Votre question

TR/Obfuscated.EN.498

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
17 Septembre 2007 11:58:39

bonjour
j'ai 1 problème avec le virus TR/Obfuscated.EN.498, qui est détecté mais apparemment pas nettoyé.

je poste le logfile de Hijackthis pour avancer, j'ai cru comprendre que c'etait la methode. merci de votre aide
________________________________________________________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:51:54, on 17/09/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\François\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homep...
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Windowsz] rwnt.exe
O4 - HKLM\..\Run: [Microsoft CSRSS Service] csrssX.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Love default global mess] C:\Documents and Settings\All Users\Application Data\great coal love default\Plan One.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [Microsoft CSRSS Service] csrssX.exe
O4 - HKLM\..\RunServices: [Windowsz] rwnt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [gluethat] C:\DOCUME~1\FRANOI~1\APPLIC~1\DRAWOW~1\Camp close.exe
O4 - HKCU\..\RunServices: [Microsoft CSRSS Service] csrssX.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunServices: [Microsoft CSRSS Service] csrssX.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunServices: [Microsoft CSRSS Service] csrssX.exe (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/a...
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COM+ System Log (COMSysLog) - Unknown owner - C:\WINDOWS\system32\comsyslog.exe (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 5874 bytes

Autres pages sur : obfuscated 498

17 Septembre 2007 13:35:35

Bonjour


Télécharge Combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Double clique combofix.exe et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra.

Copie/colle ce rapport dans ta prochaine réponse avec un nouveau HijackThis.


Fais aussi ceci. Télécharge LopxpMH sur ton Bureau.
http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2....
Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.
Poste le contenu du rapport qui va s'ouvrir.
17 Septembre 2007 14:30:48

voila pour combofix :
ComboFix 07-09-17.2 - "Fran‡ois" 2007-09-17 14:28:06.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.655 [GMT 2:00]
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\DOCUME~1\LOCALS~1\APPLIC~1\install.dat

.
((((((((((((((((((((((((((((( Fichiers créés 2007-08-17 to 2007-09-17 ))))))))))))))))))))))))))))))))))))
.

2007-09-17 14:27 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-17 12:39 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Comodo
2007-09-17 12:24 <REP> d-------- C:\Program Files\Comodo
2007-09-16 09:15 <REP> d-------- C:\DOCUME~1\LOCALS~1\APPLIC~1\DRAW OWNS
2007-09-16 08:51 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-09-16 08:45 <REP> d-------- C:\Program Files\Avira
2007-09-16 08:45 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Avira
2007-09-15 17:40 <REP> d-------- C:\Program Files\DRAW OWNS

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-15 23:01 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Obj meow move global
2007-09-15 22:39 --------- d-------- C:\Program Files\ewido anti-spyware 4.0
2007-09-15 17:41 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\great coal love default
2007-08-22 22:07 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Internet debug mess great
2007-07-22 07:53 --------- d-------- C:\Program Files\FaxTools
2007-07-22 07:53 --------- d-------- C:\Program Files\DivX
2007-07-21 16:50 108144 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-07-17 19:02 --------- d--h----- C:\Program Files\InstallShield Installation Information
2006-12-11 22:58 1 --a------ C:\DOCUME~1\FRANOI~1\SI.bin
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-04-19 13:26]
"Windowsz"="rwnt.exe" []
"Microsoft CSRSS Service"="csrssX.exe" []
"nwiz"="nwiz.exe" [2007-04-19 13:26 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-04-19 13:26]
"Love default global mess"="C:\Documents and Settings\All Users\Application Data\great coal love default\Plan One.exe" [2007-09-17 14:17]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25]
"COMODO Firewall Pro"="C:\Program Files\Comodo\Firewall\CPF.exe" [2007-09-17 12:24]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-23 14:00]
"gluethat"="C:\DOCUME~1\FRANOI~1\APPLIC~1\DRAWOW~1\Camp close.exe" [2007-09-15 17:40]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runservices]
"Microsoft CSRSS Service"=csrssX.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"Microsoft CSRSS Service"=csrssX.exe
"Windowsz"=rwnt.exe

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runservices]
"Microsoft CSRSS Service"=csrssX.exe

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Microsoft CSRSS Service"=csrssX.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Acrobat Assistant.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Acrobat Assistant.lnk
backup=C:\WINDOWS\pss\Acrobat Assistant.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^WinZip Quick Pick.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\WinZip Quick Pick.lnk
backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!ewido]
"C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
"C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Eyeball Chat]
"E:\eyeball\EyeballChat.exe" -min

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\gluethat]
C:\DOCUME~1\FRANOI~1\APPLIC~1\DRAWOW~1\Camp close.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X1100 Series]
"C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Move global drive audio]
C:\Documents and Settings\All Users\Application Data\Obj meow move global\noun jump.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Program Files\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
C:\WINDOWS\System32\\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Program Files\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
"E:\jeux\half-life 2\Steam.exe" -silent

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys
R3 usbscan;Pilote de scanneur USB;C:\WINDOWS\System32\DRIVERS\usbscan.sys
S2 COMSysLog;COM+ System Log;"C:\WINDOWS\system32\comsyslog.exe"
S3 netrcacm;RCA USB based Digital Cable Modem Win2000 Driver;C:\WINDOWS\System32\DRIVERS\netrcacm.sys
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS

*Newly Created Service* - CATCHME
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2007-09-17 11:00:00 C:\WINDOWS\Tasks\A389FBDC91967908.job"
- c:\docume~1\franoi~1\applic~1\drawow~1\Road surf ford.exe
"2007-08-15 11:51:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-17 14:28:50
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-17 14:29:15
C:\ComboFix-quarantined-files.txt ... 2007-09-17 14:29
.
--- E O F ---
======================================================

voila pour lopxpmh :

Rapport lopxpMH2 version 2.0 fait à 14:30:10,01 le 17/09/2007
C:\Documents and Settings\François\Bureau\lopxpMH2

******************************************
## Répertoires Application Data

Le volume dans le lecteur C s'appelle PRINCIPAL
Le numéro de série du volume est D0C8-055B

Répertoire de C:\Documents and Settings\All Users\Application Data

17/02/2005 02:00 <REP> .
17/02/2005 02:00 <REP> ..
14/01/2007 19:10 <REP> Apple Computer
16/09/2007 08:45 <REP> Avira
20/02/2005 16:21 <REP> BVRP Software
17/09/2007 12:39 <REP> Comodo
14/11/2005 11:20 <REP> FreeTest
04/08/2007 17:23 <REP> great coal love default
04/08/2007 17:23 <REP> Internet debug mess great
17/02/2005 02:00 <REP> Microsoft
18/02/2005 19:54 <REP> MSN6
17/02/2005 02:34 <REP> nView_Profiles
17/04/2007 21:56 <REP> Obj meow move global
18/03/2007 18:56 <REP> Real
16/09/2007 08:51 <REP> Spybot - Search & Destroy
17/02/2005 08:50 <REP> Symantec
17/02/2007 17:29 <REP> Windows Genuine Advantage
16/09/2007 08:55 305 addr_file.html
17/02/2005 02:00 62 desktop.ini
2 fichier(s) 367 octets
17 Rép(s) 23 569 612 800 octets libres
Le volume dans le lecteur C s'appelle PRINCIPAL
Le numéro de série du volume est D0C8-055B

Répertoire de C:\Documents and Settings\Default User\Application Data

17/02/2005 02:00 <REP> .
17/02/2005 02:00 <REP> ..
17/02/2005 02:00 <REP> Microsoft
17/02/2005 02:00 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 23 569 612 800 octets libres
Le volume dans le lecteur C s'appelle PRINCIPAL
Le numéro de série du volume est D0C8-055B

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

17/02/2005 02:00 <REP> .
17/02/2005 02:00 <REP> ..
0 fichier(s) 0 octets
2 Rép(s) 23 569 612 800 octets libres
Le volume dans le lecteur C s'appelle PRINCIPAL
Le numéro de série du volume est D0C8-055B

Répertoire de C:\Documents and Settings\François\Application Data

17/02/2005 02:12 <REP> .
17/02/2005 02:12 <REP> ..
17/02/2005 08:58 <REP> Adobe
14/01/2007 19:15 <REP> Apple Computer
17/04/2007 21:51 <REP> BitDownload
30/03/2007 19:04 <REP> Command & Conquer 3 Tiberium Wars Demo
17/09/2007 12:39 <REP> Comodo
17/07/2006 10:39 <REP> Creative
18/03/2007 16:54 <REP> DivX
17/04/2007 21:51 <REP> DRAW OWNS
19/02/2005 18:23 <REP> Help
11/09/2006 14:43 <REP> Hemera
17/02/2005 02:13 <REP> Identities
17/02/2005 08:58 <REP> InterTrust
17/02/2005 02:19 <REP> Macromedia
18/03/2007 18:59 <REP> Media Player Classic
17/02/2005 02:12 <REP> Microsoft
20/12/2006 13:21 <REP> Mozilla
18/02/2005 19:54 <REP> MSN6
18/03/2007 18:56 <REP> Real
17/02/2005 02:27 <REP> Roxio
12/12/2006 21:35 <REP> SecuROM
11/03/2007 17:04 <REP> Sun
17/02/2005 08:51 <REP> Symantec
17/02/2007 17:32 <REP> vlc
17/02/2005 02:12 62 desktop.ini
1 fichier(s) 62 octets
25 Rép(s) 23 569 612 800 octets libres
Le volume dans le lecteur C s'appelle PRINCIPAL
Le numéro de série du volume est D0C8-055B

Répertoire de C:\Documents and Settings\François\Local Settings\Application Data

17/02/2005 02:12 <REP> .
17/02/2005 02:12 <REP> ..
19/02/2005 17:44 <REP> Ahead
18/06/2007 15:23 <REP> Apple Computer
20/01/2007 16:23 <REP> ApplicationHistory
17/09/2007 12:40 <REP> Comodo
19/02/2007 15:23 <REP> Gas Powered Games
27/08/2006 18:54 <REP> Google
19/02/2005 18:23 <REP> Help
17/02/2005 21:23 <REP> Identities
17/02/2005 02:12 <REP> Microsoft
20/12/2006 13:21 <REP> Mozilla
29/03/2006 19:50 <REP> Oblivion
18/02/2005 21:16 166 400 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
20/01/2007 16:23 131 fusioncache.dat
13/09/2005 21:41 71 552 GDIPFONTCACHEV1.DAT
17/02/2005 02:15 824 882 IconCache.db
4 fichier(s) 1 062 965 octets
13 Rép(s) 23 569 608 704 octets libres
Le volume dans le lecteur C s'appelle PRINCIPAL
Le numéro de série du volume est D0C8-055B

Répertoire de C:\Documents and Settings\LocalService\Application Data

17/02/2005 02:12 <REP> .
17/02/2005 02:12 <REP> ..
16/09/2007 09:15 <REP> DRAW OWNS
21/05/2007 20:54 <REP> Help
17/02/2005 02:12 <REP> Microsoft
0 fichier(s) 0 octets
5 Rép(s) 23 569 608 704 octets libres
Le volume dans le lecteur C s'appelle PRINCIPAL
Le numéro de série du volume est D0C8-055B

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

17/02/2005 02:12 <REP> .
17/02/2005 02:12 <REP> ..
21/05/2007 20:54 <REP> Help
17/02/2005 02:12 <REP> Microsoft
12/03/2006 19:52 48 408 GDIPFONTCACHEV1.DAT
1 fichier(s) 48 408 octets
4 Rép(s) 23 569 608 704 octets libres
Le volume dans le lecteur C s'appelle PRINCIPAL
Le numéro de série du volume est D0C8-055B

Répertoire de C:\Documents and Settings\NetworkService\Application Data

17/02/2005 02:12 <REP> .
17/02/2005 02:12 <REP> ..
17/02/2005 02:12 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 23 569 608 704 octets libres
Le volume dans le lecteur C s'appelle PRINCIPAL
Le numéro de série du volume est D0C8-055B

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

17/02/2005 02:12 <REP> .
17/02/2005 02:12 <REP> ..
17/02/2005 02:12 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 23 569 608 704 octets libres
Le volume dans le lecteur C s'appelle PRINCIPAL
Le numéro de série du volume est D0C8-055B

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

17/02/2005 02:10 <REP> .
17/02/2005 02:10 <REP> ..
17/02/2005 02:10 <REP> Microsoft
17/02/2005 02:10 62 desktop.ini
1 fichier(s) 62 octets
3 Rép(s) 23 569 608 704 octets libres
Le volume dans le lecteur C s'appelle PRINCIPAL
Le numéro de série du volume est D0C8-055B

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

17/02/2005 02:10 <REP> .
17/02/2005 02:10 <REP> ..
23/12/2006 12:08 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 23 569 608 704 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks


C:\WINDOWS\Tasks\A389FBDC91967908.job
].õP‘¨Gœ¸í½AÍF â <
s "ˆ!× : c : \ d o c u m e ~ 1 \ f r a n o i ~ 1 \ a p p l i c ~ 1 \ d r a w o w ~ 1 \ R o a d s u r f f o r d . e x e F r a n ç o i s € 0 Ð


C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
s€ €!×
3 : C : \ P r o g r a m F i l e s \ A p p l e S o f t w a r e U p d a t e \ S o f t w a r e U p d a t e . e x e - T a s k S Y S T E M 0 ×
3
******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C s'appelle PRINCIPAL
Le numéro de série du volume est D0C8-055B

Répertoire de C:\Program Files

17/09/2007 12:24 <REP> .
17/09/2007 12:24 <REP> ..
20/02/2005 16:22 <REP> ABBYY FineReader 5.0 Sprint
20/02/2005 16:21 <REP> ABBYY FineReader 6.0
17/02/2005 08:58 <REP> Adobe
03/12/2006 11:33 <REP> AGEIA Technologies
19/02/2005 18:33 <REP> Ahead
14/01/2007 19:10 <REP> Apple Software Update
16/09/2007 08:45 <REP> Avira
17/04/2007 22:03 <REP> BitDownload
30/08/2006 17:39 <REP> CCleaner
17/09/2007 12:24 <REP> Comodo
17/02/2005 02:06 <REP> ComPlus Applications
25/08/2006 17:42 <REP> DIFX
17/02/2005 02:24 <REP> directx
22/07/2007 07:53 <REP> DivX
15/09/2007 17:40 <REP> DRAW OWNS
30/03/2007 18:59 <REP> Electronic Arts
30/08/2006 17:40 <REP> ewido anti-malware
15/09/2007 22:39 <REP> ewido anti-spyware 4.0
22/07/2007 07:53 <REP> FaxTools
11/03/2007 17:02 <REP> Fichiers communs
01/04/2006 22:31 <REP> FileZilla
14/07/2007 20:04 <REP> Internet Explorer
11/03/2007 17:03 <REP> Java
30/03/2007 20:59 <REP> K-Lite Codec Pack
20/02/2005 16:16 <REP> Lexmark X1100 Series
22/07/2007 07:53 <REP> Messenger
11/09/2006 14:42 <REP> Micro Application
17/02/2005 02:09 <REP> microsoft frontpage
17/02/2005 02:30 <REP> Microsoft Office
22/07/2007 07:53 <REP> Movie Maker
01/08/2007 19:12 <REP> Mozilla Firefox
25/08/2006 16:07 <REP> MSN
25/08/2006 17:40 <REP> MSN Apps
17/02/2005 02:05 <REP> MSN Gaming Zone
29/08/2006 21:25 <REP> MSN Messenger
19/02/2005 17:42 <REP> MUSK Codec Pack v4
17/02/2005 02:07 <REP> NetMeeting
19/02/2005 22:07 <REP> Outlook Express
27/08/2006 18:55 <REP> Picasa2
12/02/2007 18:33 <REP> PyGrenouille
14/01/2007 19:10 <REP> QuickTime
30/01/2006 13:09 <REP> ReflexiveArcade
17/02/2005 02:06 <REP> Services en ligne
16/09/2007 08:58 <REP> Spybot - Search & Destroy
03/12/2006 22:11 <REP> Ubi Soft
14/08/2006 20:01 <REP> Ubisoft
17/02/2007 17:32 <REP> VideoLAN
22/07/2007 07:53 <REP> Windows Media Player
17/02/2005 02:05 <REP> Windows NT
28/11/2006 22:23 <REP> WinZip
17/02/2005 02:09 <REP> xerox
0 fichier(s) 0 octets
53 Rép(s) 23 569 604 608 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
PopupMgr REG_SZ yes

* Mozilla Firefox (1 autorisé 2 interdit)

---------- C:\DOCUMENTS AND SETTINGS\FRAN€OIS\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\T0ZTNDNW.DEFAULT\HOSTPERM.1

******************************************
## Registre

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Love default global mess REG_SZ C:\Documents and Settings\All Users\Application Data\great coal love default\Plan One.exe

* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
gluethat REG_SZ C:\DOCUME~1\FRANOI~1\APPLIC~1\DRAWOW~1\Camp close.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gluethat]
command REG_SZ C:\DOCUME~1\FRANOI~1\APPLIC~1\DRAWOW~1\Camp close.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Move global drive audio]
command REG_SZ C:\Documents and Settings\All Users\Application Data\Obj meow move global\noun jump.exe

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"


*************** Fin du rapport ****************
17 Septembre 2007 15:00:57

Re


Copie (Ctrl+C) le texte ci-dessous :

File::
C:\WINDOWS\Tasks\A389FBDC91967908.job
C:\WINDOWS\system32\comsyslog.exe
C:\WINDOWS\system32\rwnt.exe
C:\WINDOWS\system32\csrssX.exe

Folder::
C:\Documents and Settings\All Users\Application Data\great coal love default
C:\Documents and Settings\All Users\Application Data\Internet debug mess great
C:\Documents and Settings\All Users\Application Data\Obj meow move global
C:\Documents and Settings\François\Application Data\BitDownload
C:\Documents and Settings\François\Application Data\DRAW OWNS
C:\Documents and Settings\LocalService\Application Data\DRAW OWNS
C:\Program Files\BitDownload
C:\Program Files\DRAW OWNS

Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gluethat]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Move global drive audio]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windowsz"=-
"Microsoft CSRSS Service"=-
"Love default global mess"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"gluethat"=-
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runservices]
"Microsoft CSRSS Service"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"Microsoft CSRSS Service"=-
"Windowsz"=-
[HKEY_USERS\.default\software\microsoft\windows\currentversion\runservices]
"Microsoft CSRSS Service"=-
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Microsoft CSRSS Service"=-
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\COMSysLog]
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\COMSysLog]


Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précedemment copié.
Sauvegarde ce fichier sous le nom de CFScript.txt



Comme l'image le montre, fait glisser CFScript.txt sur Combofix.exe
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu avec un nouveau Hijackthis.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
17 Septembre 2007 16:12:17

merci pour ton aide :

le scan comboFix.txt :

ComboFix 07-09-17.2 - "Fran‡ois" 2007-09-17 16:10:31.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.629 [GMT 2:00]
Command switches used :: C:\Documents and Settings\Fran‡ois\Bureau\cfscript.txt
* Created a new restore point

FILE::
C:\WINDOWS\Tasks\A389FBDC91967908.job
C:\WINDOWS\system32\comsyslog.exe
C:\WINDOWS\system32\rwnt.exe
C:\WINDOWS\system32\csrssX.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data\great coal love default
C:\Documents and Settings\All Users\Application Data\great coal love default\Plan One.exe
C:\Documents and Settings\All Users\Application Data\Internet debug mess great
C:\Documents and Settings\All Users\Application Data\Obj meow move global
C:\Documents and Settings\LocalService\Application Data\DRAW OWNS
C:\Documents and Settings\LocalService\Application Data\DRAW OWNS\Camp close.exe
C:\Program Files\BitDownload
C:\Program Files\BitDownload\BitDownload.TRC
C:\Program Files\DRAW OWNS
C:\WINDOWS\Tasks\A389FBDC91967908.job

.
((((((((((((((((((((((((((((( Fichiers créés 2007-08-17 to 2007-09-17 ))))))))))))))))))))))))))))))))))))
.

2007-09-17 14:27 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-17 12:39 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Comodo
2007-09-17 12:24 <REP> d-------- C:\Program Files\Comodo
2007-09-16 08:51 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-09-16 08:45 <REP> d-------- C:\Program Files\Avira
2007-09-16 08:45 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Avira

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-15 22:39 --------- d-------- C:\Program Files\ewido anti-spyware 4.0
2007-07-22 07:53 --------- d-------- C:\Program Files\FaxTools
2007-07-22 07:53 --------- d-------- C:\Program Files\DivX
2007-07-21 16:50 108144 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2007-07-17 19:02 --------- d--h----- C:\Program Files\InstallShield Installation Information
2006-12-11 22:58 1 --a------ C:\DOCUME~1\FRANOI~1\SI.bin
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-04-19 13:26]
"nwiz"="nwiz.exe" [2007-04-19 13:26 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-04-19 13:26]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25]
"COMODO Firewall Pro"="C:\Program Files\Comodo\Firewall\CPF.exe" [2007-09-17 12:24]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-23 14:00]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Acrobat Assistant.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Acrobat Assistant.lnk
backup=C:\WINDOWS\pss\Acrobat Assistant.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^WinZip Quick Pick.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\WinZip Quick Pick.lnk
backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!ewido]
"C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
"C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Eyeball Chat]
"E:\eyeball\EyeballChat.exe" -min

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X1100 Series]
"C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Program Files\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
C:\WINDOWS\System32\\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Program Files\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
"E:\jeux\half-life 2\Steam.exe" -silent

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys
R3 usbscan;Pilote de scanneur USB;C:\WINDOWS\System32\DRIVERS\usbscan.sys
S2 COMSysLog;COM+ System Log;"C:\WINDOWS\system32\comsyslog.exe"
S3 netrcacm;RCA USB based Digital Cable Modem Win2000 Driver;C:\WINDOWS\System32\DRIVERS\netrcacm.sys
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS

*Newly Created Service* - CATCHME
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2007-08-15 11:51:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-17 16:10:46
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-17 16:11:11
C:\ComboFix-quarantined-files.txt ... 2007-09-17 16:11
C:\ComboFix2.txt ... 2007-09-17 14:29
.
--- E O F ---
===================================================
===================================================

le rapport Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:12:53, on 17/09/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Comodo\Firewall\CPF.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Comodo\Firewall\cmdagent.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\François\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homep...
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/a...
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: COM+ System Log (COMSysLog) - Unknown owner - C:\WINDOWS\system32\comsyslog.exe (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 5244 bytes
17 Septembre 2007 16:54:59

Bien


Relance un scan HijackThis et coche les lignes ci-dessous :

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.c [...] x_homepage
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: COM+ System Log (COMSysLog) - Unknown owner - C:\WINDOWS\system32\comsyslog.exe (file missing)

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »


Fais une analyse antivirus en ligne sur Kaspersky
http://webscanner.kaspersky.fr/
Clique sur Démarrer Online Scanner.
Sélectionne le poste de travail comme analyse.
Colle son rapport ici.

Aide toi de ce lien.
http://www.infos-du-net.com/forum/267224-11-scan-ligne-...
17 Septembre 2007 20:01:52

desolé j'ai mis un peu de temps à comprendre que Kaspersky ne s'ouvrait qu'avec IEXPLORER
voila le scan :

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Monday, September 17, 2007 8:00:44 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 17/09/2007
Enregistrements dans la base antivirus Kaspersky : 394363
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
E:\
F:\
G:\

Statistiques de l'analyse:
Total d'objets analysés: 79339
Nombre de virus trouvés: 6
Nombre d'objets infectés: 91 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 01:19:59

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\1506504B.htm Infecté : Trojan-Downloader.JS.IstBar.j ignoré
C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\2F3721C7.cab/istactivex.dll Infecté : Trojan-Downloader.Win32.IstBar.hg ignoré
C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\2F3721C7.cab CAB: infecté - 1 ignoré
C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\2F3721C7.cab CryptFF: infecté - 1 ignoré
C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\3F5B463E.htm Infecté : Trojan-Downloader.JS.IstBar.j ignoré
C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\3F5E703A.cab/ysbactivex.dll Infecté : Trojan-Downloader.Win32.IstBar.fa ignoré
C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\3F5E703A.cab CAB: infecté - 1 ignoré
C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\3F5E703A.cab CryptFF: infecté - 1 ignoré
C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\3F5E703A.htm Infecté : Trojan-Downloader.JS.IstBar.j ignoré
C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\45571F36.htm Infecté : Trojan-Downloader.JS.IstBar.j ignoré
C:\Documents and Settings\François\Application Data\DRAW OWNS\Camp close.exe L'objet est verrouillé ignoré
C:\Documents and Settings\François\Application Data\DRAW OWNS\Road start noun.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\Documents and Settings\François\Application Data\Mozilla\Firefox\Profiles\t0ztndnw.default\cert8.db L'objet est verrouillé ignoré
C:\Documents and Settings\François\Application Data\Mozilla\Firefox\Profiles\t0ztndnw.default\formhistory.dat L'objet est verrouillé ignoré
C:\Documents and Settings\François\Application Data\Mozilla\Firefox\Profiles\t0ztndnw.default\history.dat L'objet est verrouillé ignoré
C:\Documents and Settings\François\Application Data\Mozilla\Firefox\Profiles\t0ztndnw.default\key3.db L'objet est verrouillé ignoré
C:\Documents and Settings\François\Application Data\Mozilla\Firefox\Profiles\t0ztndnw.default\parent.lock L'objet est verrouillé ignoré
C:\Documents and Settings\François\Application Data\Mozilla\Firefox\Profiles\t0ztndnw.default\search.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\François\Application Data\Mozilla\Firefox\Profiles\t0ztndnw.default\urlclassifier2.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\François\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\François\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\François\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\François\Local Settings\Application Data\Mozilla\Firefox\Profiles\t0ztndnw.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré
C:\Documents and Settings\François\Local Settings\Application Data\Mozilla\Firefox\Profiles\t0ztndnw.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré
C:\Documents and Settings\François\Local Settings\Application Data\Mozilla\Firefox\Profiles\t0ztndnw.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré
C:\Documents and Settings\François\Local Settings\Application Data\Mozilla\Firefox\Profiles\t0ztndnw.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré
C:\Documents and Settings\François\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\François\Local Settings\Temp\~DF7E77.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\François\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\François\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\François\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcrst.dll L'objet est verrouillé ignoré
C:\qoobox\Quarantine\C\Documents and Settings\LocalService\Application Data\DRAW OWNS\Camp close.exe.vir L'objet est verrouillé ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP580\A0078381.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP580\A0078387.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP580\A0078403.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP580\A0078404.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP580\A0078411.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP580\A0078418.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP580\A0078425.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP580\A0078434.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP580\A0078441.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP580\A0078442.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP580\A0078452.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP580\A0078453.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP580\A0078463.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP580\A0078464.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP580\A0078471.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP580\A0078472.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP580\A0078482.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP580\A0078483.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP580\A0078490.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP580\A0078500.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP581\A0078508.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP581\A0078509.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP581\A0078516.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP581\A0078526.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP581\A0078528.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP581\A0078534.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP581\A0078543.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP581\A0078550.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP581\A0078558.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP581\A0078559.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP581\A0078566.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP582\A0078569.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP582\A0078579.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP582\A0078590.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP582\A0078600.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP582\A0078607.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP582\A0078609.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP582\A0078615.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP582\A0078616.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP582\A0078623.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP582\A0078632.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP582\A0078636.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP582\A0078645.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP582\A0078651.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP582\A0079651.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP582\A0079652.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP582\A0079659.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP582\A0079665.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP582\A0079672.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP582\A0079682.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP583\A0079691.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP583\A0079698.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP583\A0079704.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP583\A0079711.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP583\A0079724.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP583\A0079730.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP583\A0079742.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP583\A0079749.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP583\A0079755.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP583\A0079762.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP583\A0079768.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP583\A0079784.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP583\A0079790.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP583\A0079796.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP584\A0079840.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP584\A0079851.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP584\A0079858.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP584\A0079871.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP584\A0079877.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP584\A0080877.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP584\A0080891.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP585\A0080904.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP585\A0080928.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP585\A0080934.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP585\A0080943.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP586\A0080962.exe Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP592\A0081238.exe L'objet est verrouillé ignoré
C:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP592\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\oakley.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\bios.rom Infecté : Trojan-Downloader.BAT.Ftp.ab ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\i Infecté : Trojan-Downloader.BAT.Ftp.ab ignoré
C:\WINDOWS\system32\mdn.cpp Infecté : Trojan-Downloader.BAT.Ftp.ab ignoré
C:\WINDOWS\system32\TFTP1716 Infecté : Backdoor.Win32.Rbot.bfd ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
D:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP592\change.log L'objet est verrouillé ignoré
E:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
E:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP592\change.log L'objet est verrouillé ignoré
F:\System Volume Information\_restore{2D17F641-8366-4FCF-864B-5F341CF62175}\RP592\change.log L'objet est verrouillé ignoré

Analyse terminée.

17 Septembre 2007 21:13:05

Re



C:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine ---> Vide là.


Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt....
Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve ci-dessous, et colle-la dans le cadre de gauche de OTMoveIt :p aste List of Files/Folders to be moved.

C:\Documents and Settings\François\Application Data\DRAW OWNS
C:\WINDOWS\system32\bios.rom
C:\WINDOWS\system32\i
C:\WINDOWS\system32\mdn.cpp
C:\WINDOWS\system32\TFTP1716


Clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.

Il te sera peut-être demander de redémarrer le PC pour achever la suppression. Si c'est le cas accepte par Yes.


Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
17 Septembre 2007 22:11:32

voila le rapport :

C:\Documents and Settings\François\Application Data\DRAW OWNS moved successfully.
C:\WINDOWS\system32\bios.rom moved successfully.
C:\WINDOWS\system32\i moved successfully.
C:\WINDOWS\system32\mdn.cpp moved successfully.
C:\WINDOWS\system32\TFTP1716 moved successfully.
File/Folder not found.

Created on 09/17/2007 22:10:49
17 Septembre 2007 22:16:44

As tu encore des dysfonctionnements ?
17 Septembre 2007 22:44:17

je fais 1 scan complet et je te tiens au courant
merci de toute façon pour ton aide et bravo pour ton travail et tes connaissances impressionnantes
(d'ailleurs es tu rémunéré pour tout ça?)
17 Septembre 2007 22:56:35

Nous sommes bénévoles et c'est rarement notre métier, plus une passion.

Donne moi le résultat du scan.
17 Septembre 2007 23:01:52

ben c'est vachement sympa,
et pour le scan c'est ok : RAS

merci encore
17 Septembre 2007 23:24:32

Bien.

On finit le ménage.

Supprime LopxpMH.

Lance OTmoveIT.
  • Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira a nettoyer les programmes que l'on a téléchargé).
    NOTE : Normalement, ton firewall (parefeu) devrait te demander si OTmoveIT peut accéder a internet, Autorise le.
  • Une liste apparait dans la partie gauche d'OTmoveIT.
  • Un message apparait pour confirmer le nettoyage. Confirme


    Encore deux choses.

    Va sur ce lien pour mieux sécuriser ton PC
    http://www.infos-du-net.com/forum/267223-11-securiser-o...

    Edite ton premier message et ajoute Résolu à côté de ton titre.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS