.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\rlkctexe.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\resrzjkr.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\kcqrjjel.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\jllrjejn.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\hlnbkbjt.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Interaction\Client\cqlwbrtn.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Common\vtxbneqq.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Common\jzrjzkke.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\Remote Assistance\Common\jqnsbclx.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\rc\rjzhtwer.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\zeektjlr.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\tjsnlncx.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\NetDiag\stleqtrb.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\NetDiag\bnkrcrqq.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\errors\xnejeese.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\ErrMsg\nvsbqtlx.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\DVDUpgrd\kvzexhbs.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\DFS\zwjcbxql.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\DFS\jlskvkjt.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\DFS\hhktjkel.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\tcjqbtst.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\nrbhslcz.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\eqlrejrl.exe
    2007-09-18 18:29 63488 --a------ C:\WINDOWS\PCHEALTH\HELPCTR\System\CompatCtr\brvhkxjh.exe
    2007-09-18 18:28 63488 --a------ C:\WINDOWS\Help\tsbjbtvn.exe
    2007-09-18 18:28 63488 --a------ C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Cnt\tjnbzhbh.exe
    2007-09-18 18:28 63488 --a------ C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Audio\lllknblj.exe
    2007-09-18 18:28 63488 --a------ C:\WINDOWS\Help\jjlenkbt.exe
    2007-09-18 18:28 63488 --a------ C:\WINDOWS\Help\jbnshhqj.exe
    2007-09-18 18:28 63488 --a------ C:\WINDOWS\Help\hwexrtne.exe
    2007-09-18 18:28 63488 --a------ C:\WINDOWS\Help\bzehxvnz.exe
    2007-09-18 18:28 63488 --a------ C:\WINDOWS\Help\bxhltkek.exe
    2007-09-18 18:27 --------- d-------- C:\Program Files\Winamp
    2007-09-18 18:26 --------- d-------- C:\Program Files\QuickTime
    2007-09-18 18:14 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\AntiVir PersonalEdition Classic
    2007-09-18 17:17 135168 --a------ C:\WINDOWS\system32\sfc_os.dll
    2007-09-18 16:54 --------- d-------- C:\Program Files\eMule
    2007-09-17 18:47 6870 --a------ C:\Program Files\samir.txt
    2007-08-31 12:33 6 --a------ C:\Program Files\nomutil.txt
    2007-08-19 21:52 --------- d-------- C:\Program Files\GrabIt
    2007-08-11 13:49 --------- d-------- C:\Program Files\VideoLAN
    2007-08-11 13:15 --------- d--h----- C:\Program Files\InstallShield Installation Information
    2007-08-11 13:09 --------- d-------- C:\Program Files\Wanadoo
    2007-07-26 22:29 --------- d-------- C:\Program Files\Fichiers communs\AVSMedia
    2007-07-26 22:29 --------- d-------- C:\Program Files\AVSMedia
    2007-07-26 21:54 --------- d-------- C:\DOCUME~1\admin\APPLIC~1\dvdcss
    2007-07-25 13:20 108144 --a------ C:\WINDOWS\system32\CmdLineExt.dll
    2007-07-25 13:20 --------- dr-h----- C:\DOCUME~1\admin\APPLIC~1\SecuROM
    C:\WINDOWS\system32\wmimgr32.dll
    .

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .

    *Note* empty entries & legit default entries are not shown

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{733E9132-53CA-4C97-9AC9-145C4502FA20}]
    C:\WINDOWS\system32\ljjjghh.dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "@"="" []
    "NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2005-07-03 14:12]
    "qprfsymm"="C:\WINDOWS\System32\qprfsymm.exe" []
    "Microsoft Visual Studio VSA"="varpc32.exe" []
    "xax"="C:\WINDOWS\xax.exe" []
    "scREdp.exe"="c:\documents and settings\samir\local settings\temp\scREdp.exe" []
    "Microsoft Windows System Update"="rpcxupdtsys.exe" []
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe" [2004-12-06 21:31]
    "Log System"="C:\WINDOWS\System32\dtzdrdebn.exe" []
    "notes"="notes.exe" []
    "WMC_AutoUpdate"="" []
    "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-12-05 20:27]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2005-12-27 18:40]
    "avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-09-07 13:26]
    "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-08-11 21:43]
    "nwiz"="nwiz.exe" [2006-08-11 21:43 C:\WINDOWS\system32\nwiz.exe]
    "NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2006-08-11 21:43]
    "Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 17:17]
    "Windows Logon Application"="C:\WINDOWS\System32\winIogon.exe" [2002-08-29 11:45]
    "PC Tilecomgm"="Tilecomgm.com" [2007-09-18 19:16 C:\WINDOWS\system32\Tilecomgm.com]
    "Local Security Authority Service"="C:\WINDOWS\System32\lssas.exe" [2002-08-29 11:45]
    "Windows Explorer"="C:\WINDOWS\System32\explorer.exe" []
    "Spooler SubSystem App"="C:\WINDOWS\System32\spooIsv.exe" [2002-08-29 11:45]
    "Network Translation System Service"="C:\WINDOWS\system32\ntss.exe" [2007-09-18 21:53]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 11:45]
    "Microsoft Windows System Update"="rpcxupdtsys.exe" []
    "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2005-09-19 07:14]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
    "Microsoft Visual Studio VSA"=varpc32.exe
    "Microsoft Windows System Update"=rpcxupdtsys.exe
    "notes"=notes.exe
    "PC Tilecomgm"=Tilecomgm.com

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
    "Microsoft Windows System Update"=rpcxupdtsys.exe
    "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    "Network Translation System Service"="C:\WINDOWS\system32\ntss.exe" *

    C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\DMARRA~1\
    Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 05:44:06]
    TabUserW.exe.lnk - C:\WINDOWS\system32\WTablet\TabUserW.exe [2006-09-20 12:54:14]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    "{733E9132-53CA-4C97-9AC9-145C4502FA20}"= C:\WINDOWS\system32\ljjjghh.dll [ ]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljjjghh]
    ljjjghh.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "appinit_dlls"=c:\windows\system32\gebywxu.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\7TezY.exe]
    C:\documents and settings\samir\local settings\temp\7TezY.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsLH.exe]
    c:\documents and settings\samir\local settings\temp\hsLH.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
    "C:\Program Files\iTunes\iTunesHelper.exe"

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Windows Secure Update]
    rpcxwinupdt.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Windows System Update]
    rpcxupdtsys.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PW2x.exe]
    c:\documents and settings\samir\local settings\temp\PW2x.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    "C:\Program Files\QuickTime\qttask.exe" -atboottime

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Start Upping]
    windupdts.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
    "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
    "C:\Program Files\Winamp\Winampa.exe"

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows AdControl]
    C:\Program Files\Windows AdControl\WinAdCtl.exe

    R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys
    R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys
    R1 SSHDRV85;SSHDRV85;\??\C:\WINDOWS\System32\drivers\SSHDRV85.sys
    R2 Dnscache;Client DNS;C:\WINDOWS\System32\svchost.exe -k NetworkService
    R2 Microsoft Dir32;Microsoft Dir32;"C:\WINDOWS\System32\dllcache\Dirhost.com"
    R2 mshexdefx;ms hexidecimal defx;"C:\WINDOWS\system32\dllcache\ivchost.exe"
    R2 NOTEPAD;NOTEPAD;"C:\WINDOWS\system\NOTEPAD.exe"
    R2 Szservice;Szservice;"C:\WINDOWS\czsrv.exe"
    R2 wms;Windows Management Service;C:\WINDOWS\System32\wms.exe
    S2 Update Manager ;Windows Update Manager;C:\WINDOWS\System32\updmgr.exe
    S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\System32\DRIVERS\fbxusb32.sys
    S3 gel90xne;gel90xne;\??\C:\DOCUME~1\admin\LOCALS~1\Temp\gel90xne.sys
    S3 SE27bus;Sony Ericsson Device 039 Driver driver (WDM);C:\WINDOWS\System32\DRIVERS\SE27bus.sys
    S3 SE27mdfl;Sony Ericsson Device 039 USB WMC Modem Filter;C:\WINDOWS\System32\DRIVERS\SE27mdfl.sys
    S3 SE27mdm;Sony Ericsson Device 039 USB WMC Modem Driver;C:\WINDOWS\System32\DRIVERS\SE27mdm.sys
    S3 SE27mgmt;Sony Ericsson Device 039 USB WMC Device Management Drivers (WDM);C:\WINDOWS\System32\DRIVERS\SE27mgmt.sys
    S3 SE27obex;Sony Ericsson Device 039 USB WMC OBEX Interface;C:\WINDOWS\System32\DRIVERS\SE27obex.sys
    Start Pending2 NTSS;Network Translation System Service;C:\WINDOWS\system32\ntss.exe

    *Newly Created Service* - NTSS
    .
    **************************************************************************

    catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-09-18 21:54:51
    Windows 5.1.2600 Service Pack 1 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    **************************************************************************
    .
    Completion time: 2007-09-18 21:59:16 - machine was rebooted
    C:\ComboFix-quarantined-files.txt ... 2007-09-18 21:58
    .
    --- E O F ---



    et le second


    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 22:02:39, on 18/09/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\a-squared Free\a2service.exe
    C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\System32\dllcache\Dirhost.com
    C:\WINDOWS\system32\dllcache\ivchost.exe
    C:\WINDOWS\system\NOTEPAD.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\czsrv.exe
    C:\WINDOWS\System32\Tablet.exe
    C:\WINDOWS\system32\ntss.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
    C:\WINDOWS\System32\winIogon.exe
    C:\WINDOWS\System32\Tilecomgm.com
    C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
    C:\WINDOWS\System32\lssas.exe
    C:\WINDOWS\System32\spooIsv.exe
    C:\WINDOWS\system32\ntss.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\WINDOWS\system32\WTablet\TabUserW.exe
    C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
    C:\WINDOWS\System32\zfjhtt.exe
    C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
    C:\Program Files\WinRAR\WinRAR.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\DOCUME~1\admin\LOCALS~1\Temp\Rar$EX11.859\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {733E9132-53CA-4C97-9AC9-145C4502FA20} - C:\WINDOWS\System32\iifcayv.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [qprfsymm] C:\WINDOWS\System32\qprfsymm.exe
    O4 - HKLM\..\Run: [Microsoft Visual Studio VSA] varpc32.exe
    O4 - HKLM\..\Run: [xax] C:\WINDOWS\xax.exe
    O4 - HKLM\..\Run: [scREdp.exe] c:\documents and settings\samir\local settings\temp\scREdp.exe
    O4 - HKLM\..\Run: [Microsoft Windows System Update] rpcxupdtsys.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
    O4 - HKLM\..\Run: [Log System] C:\WINDOWS\System32\dtzdrdebn.exe
    O4 - HKLM\..\Run: [notes] notes.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
    O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
    O4 - HKLM\..\Run: [PC Tilecomgm] Tilecomgm.com
    O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
    O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
    O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe
    O4 - HKLM\..\Run: [Network Translation System Service] "C:\WINDOWS\system32\ntss.exe" *
    O4 - HKLM\..\RunServices: [Microsoft Visual Studio VSA] varpc32.exe
    O4 - HKLM\..\RunServices: [Microsoft Windows System Update] rpcxupdtsys.exe
    O4 - HKLM\..\RunServices: [notes] notes.exe
    O4 - HKLM\..\RunServices: [PC Tilecomgm] Tilecomgm.com
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [Microsoft Windows System Update] rpcxupdtsys.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [Network Translation System Service] "C:\WINDOWS\system32\ntss.exe" * (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578....
    O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall-beta.trendmicro.com/housecall/xscan60....
    O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://www.mayeticvillage.fr/qp2.cab
    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab285...
    O16 - DPF: {33331111-1111-1111-1111-615111193427} -
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/1627b6337fb824609806/netzip/RdxIE6...
    O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall....
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall...
    O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDown...
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.ca...
    O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown....
    O20 - AppInit_DLLs: c:\windows\system32\vtstqpq.dll
    O20 - Winlogon Notify: iifcayv - C:\WINDOWS\SYSTEM32\iifcayv.dll
    O20 - Winlogon Notify: ljjjghh - ljjjghh.dll (file missing)
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe (file missing)
    O23 - Service: Microsoft Dir32 - Unknown owner - C:\WINDOWS\System32\dllcache\Dirhost.com
    O23 - Service: ms hexidecimal defx (mshexdefx) - Unknown owner - C:\WINDOWS\system32\dllcache\ivchost.exe
    O23 - Service: NOTEPAD - Unknown owner - C:\WINDOWS\system\NOTEPAD.exe
    O23 - Service: Network Translation System Service (NTSS) - Unknown owner - C:\WINDOWS\system32\ntss.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Szservice - Unknown owner - C:\WINDOWS\czsrv.exe
    O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
    O23 - Service: Windows Update Manager (Update Manager ) - Unknown owner - C:\WINDOWS\System32\updmgr.exe (file missing)
    O23 - Service: Windows Management Service (wms) - Unknown owner - C:\WINDOWS\System32\wms.exe

    --
    End of file - 9896 bytes
    --------------------------------------------------------------

    Je suis certaine du type de reboot (cf plus haut) c'est le type de reboot occasionné par sasser (même si je n'ai ni blaster et sasser)

    encore merci pour les reponses deja apportées meme si je desepere un peu de voir de nombreux nouveaux fichiers infectés à chaque demarrage
    a b 8 Sécurité
    19 Septembre 2007 13:16:18

    Tu as fait ce que j'ai dit avec le script ? :) 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS