Aide sur analyse de HijackThis

(2 Pages)
1
2
→

Vous ne pouvez pas commencer un sujet
Vous ne pouvez pas répondre à ce sujet

Aide sur analyse de HijackThis Aide sur analyse de HijackThis Noter :

#1 bensalim

Junior Member

Groupe : Membres
Messages : 9
Inscrit(e) : 14-août 08

Posté 14 août 2008 - 12:47

salut tout le monde je suis nouveau parmi vous
je vien juste de faire une analyse avec hijackthis et j'ai sauvgarder mon fichier log

mnt je sais pas comment faire vous pouviez m'aider SVP

voila mon fichier log

------------------------------------------------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:49:57, on 14/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Webroot\Washer\WasherSvc.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\cleanmgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE
C:\Program Files\TinaSoft\Easy Cafe Server\EASYSERVER.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ycomp/def.../search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/def...://fr.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityrespo...er/fix_homepage
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityrespo...er/fix_homepage
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/def...://fr.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\FICHIE~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
O4 - HKLM\..\Policies\Explorer\Run: []
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [] (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [] (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [] (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [] (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir l'image dans &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~2\Office\1036\phdintl.dll/phdContext.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase5036.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://ma-config.com...ion_3_0_3_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{742C343D-4B6A-426E-8418-A14B6D008D62}: NameServer = 192.168.1.1
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: Window Washer Engine (wwEngineSvc) - Webroot Software, Inc. - C:\Program Files\Webroot\Washer\WasherSvc.exe

--
End of file - 8145 bytes
----------------------------------------------------------------------

merci bk d'avance

Retour en haut of the page up there ^

#2 Gof

Tera Power Extrem Member

Groupe : Modérateur [Gof]
Messages : 9764
Inscrit(e) : 26-novembre 05

Posté 14 août 2008 - 04:21

Bonjour bensalim

Citation

Messages: 1

Bienvenue sur les forums de Zebulon.

Quelques liens pour t'aider à commencer :

On va voir ensemble ce qui se passe sur ton PC ; comme tous les intervenants ici, nous aidons bénévolement en fonction de nos activités personnelles. On va essayer d'aller au plus vite, mais il faudra peut-être parfois être patient pour attendre une réponse, pas d'affolement

Lorsque tu présentes tes soucis, il serait pratique que tu décrives bien les symptômes que tu as constatés.

Tu as une infection se propageant par supports amovibles (clés USB, cartes FLash, etc). D'habitude nous utilisons un outil pour neutraliser cette infection, mais cette variante n'est pas encore prise en compte dans l'outil. On va donc fouiller un peu.

Image IPB

Télécharge DiagHelp.zip de Malekal_morte sur ton bureau.

Décompresse le, sur ton bureau par exemple.
Un nouveau dossier chercher va être créé DiagHelp.
Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
Une fenêtre va s'ouvrir, choisis l'option 1
L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur les touches quand on te le demande
Une fenêtre internet va s'ouvrir, suis les consignes. Que cela fonctionne ou non, ferme la fenêtre, un rapport va s'ouvrir
Copie/colle le contenu du bloc-note qui s'ouvre et joins le à ta prochaine réponse.

(il et possible que l'antivirus s'affole lors de l'analyse avec diaghelp, c'est un faux positif, il faut ignorer les alertes. )

A bientôt.

Help ! Pourquoi... Gof ? * La Mare du Gof

Retour en haut of the page up there ^

#3 bensalim

Junior Member

Groupe : Membres
Messages : 9
Inscrit(e) : 14-août 08

Posté 14 août 2008 - 09:08

Merci Mr Gof je vien d'utiliser le programe que tu ma conseiller de faire une analyse avec lui et voila le resultat de l'analyse

------------------------------------
--------------------------------
DiagHelp version v1.4 - http://www.malekal.com
excute le 14/08/2008 à 19:51:58,56

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->14/08/2008 19:51:53
C:\WINDOWS\prefetch\IPCONFIG.EXE-2395F30B.pf -->14/08/2008 19:47:34
C:\WINDOWS\prefetch\WINRAR.EXE-39C6DAD9.pf -->14/08/2008 19:47:22
C:\WINDOWS\prefetch\WMIPRVSE.EXE-28F301A9.pf -->14/08/2008 19:46:58
C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->14/08/2008 19:46:47
C:\WINDOWS\prefetch\WUAUCLT.EXE-399A8E72.pf -->14/08/2008 19:43:58
C:\WINDOWS\prefetch\WLLOGINPROXY.EXE-2D4B6027.pf -->14/08/2008 19:41:32
C:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->14/08/2008 19:40:59
C:\WINDOWS\prefetch\WINWORD.EXE-37F6AE09.pf -->14/08/2008 19:40:47
C:\WINDOWS\prefetch\OUTLOOK.EXE-21C6162B.pf -->14/08/2008 19:40:34

C:\WINDOWS\System32\drivers\klif.sys -->14/08/2008 17:52:53
C:\WINDOWS\System32\drivers\COH_Mon.sys -->30/07/2008 17:42:12
C:\WINDOWS\System32\drivers\COH_Mon.inf -->30/07/2008 17:28:04
C:\WINDOWS\System32\drivers\coh_mon.cat -->30/07/2008 17:28:04
C:\WINDOWS\System32\drivers\tcpip.sys -->20/06/2008 11:45:13
C:\WINDOWS\System32\drivers\afd.sys -->20/06/2008 11:44:38
C:\WINDOWS\System32\drivers\tcpip6.sys -->20/06/2008 10:52:06

C:\WINDOWS\System32\ckvo1.dll -->14/08/2008 17:56:11
C:\WINDOWS\System32\ckvo.exe -->14/08/2008 17:55:56
C:\WINDOWS\System32\ckvo0.dll -->14/08/2008 17:52:57
C:\WINDOWS\System32\wpa.dbl -->07/08/2008 10:43:11
C:\WINDOWS\System32\perfh00C.dat -->03/08/2008 10:44:59
C:\WINDOWS\System32\PerfStringBackup.INI -->03/08/2008 10:44:58
C:\WINDOWS\System32\perfh009.dat -->03/08/2008 10:44:58
C:\WINDOWS\System32\perfc00C.dat -->03/08/2008 10:44:58
C:\WINDOWS\System32\perfc009.dat -->03/08/2008 10:44:58
C:\WINDOWS\System32\FNTCACHE.DAT -->01/08/2008 11:38:33
C:\WINDOWS\System32\jupdate-1.5.0_03-b07.log -->28/07/2008 13:55:18
C:\WINDOWS\System32\winitn.dll -->27/07/2008 15:07:06
C:\WINDOWS\System32\maag.dll -->27/07/2008 15:06:58
C:\WINDOWS\System32\ckll.dll -->27/07/2008 15:06:58
C:\WINDOWS\System32\bkll.dll -->27/07/2008 15:06:57
C:\WINDOWS\System32\akll.dll -->27/07/2008 15:06:57
C:\WINDOWS\System32\agsaamj.dll -->27/07/2008 15:06:57
C:\WINDOWS\System32\agsaami.dll -->27/07/2008 15:06:56
C:\WINDOWS\System32\agsaamg.dll -->27/07/2008 15:06:56
C:\WINDOWS\System32\agsaamc.dll -->27/07/2008 15:06:56
C:\WINDOWS\System32\MRT.exe -->25/06/2008 17:15:46
C:\WINDOWS\System32\mswsock.dll -->20/06/2008 18:41:06
C:\WINDOWS\System32\dnsapi.dll -->20/06/2008 18:41:06
C:\WINDOWS\System32\SymNeti.dll -->13/06/2008 15:45:48
C:\WINDOWS\System32\SymRedir.dll -->13/06/2008 15:45:44

C:\WINDOWS\WindowsUpdate.log -->14/08/2008 19:44:00
C:\WINDOWS\wiadebug.log -->14/08/2008 17:47:49
C:\WINDOWS\wiaservc.log -->14/08/2008 17:47:42
C:\WINDOWS\bootstat.dat -->14/08/2008 17:46:29
C:\WINDOWS\SchedLgU.Txt -->14/08/2008 00:51:40
C:\WINDOWS\NeroDigital.ini -->07/08/2008 13:22:59
C:\WINDOWS\phd2dll.INI -->05/08/2008 12:38:44
C:\WINDOWS\WMSysPr9.prx -->27/07/2008 14:10:03
C:\WINDOWS\win.ini -->27/07/2008 00:29:10
C:\WINDOWS\X2CD.INI -->07/07/2008 23:58:12
C:\WINDOWS\system.ini -->30/06/2008 11:14:56
C:\WINDOWS\mozver.dat -->19/06/2008 17:23:05
C:\WINDOWS\S7EB0C8A7.tmp -->14/06/2008 15:28:24
C:\WINDOWS\nsreg.dat -->13/06/2008 14:41:35
C:\WINDOWS\Sti_Trace.log -->13/06/2008 04:35:52

winlogon.exe
Verified: Signed
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Signed
ndis.sys
Verified: Signed
null.sys
Verified: Signed

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright © 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 1720
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x636e0000 0x29000 5.05.0001.0001 C:\Program Files\Spyware Doctor\smumhook.dll
0x5a000000 0x1f000 5.05.0001.0000 C:\Program Files\Spyware Doctor\klg.dat
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
0x10000000 0x5b000 8.01.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
0x78130000 0x9b000 8.00.50727.1433 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCR80.dll
0x01490000 0x27000 C:\WINDOWS\system32\ckvo1.dll
0x01a70000 0x4c000 8.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
0x7c420000 0x87000 8.00.50727.1433 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCP80.dll
0x6b170000 0x9a000 107.00.0003.0007 C:\Program Files\Fichiers communs\Symantec Shared\ccL70U.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x023c0000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x014c0000 0x10000 8.00.0000.0456 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
0x086c0000 0x244000 10.00.0000.3702 C:\WINDOWS\system32\wmvcore.dll
0x070d0000 0x3b000 10.00.0000.4060 C:\WINDOWS\system32\WMASF.DLL
0x67080000 0x1c000 3.01.0000.0001 C:\Program Files\FileZilla FTP Client\fzshellext.dll
0x59590000 0x19000 9.00.0000.3250 C:\WINDOWS\system32\wmpshell.dll
0x69dd0000 0x24000 15.00.0000.0058 C:\PROGRA~1\NORTON~1\NORTON~1\NavShExt.dll
0x02d70000 0x2e000 C:\Program Files\WinRAR\rarext.dll
0x02e10000 0x29000 6.00.0001.0409 C:\PROGRA~1\FICHIE~1\WEBROO~1\SHELLW~1.DLL
0x02eb0000 0x3c000 4.00.0000.0000 C:\Program Files\PowerISO\PWRISOSH.DLL
0x02ef0000 0x26000 3.00.0000.4396 C:\WINDOWS\system32\igfxpph.dll
0x02b80000 0x13000 3.00.0000.4396 C:\WINDOWS\system32\hccutils.DLL
0x02f20000 0x24000 3.00.0000.4396 C:\WINDOWS\system32\igfxres.dll
0x03e70000 0x16f000 3.00.0000.4396 C:\WINDOWS\system32\igfxress.dll
0x02de0000 0xe000 3.00.0000.4396 C:\WINDOWS\system32\igfxsrvc.dll
0x5b660000 0xd000 6.00.3800.2180 C:\WINDOWS\system32\twext.dll
0x325c0000 0x12000 11.00.5510.0000 C:\Program Files\Microsoft Office\OFFICE11\msohev.dll
------------------------------------------------------------------------------
explorer.exe pid: 3128
Command line: explorer.exe D:\

Base Size Version Path
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x636e0000 0x29000 5.05.0001.0001 C:\Program Files\Spyware Doctor\smumhook.dll
0x5a000000 0x1f000 5.05.0001.0000 C:\Program Files\Spyware Doctor\klg.dat
0x10000000 0x27000 C:\WINDOWS\system32\ckvo1.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x78130000 0x9b000 8.00.50727.1433 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCR80.dll
0x7c420000 0x87000 8.00.50727.1433 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCP80.dll
0x6b170000 0x9a000 107.00.0003.0007 C:\Program Files\Fichiers communs\Symantec Shared\ccL70U.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x01980000 0x4c000 8.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
0x086c0000 0x244000 10.00.0000.3702 C:\WINDOWS\system32\wmvcore.dll
0x070d0000 0x3b000 10.00.0000.4060 C:\WINDOWS\system32\WMASF.DLL
------------------------------------------------------------------------------
explorer.exe pid: 1168
Command line: explorer.exe D:\

Base Size Version Path
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x636e0000 0x29000 5.05.0001.0001 C:\Program Files\Spyware Doctor\smumhook.dll
0x5a000000 0x1f000 5.05.0001.0000 C:\Program Files\Spyware Doctor\klg.dat
0x10000000 0x27000 C:\WINDOWS\system32\ckvo1.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x78130000 0x9b000 8.00.50727.1433 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCR80.dll
0x7c420000 0x87000 8.00.50727.1433 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCP80.dll
0x6b170000 0x9a000 107.00.0003.0007 C:\Program Files\Fichiers communs\Symantec Shared\ccL70U.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x01980000 0x4c000 8.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA
0x086c0000 0x244000 10.00.0000.3702 C:\WINDOWS\system32\wmvcore.dll
0x070d0000 0x3b000 10.00.0000.4060 C:\WINDOWS\system32\WMASF.DLL
0x00fa0000 0x10000 8.00.0000.0456 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright © 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 828
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x636e0000 0x29000 5.05.0001.0001 C:\Program Files\Spyware Doctor\smumhook.dll
0x5a000000 0x1f000 5.05.0001.0000 C:\Program Files\Spyware Doctor\klg.dat
0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est F441-9361

Répertoire de C:\WINDOWS\system

17/02/2004 18:51 1 458 176 SmWizard.exe
1 fichier(s) 1 458 176 octets
0 Rép(s) 680 415 232 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est F441-9361

Répertoire de C:\WINDOWS\system32

19/08/2004 17:09 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 680 415 232 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est F441-9361

Répertoire de C:\WINDOWS\Downloaded Program Files

11/08/2008 19:40 <REP> .
11/08/2008 19:40 <REP> ..
04/06/2008 18:28 65 desktop.ini
24/03/2008 20:33 1 527 056 FP_AX_CAB_INSTALLER.exe
16/05/2007 09:22 399 gp.inf
25/07/2008 15:55 1 569 hardwaredetection.inf
24/03/2008 20:18 247 swflash.inf
24/06/2008 09:05 455 744 wlscBase.dll
24/06/2008 09:07 320 wlscBase.inf
7 fichier(s) 1 985 400 octets

Total des fichiers listés :
7 fichier(s) 1 985 400 octets
2 Rép(s) 680 415 232 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:µTorrent"
"C:\\Program Files\\TinaSoft\\Easy Cafe Server\\EasyServer.exe"="C:\\Program Files\\TinaSoft\\Easy Cafe Server\\EasyServer.exe:*:Enabled:EasyServer"
"C:\\Program Files\\Ares\\Ares.exe"="C:\\Program Files\\Ares\\Ares.exe:*:Enabled:Ares p2p for windows"
"C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"="C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe:*:Enabled:Assistance à distance - Windows Messenger et voix"
"C:\\Program Files\\ma-config.com\\maconfservice.exe"="C:\\Program Files\\ma-config.com\\maconfservice.exe:LocalSubNet:Enabled:maconfservice"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"DisableStatusMessages"=dword:00000000

Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-14 19:58:03
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
136 - PAStiSvc.exe
208 - spoolsv.exe
356 - pctsAuxs.exe
424 - pctsSvc.exe
804 - csrss.exe
828 - winlogon.exe
872 - services.exe
884 - lsass.exe
948 - pctsTray.exe
1000 - MDM.EXE
1124 - svchost.exe
1168 - explorer.exe
1236 - svchost.exe
1296 - svchost.exe
1424 - svchost.exe
1500 - CCSVCHST.EXE
1720 - explorer.exe
2720 - OUTLOOK.EXE
2884 - msnmsgr.exe
2952 - IEXPLORE.EXE
3128 - explorer.exe
3428 - CCSVCHST.EXE
3436 - msnmsgr.exe
3484 - winamp.exe
3496 - EasyServer.exe
3504 - cmd.exe
3928 - ctfmon.exe
3952 - usnsvc.exe

Total number of processes = 29
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntoskrnl.exe
806EC000 - \WINDOWS\system32\hal.dll
F9A8D000 - \WINDOWS\system32\KDCOM.DLL
F999D000 - \WINDOWS\system32\BOOTVID.dll
F953D000 - ACPI.sys
F9A8F000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
F952C000 - pci.sys
F958D000 - isapnp.sys
F9B55000 - PCIIde.sys
F980D000 - \WINDOWS\System32\Drivers\PCIIDEX.SYS
F9A91000 - intelide.sys
F959D000 - MountMgr.sys
F950D000 - ftdisk.sys
F9A93000 - dmload.sys
F94E7000 - dmio.sys
F9815000 - PartMgr.sys
F95AD000 - VolSnap.sys
F94CF000 - atapi.sys
F95BD000 - disk.sys
F95CD000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
F94AF000 - fltMgr.sys
F949D000 - sr.sys
F95DD000 - ikfilesec.sys
F95ED000 - PxHelp20.sys
F9486000 - KSecDD.sys
F93F9000 - Ntfs.sys
F93CC000 - NDIS.sys
F93B1000 - Mup.sys
F96ED000 - \SystemRoot\system32\DRIVERS\processr.sys
F91EB000 - \SystemRoot\system32\DRIVERS\ialmnt5.sys
F91D7000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
F988D000 - \SystemRoot\system32\DRIVERS\usbuhci.sys
F91B4000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
F9895000 - \SystemRoot\system32\DRIVERS\usbehci.sys
F989D000 - \SystemRoot\system32\DRIVERS\RTL8139.SYS
F98A5000 - \SystemRoot\system32\DRIVERS\fdc.sys
F91A0000 - \SystemRoot\system32\DRIVERS\parport.sys
F96FD000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
F98AD000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
F98B5000 - \SystemRoot\system32\DRIVERS\mouclass.sys
F918F000 - \SystemRoot\system32\DRIVERS\serial.sys
F9A49000 - \SystemRoot\system32\DRIVERS\serenum.sys
F970D000 - \SystemRoot\system32\DRIVERS\imapi.sys
F98BD000 - \SystemRoot\System32\Drivers\ElbyCDFL.sys
F971D000 - \SystemRoot\system32\DRIVERS\cdrom.sys
F972D000 - \SystemRoot\system32\DRIVERS\redbook.sys
F916C000 - \SystemRoot\system32\DRIVERS\ks.sys
F901C000 - \SystemRoot\system32\drivers\cmuda.sys
F8FF8000 - \SystemRoot\system32\drivers\portcls.sys
F973D000 - \SystemRoot\system32\drivers\drmk.sys
F9CDC000 - \SystemRoot\system32\DRIVERS\audstub.sys
F974D000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
F9A51000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
F8FE1000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
F975D000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
F976D000 - \SystemRoot\system32\DRIVERS\raspptp.sys
F98C5000 - \SystemRoot\system32\DRIVERS\TDI.SYS
F8F30000 - \SystemRoot\system32\DRIVERS\psched.sys
F977D000 - \SystemRoot\system32\DRIVERS\msgpc.sys
F98CD000 - \SystemRoot\system32\DRIVERS\ptilink.sys
F98D5000 - \SystemRoot\system32\DRIVERS\raspti.sys
F8ED7000 - \SystemRoot\system32\DRIVERS\rdpdr.sys
F978D000 - \SystemRoot\system32\DRIVERS\termdd.sys
F98DD000 - \SystemRoot\system32\DRIVERS\SymIM.sys
F9A9B000 - \SystemRoot\system32\DRIVERS\swenum.sys
F8E7E000 - \SystemRoot\system32\DRIVERS\update.sys
F9A6D000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
F97BD000 - \SystemRoot\System32\Drivers\NDProxy.SYS
F97DD000 - \SystemRoot\system32\DRIVERS\usbhub.sys
F9A9D000 - \SystemRoot\system32\DRIVERS\USBD.SYS
F98E5000 - \SystemRoot\system32\DRIVERS\flpydisk.sys
F0C80000 - \SystemRoot\system32\drivers\iksysflt.sys
F965D000 - \SystemRoot\system32\drivers\KCOM.SYS
F0C69000 - \SystemRoot\system32\drivers\iksyssec.sys
F0C20000 - \SystemRoot\System32\Drivers\SRTSP.SYS
F98F5000 - \SystemRoot\system32\DRIVERS\usbprint.sys
F96AD000 - \SystemRoot\system32\DRIVERS\ser2pl.sys
F9905000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS
F96BD000 - \SystemRoot\System32\Drivers\SRTSPX.SYS
F9AA1000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
F9B6E000 - \SystemRoot\System32\Drivers\Null.SYS
F9AA3000 - \SystemRoot\System32\Drivers\Beep.SYS
F9915000 - \SystemRoot\System32\drivers\vga.sys
F9AA5000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F9AA7000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F991D000 - \SystemRoot\System32\Drivers\Msfs.SYS
F9925000 - \SystemRoot\System32\Drivers\Npfs.SYS
F8F28000 - \SystemRoot\system32\DRIVERS\rasacd.sys
F0B08000 - \SystemRoot\system32\DRIVERS\ipsec.sys
F0AB0000 - \SystemRoot\system32\DRIVERS\tcpip.sys
F0A84000 - \SystemRoot\System32\Drivers\SYMTDI.SYS
F0A5F000 - \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS
F8F1C000 - \SystemRoot\System32\Drivers\SYMREDRV.SYS
F9AA9000 - \SystemRoot\System32\Drivers\SYMDNS.SYS
F9985000 - \SystemRoot\System32\Drivers\SYMNDIS.SYS
F0A49000 - \SystemRoot\System32\Drivers\SYMFW.SYS
F998D000 - \SystemRoot\System32\Drivers\SYMIDS.SYS
F0A0B000 - \??\C:\PROGRA~1\FICHIE~1\SYMANT~1\SymcData\ipsdefs\20080718.003\SymIDSCo.sys
F09E3000 - \SystemRoot\system32\DRIVERS\netbt.sys
F09C2000 - \SystemRoot\system32\DRIVERS\ipnat.sys
F8FD1000 - \SystemRoot\system32\DRIVERS\wanarp.sys
F09A0000 - \SystemRoot\System32\drivers\afd.sys
F8FC1000 - \SystemRoot\system32\DRIVERS\netbios.sys
F0909000 - \??\C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCDrv.sys
F8FB1000 - \SystemRoot\System32\Drivers\SCDEmu.SYS
F08DE000 - \SystemRoot\system32\DRIVERS\rdbss.sys
F0847000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
F8FA1000 - \SystemRoot\System32\Drivers\Fips.SYS
F985D000 - \SystemRoot\System32\Drivers\ElbyCDIO.sys
F0747000 - \??\C:\Program Files\Fichiers communs\Symantec Shared\EENGINE\eeCtrl.sys
F0729000 - \??\C:\Program Files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys
F8F81000 - \SystemRoot\System32\Drivers\Cdfs.SYS
BF800000 - \SystemRoot\System32\win32k.sys
F9A25000 - \SystemRoot\System32\drivers\Dxapi.sys
F9885000 - \SystemRoot\System32\watchdog.sys
BF9C3000 - \SystemRoot\System32\drivers\dxg.sys
F9BF4000 - \SystemRoot\System32\drivers\dxgthk.sys
BF9E3000 - \SystemRoot\System32\ialmdnt5.dll
BF9D5000 - \SystemRoot\System32\ialmrnt5.dll
BFA05000 - \SystemRoot\System32\ialmdev5.DLL
BFA3A000 - \SystemRoot\System32\ialmdd5.DLL
F0609000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
F036E000 - \SystemRoot\System32\Drivers\Fastfat.SYS
F9945000 - \??\C:\WINDOWS\system32\drivers\CO_Mon.sys
F0179000 - \SystemRoot\system32\drivers\wdmaud.sys
F0519000 - \SystemRoot\system32\drivers\sysaudio.sys
EFF67000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
F9A95000 - \SystemRoot\System32\Drivers\ParVdm.SYS
EFE9D000 - \SystemRoot\system32\DRIVERS\srv.sys
F9C82000 - \??\C:\WINDOWS\system32\Drivers\mchInjDrv.sys
EF864000 - \SystemRoot\System32\Drivers\HTTP.sys
BFB1C000 - \??\C:\WINDOWS\system32\drivers\klif.sys
EF3A9000 - \??\C:\PROGRA~1\FICHIE~1\SYMANT~1\VIRUSD~1\20080809.002\NAVEX15.SYS
EF383000 - \??\C:\PROGRA~1\FICHIE~1\SYMANT~1\VIRUSD~1\20080809.002\NAVENG.SYS
EEE58000 - \SystemRoot\system32\drivers\kmixer.sys
F9C3A000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 136

Liste des programmes installes

Adobe Flash Player ActiveX
Adobe Reader 8.1.2 - Français
Adobe Shockwave Player 11
AppCore
Ares 2.0.9
Assistant de connexion Windows Live
AVI MPEG WMV RM to MP3 Converter 1.6.8
C-Media WDM Audio Driver
ccCommon
CCleaner (remove only)
CloneCD
Component Framework
EasyCafe Server 2.2 (Firewall Edition)
eSupportQFolder
FileZilla Client 3.1.0.1
HijackThis 2.0.2
HP Deskjet 3900 series
HP Image Zone Express
HP Software Update
HP Solution Center & Imaging Support Tools 5.0
HP USB Disk Storage Format Tool
HPDeskjet3900Series
HPProductAssistant
Intel® Extreme Graphics 2 Driver
IsoBuster 2.3
J2SE Runtime Environment 5.0 Update 3
JPEG Camera v0.97
K-Lite Codec Pack 3.9.5 (Full)
LiveUpdate (Symantec Corporation)
Ma-Config.com
Messenger Plus! Live
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft Office Professional Edition 2003
Microsoft PhotoDraw 2000 Version 2
Microsoft Visual C++ 2005 Redistributable
Mise à jour de sécurité pour Windows XP (KB923789)
Mozilla Firefox (2.0.0.16)
MSVC80_x86
MSXML 4.0 SP2 (KB936181)
MSXML 6.0 Parser (KB933579)
Nero OEM
neroxml
Norton AntiVirus
Norton AntiVirus Help
Norton Confidential Core
Norton Internet Security
Norton Internet Security (Symantec Corporation)
Norton Protection Center
OneTouch Version 3.0
Package de pilotes Windows - Nokia Modem (05/22/2008 3.

Package de pilotes Windows - Nokia pccsmcfd (10/12/2007 6.85.4.0)
PaperPort 7.02
PC Connectivity Solution
PL-2303 USB-to-Serial
PowerISO
ReaConverter Pro 3.5
Real Alternative 1.60 Lite
SolutionCenter
SPBBC 32bit
Spyware Doctor 5.5
Symantec Real Time Storage Protection Component
SymNet
Tunatic
WebFldrs XP
WebReg
Winamp
Window Washer
Windows Imaging Component
Windows Live installer
Windows Live Messenger
Windows Live OneCare safety scanner
Windows Media Format Runtime
Windows Media Player Firefox Plugin
WinRAR archiver
XML Paper Specification Shared Components Pack 1.0

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est F441-9361

Répertoire de C:\Program Files

14/08/2008 11:46 <REP> .
14/08/2008 11:46 <REP> ..
05/06/2008 23:09 <REP> Adobe
20/06/2008 00:20 <REP> Ahead
08/08/2008 17:43 <REP> Amor SWF to Video Converter
28/07/2008 15:00 <REP> AMT
14/06/2008 23:47 <REP> Ares
27/07/2008 17:08 <REP> AVI MPEG WMV RM to MP3 Converter
06/06/2008 13:57 <REP> Borland
05/06/2008 22:12 <REP> CCleaner
04/06/2008 18:25 <REP> ComPlus Applications
18/07/2008 20:50 <REP> DIFX
28/07/2008 13:51 <REP> Fichiers communs
03/08/2008 11:47 <REP> FileZilla FTP Client
01/08/2008 12:16 <REP> HDGraph
06/06/2008 00:57 <REP> Hewlett-Packard
06/06/2008 01:07 <REP> HP
01/08/2008 01:26 <REP> Internet Explorer
25/06/2008 19:32 <REP> IObit
28/07/2008 13:55 <REP> Java
24/07/2008 19:37 <REP> JPEG Camera
05/06/2008 22:11 <REP> K-Lite Codec Pack
02/08/2008 12:34 <REP> ma-config.com
05/06/2008 04:15 <REP> Messenger
05/06/2008 22:33 <REP> Messenger Plus! Live
04/06/2008 18:31 <REP> microsoft frontpage
07/06/2008 18:43 <REP> Microsoft Office
05/06/2008 22:41 <REP> Microsoft Visual Studio
13/06/2008 04:10 <REP> Microsoft Works
05/06/2008 22:44 <REP> Microsoft.NET
19/07/2008 20:07 <REP> MOBILedit!
04/06/2008 18:27 <REP> Movie Maker
14/08/2008 11:13 <REP> Mozilla Firefox
04/06/2008 18:24 <REP> MSN
04/06/2008 18:25 <REP> MSN Gaming Zone
06/06/2008 20:40 <REP> MSXML 4.0
01/08/2008 01:10 <REP> MSXML 6.0
19/06/2008 01:00 <REP> Nero
06/06/2008 14:26 <REP> NeroInstall.bak
04/06/2008 18:27 <REP> NetMeeting
22/07/2008 12:25 <REP> NewLive All Media To Mp3 Converter
05/06/2008 00:13 <REP> Norton Internet Security
05/06/2008 04:12 <REP> Outlook Express
18/07/2008 20:49 <REP> PC Connectivity Solution
14/06/2008 20:12 <REP> PowerISO
27/07/2008 17:42 <REP> QuickMediaConverter
28/07/2008 11:28 <REP> ReaConverter Pro
27/07/2008 01:35 <REP> Real Alternative
05/07/2008 22:56 <REP> SatelliteTVforPC
08/06/2008 19:25 <REP> ScanSoft
04/06/2008 18:28 <REP> Services en ligne
14/06/2008 15:25 <REP> SlySoft
30/06/2008 17:11 <REP> Smart Projects
12/08/2008 11:24 <REP> Spyware Doctor
04/06/2008 20:16 <REP> Symantec
06/06/2008 13:58 <REP> TinaSoft
14/08/2008 11:46 <REP> Trend Micro
30/06/2008 16:56 <REP> Tunatic
07/07/2008 21:32 <REP> TVAnts
07/08/2008 12:21 <REP> uTorrent
08/06/2008 19:50 <REP> Visioneer OneTouch
14/06/2008 19:00 <REP> Webroot
05/06/2008 22:26 <REP> Winamp
09/08/2008 11:24 <REP> WinAVI Video Converter
05/06/2008 22:28 <REP> Windows Live
11/08/2008 19:45 <REP> Windows Live Safety Center
06/06/2008 13:52 <REP> Windows Media Player
04/06/2008 18:25 <REP> Windows NT
04/06/2008 19:49 <REP> Windows Sidebar
05/06/2008 22:09 <REP> WinRAR
08/07/2008 00:30 <REP> X2CD
04/06/2008 18:31 <REP> xerox
0 fichier(s) 0 octets
72 Rép(s) 584 171 520 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est F441-9361

Répertoire de C:\Program Files\fichiers communs

28/07/2008 13:51 <REP> .
28/07/2008 13:51 <REP> ..
05/06/2008 23:10 <REP> Adobe
20/06/2008 00:19 <REP> Ahead
05/06/2008 22:42 <REP> DESIGNER
06/06/2008 01:07 <REP> HP
18/07/2008 21:09 <REP> InstallShield
28/07/2008 13:51 <REP> Java
13/06/2008 04:10 <REP> Microsoft Shared
04/06/2008 18:27 <REP> MSSoap
19/06/2008 01:00 <REP> Nero
04/06/2008 18:12 <REP> ODBC
08/06/2008 19:42 <REP> ScanSoft Shared
04/06/2008 18:27 <REP> Services
04/06/2008 18:12 <REP> SpeechEngines
14/08/2008 19:54 <REP> Symantec Shared
05/06/2008 22:41 <REP> System
14/06/2008 19:00 <REP> Webroot Shared
0 fichier(s) 0 octets
18 Rép(s) 584 167 424 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est F441-9361

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

13/06/2008 04:11 <REP> .
13/06/2008 04:11 <REP> ..
05/06/2008 22:42 <REP> 1033
13/06/2008 04:11 <REP> 1036
20/09/2005 13:33 1 293 008 MSONSEXT.DLL
22/03/2007 20:29 39 256 MSOSV.DLL
03/06/1999 13:09 122 937 MSOWS409.DLL
07/03/2001 08:00 127 033 MSOWS40c.DLL
11/07/2003 03:25 80 448 PKMWS.DLL
18/03/1999 04:37 593 977 RAGENT.DLL
6 fichier(s) 2 256 659 octets
4 Rép(s) 584 167 424 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est F441-9361

Répertoire de C:\

Attention : C:\autorun.inf existe
;0csi7wa9e8mr8313a2oJ3eSes4eJijd33qiKAjAwak2J7AJ5drs6knaioK1kDplL12Kkf4jwidwqd0F
sls2Kao
[AutoRun]
;9lkJakrwKawoA2Saiiq6r1qk50mad4jiFw3wi57spK5wC4X03JZeDDqr
open=t1ypkh.exe
;DsDfqkK22a2dC2FiirlLa3ls1a8DaJweiLe79jaf42La2wik4a3c0akkdA4f453IseaAks4q7rs4a18
shell\open\Command=t1ypkh.exe
;65Li7orli84dsqk41i24K3LZj4efAK2j12KiqJ0KiXqLJ2sKSd3i5wsk0i0S4aAkLnac091dkrrr0p0
d2q24kSaoajsdjaKklODDoseaJ45DlkfDaL
shell\open\Default=1
;ks3lkJdaDd2qp9sDdL5wsL9c4jArwasoj32w3AUwwii3wjD3aD330lSKCdai9KL1aj1r0wa4iZrmsdw
f235sS4rw27eilqKoofaekX02nI8KHsS4i12
shell\explore\Command=t1ypkh.exe
;jlDsSr21aw4dKj9r0diJass4dwXkUAr0i20aD3ms4k32askd92kKa8o72DkroDLn3

c:\Documents and Settings\Abdelhamid\Application Data\Microsoft\Installer\{8527C3D5-BA1D-46E9-88D2-AF25544311A3}\ARPPRODUCTICON.exe
c:\Documents and Settings\Abdelhamid\Application Data\Microsoft\Installer\{8527C3D5-BA1D-46E9-88D2-AF25544311A3}\NewShortcut1_8527C3D5BA1D46E988D2AF25544311A3.exe
c:\Documents and Settings\Abdelhamid\Application Data\Microsoft\Installer\{8527C3D5-BA1D-46E9-88D2-AF25544311A3}\NewShortcut2_8527C3D5BA1D46E988D2AF25544311A3.exe
c:\Documents and Settings\Abdelhamid\Application Data\U3\temp\cleanup.exe
c:\Documents and Settings\Abdelhamid\Bureau\HJTInstall.exe
c:\Documents and Settings\Abdelhamid\Bureau\DiagHelp\DiagHelp\catchme.exe
c:\Documents and Settings\Abdelhamid\Bureau\DiagHelp\DiagHelp\diff.exe
c:\Documents and Settings\Abdelhamid\Bureau\DiagHelp\DiagHelp\dumphive.exe
c:\Documents and Settings\Abdelhamid\Bureau\DiagHelp\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\Abdelhamid\Bureau\DiagHelp\DiagHelp\find2.exe
c:\Documents and Settings\Abdelhamid\Bureau\DiagHelp\DiagHelp\Fport.exe
c:\Documents and Settings\Abdelhamid\Bureau\DiagHelp\DiagHelp\grep.exe
c:\Documents and Settings\Abdelhamid\Bureau\DiagHelp\DiagHelp\gzip.exe
c:\Documents and Settings\Abdelhamid\Bureau\DiagHelp\DiagHelp\KProcCheck.exe
c:\Documents and Settings\Abdelhamid\Bureau\DiagHelp\DiagHelp\LFiles.exe
c:\Documents and Settings\Abdelhamid\Bureau\DiagHelp\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\Abdelhamid\Bureau\DiagHelp\DiagHelp\md5sums.exe
c:\Documents and Settings\Abdelhamid\Bureau\DiagHelp\DiagHelp\pslist.exe
c:\Documents and Settings\Abdelhamid\Bureau\DiagHelp\DiagHelp\sigcheck.exe
c:\Documents and Settings\Abdelhamid\Bureau\DiagHelp\DiagHelp\streams.exe
c:\Documents and Settings\Abdelhamid\Bureau\DiagHelp\DiagHelp\swreg.exe
c:\Documents and Settings\Abdelhamid\Bureau\DiagHelp\DiagHelp\tar.exe
c:\Documents and Settings\All Users\Application Data\NortonProtectionMemo.exe
c:\Documents and Settings\All Users\Application Data\Installations\{2B8BEBBF-73A0-497D-9900-8474D022AB3F}\Nokia_PC_Suite_rel_7_0_7_0_fre_web.exe
c:\Documents and Settings\All Users\Application Data\Installations\{2B8BEBBF-73A0-497D-9900-8474D022AB3F}\Installer\CommonCustomActions\UninstCCD.exe
c:\Documents and Settings\All Users\Application Data\Installations\{2B8BEBBF-73A0-497D-9900-8474D022AB3F}\Installer\CommonCustomActions\UninstPCS.exe
c:\Documents and Settings\All Users\Application Data\Installations\{2B8BEBBF-73A0-497D-9900-8474D022AB3F}\Installer\CommonCustomActions\UninstPCSFEMsi.exe
c:\Documents and Settings\All Users\Documents\avg_avwt_stf_g7_8_156a1345.exe
c:\Documents and Settings\All Users\Documents\easysetup.exe
c:\Documents and Settings\All Users\Documents\Anti Autorun\autorun 15751586157516041577 16011610158516081587.exe
c:\Documents and Settings\All Users\Documents\nis2008\NIS2008_OEM90.exe
c:\Documents and Settings\All Users\Documents\Nouveau dossier\flt-tmnt\TMNTGame.exe
c:\Documents and Settings\Abdelhamid\Application Data\Microsoft\IdentityCRL\Production\ppcrlconfig.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
c:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\LuRegManifests\Static\AppLU.dll
c:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\LuRegManifests\Static\AVLUReg.dll
c:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\LuRegManifests\Static\CCCMNLUM.DLL
c:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\LuRegManifests\Static\ccMSLLuM.dll
c:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\LuRegManifests\Static\ccResLuM.dll
c:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\LuRegManifests\Static\ccRtkLuM.dll
c:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\LuRegManifests\Static\ccSEDLuM.dll
c:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\LuRegManifests\Static\CFLUReg.dll
c:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\LuRegManifests\Static\COH32LUR.dll
c:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\LuRegManifests\Static\COL32LU.dll
c:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\LuRegManifests\Static\CW20.dll
c:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\LuRegManifests\Static\decluman.dll
c:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\LuRegManifests\Static\DRMLUReg.dll
c:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\LuRegManifests\Static\FWLUReg.dll
c:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\LuRegManifests\Static\hnlureg.dll
c:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\LuRegManifests\Static\HTEC_LU.dll
c:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\LuRegManifests\Static\IV20.dll
c:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\LuRegManifests\Static\LUBBReg.dll
c:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\LuRegManifests\Static\LUShdsRg.dll
c:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\LuRegManifests\Static\LUTPReg.dll
c:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\LuRegManifests\Static\NAVLUReg.dll
c:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\LuRegManifests\Static\NCO20.dll
c:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\LuRegManifests\Static\NISLUReg.dll
c:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\LuRegManifests\Static\SymAbLRM.dll
c:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\LuRegManifests\Static\SymLTLRM.dll
c:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\LuRegManifests\Static\uiLUReg.dll
c:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\LuRegManifests\Static\VALUReg.dll
c:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\LuRegManifests\Static\WA20.dll
c:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\LuRegManifests\Static\WP20.dll
c:\Documents and Settings\All Users\Application Data\Symantec\SyKnAppS\patch25.dll
c:\Documents and Settings\All Users\Application Data\Symantec\SyKnAppS\SyKnAppS.dll

****** Fin du rapport DiagHelp
Veuillez svp envoyer le fichier C:\upload_moi_CYBERCHABAB.tar.gz a l'adresse http://upload.malekal.com
--------------------------------------------
merci d'avance a tout l'equipe
merci bk poyr votre aides

Retour en haut of the page up there ^

#4 Gof

Tera Power Extrem Member

Groupe : Modérateur [Gof]
Messages : 9764
Inscrit(e) : 26-novembre 05

Posté 14 août 2008 - 09:31

Re bensalim

Tu as j'imagine des supports amovibles : clés USB, tout ce qui peut se brancher en USB (appareil photo, etc), cartes Flash, etc.

Il ne faut pas pour l'instant que tu les branches sur le pc. Nous verrons pour les désinfecter par la suite.

Suis la manipulation suivante je te prie :

Télécharge CFScript.txt et enregistre le sur ton bureau.

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Help ! Pourquoi... Gof ? * La Mare du Gof

Retour en haut of the page up there ^

#5 bensalim

Junior Member

Groupe : Membres
Messages : 9
Inscrit(e) : 14-août 08

Posté 15 août 2008 - 03:24

Merci bk Mr Gof c'est vraiment gentil de ta part de me faire assistant pour résoudre mes probleme

j'ai fait se que tu m'a demander avec ComboFix voila son résultat

merci bk

---------------------------------------------
---------------------------------------------

ComboFix 08-08-14.03 - Abdelhamid 2008-08-15 12:30:12.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.35 [GMT 1:00]
Endroit: C:\Documents and Settings\Abdelhamid\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Abdelhamid\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

FILE ::
C:\WINDOWS\S7EB0C8A7.tmp
C:\WINDOWS\System32\agsaamc.dll
C:\WINDOWS\System32\agsaamg.dll
C:\WINDOWS\System32\agsaami.dll
C:\WINDOWS\System32\agsaamj.dll
C:\WINDOWS\System32\akll.dll
C:\WINDOWS\System32\bkll.dll
C:\WINDOWS\System32\ckll.dll
C:\WINDOWS\System32\ckvo.exe
C:\WINDOWS\System32\ckvo0.dll
C:\WINDOWS\System32\ckvo1.dll
C:\WINDOWS\System32\maag.dll
C:\WINDOWS\System32\winitn.dll
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
C:\b3b9u.com
C:\tbm9.bat
C:\tyktjfww.exe
C:\WINDOWS\System32\agsaamc.dll
C:\WINDOWS\System32\agsaamg.dll
C:\WINDOWS\System32\agsaami.dll
C:\WINDOWS\System32\agsaamj.dll
C:\WINDOWS\System32\akll.dll
C:\WINDOWS\System32\bkll.dll
C:\WINDOWS\System32\ckll.dll
C:\WINDOWS\System32\ckvo.exe
C:\WINDOWS\system32\ckvo0.dll
C:\WINDOWS\System32\ckvo1.dll
C:\WINDOWS\System32\maag.dll
C:\WINDOWS\System32\winitn.dll
D:\Autorun.inf
D:\b3b9u.com
D:\tbm9.bat
D:\tyktjfww.exe
C:\WINDOWS\S7EB0C8A7.tmp . . . . Echec de suppression

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_poof

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-15 to 2008-08-15 ))))))))))))))))))))))))))))))))))))
.

2008-08-15 12:44 . 2008-08-15 12:44 0 --------- C:\WINDOWS\S7EB0C8A7.tmp
2008-08-14 20:02 . 2008-08-14 20:02 13,397,513 --a------ C:\upload_moi_CYBERCHABAB.tar.gz
2008-08-14 17:56 . 2008-08-15 11:39 91,411 -r-hs---- C:\t1ypkh.exe
2008-08-14 11:46 . 2008-08-14 11:46 <REP> d-------- C:\Program Files\Trend Micro
2008-08-08 19:04 . 2008-08-09 11:24 <REP> d-------- C:\Program Files\WinAVI Video Converter
2008-08-08 17:33 . 2008-08-08 17:33 <REP> d-------- C:\DriveKey
2008-08-07 13:50 . 2008-08-07 13:50 <REP> d-------- C:\My Documents
2008-08-07 13:48 . 2008-08-08 17:43 <REP> d-------- C:\Program Files\Amor SWF to Video Converter
2008-08-03 11:48 . 2008-08-09 16:04 <REP> d-------- C:\Documents and Settings\Abdelhamid\Application Data\FileZilla
2008-08-03 11:46 . 2008-08-03 11:47 <REP> d-------- C:\Program Files\FileZilla FTP Client
2008-08-01 12:06 . 2008-08-01 12:16 <REP> d-------- C:\Program Files\HDGraph
2008-08-01 01:39 . 2006-06-29 14:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
2008-08-01 01:10 . 2008-08-01 01:10 <REP> d-------- C:\Program Files\MSXML 6.0
2008-07-28 16:30 . 2008-07-28 16:30 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avg8
2008-07-28 13:57 . 2008-07-28 13:57 <REP> d-------- C:\WINDOWS\Sun
2008-07-28 13:55 . 2005-04-13 04:48 49,265 --a------ C:\WINDOWS\system32\jpicpl32.cpl
2008-07-28 13:53 . 2008-07-28 13:55 <REP> d-------- C:\Program Files\Java
2008-07-28 13:51 . 2008-07-28 13:51 <REP> d-------- C:\Program Files\Fichiers communs\Java
2008-07-28 11:27 . 2008-07-28 11:28 <REP> d-------- C:\Program Files\ReaConverter Pro
2008-07-27 15:06 . 2008-07-27 15:06 <REP> d-------- C:\WINDOWS\system32\RMBin
2008-07-27 15:06 . 2002-01-05 07:48 974,848 --a------ C:\WINDOWS\system32\mfc70.dll
2008-07-27 15:06 . 2002-01-05 06:40 487,424 --a------ C:\WINDOWS\system32\msvcp70.dll
2008-07-27 15:06 . 2002-01-05 12:37 344,064 --a------ C:\WINDOWS\system32\msvcr70.dll
2008-07-27 15:06 . 2008-07-27 15:06 53,760 --a------ C:\WINDOWS\system\ppacklib.dll
2008-07-27 14:11 . 2008-07-27 18:37 <REP> d-------- C:\TEMP
2008-07-27 14:09 . 2008-07-27 17:08 <REP> d-------- C:\Program Files\AVI MPEG WMV RM to MP3 Converter
2008-07-27 00:28 . 2008-07-28 15:00 <REP> d-------- C:\Program Files\AMT
2008-07-26 23:33 . 2001-08-17 22:56 7,552 --a------ C:\WINDOWS\system32\drivers\SONYPVU1.SYS
2008-07-26 23:33 . 2001-08-17 22:56 7,552 --a--c--- C:\WINDOWS\system32\dllcache\sonypvu1.sys
2008-07-26 12:50 . 2008-07-26 15:20 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-07-25 20:53 . 2005-02-27 22:48 356,352 --a------ C:\WINDOWS\system32\RealMediaSplitter.ax
2008-07-25 13:00 . 2008-08-05 12:38 97 --a------ C:\WINDOWS\phd2dll.INI
2008-07-24 19:37 . 2008-07-24 19:37 <REP> d-------- C:\Program Files\JPEG Camera
2008-07-22 12:27 . 2008-07-27 17:42 <REP> d-------- C:\Program Files\QuickMediaConverter
2008-07-22 12:12 . 2008-07-22 12:25 <REP> d-------- C:\Program Files\NewLive All Media To Mp3 Converter
2008-07-19 13:58 . 2008-07-19 20:07 <REP> d-------- C:\Program Files\MOBILedit!
2008-07-18 21:12 . 2003-07-16 15:27 43,264 --a------ C:\WINDOWS\system32\drivers\ser2pl.sys
2008-07-18 21:10 . 2008-08-08 17:33 <REP> d--h----- C:\Program Files\InstallShield Installation Information
2008-07-18 20:57 . 2008-07-18 20:57 <REP> d-------- C:\Documents and Settings\All Users\Application Data\PC Suite
2008-07-18 20:57 . 2008-07-18 20:57 <REP> d-------- C:\Documents and Settings\Abdelhamid\Application Data\PC Suite
2008-07-18 20:57 . 2008-07-18 20:59 <REP> d-------- C:\Documents and Settings\Abdelhamid\Application Data\Nokia
2008-07-18 20:50 . 2008-07-18 20:50 <REP> d-------- C:\Program Files\DIFX
2008-07-18 20:50 . 2007-09-17 16:53 21,632 --a------ C:\WINDOWS\system32\drivers\pccsmcfd.sys
2008-07-18 20:49 . 2008-07-18 20:49 <REP> d-------- C:\Program Files\PC Connectivity Solution
2008-07-18 20:46 . 2008-05-07 08:38 90,624 --a------ C:\WINDOWS\system32\nmwcdcls.dll
2008-07-18 20:22 . 2008-07-18 20:56 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Installations
2008-07-17 13:47 . 2008-08-11 19:45 <REP> d-------- C:\Program Files\Windows Live Safety Center
2008-07-15 21:17 . 2008-07-15 21:17 <REP> d-------- C:\Documents and Settings\All Users\Application Data\09
2008-07-15 21:17 . 2008-07-14 11:55 308,600 --a------ C:\Documents and Settings\All Users\Application Data\NortonProtectionMemo.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-15 11:48 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-08-15 11:40 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-08-15 10:39 --------- d-----w C:\Documents and Settings\Abdelhamid\Application Data\uTorrent
2008-08-12 10:24 --------- d-----w C:\Program Files\Spyware Doctor
2008-08-07 11:21 --------- d-----w C:\Program Files\uTorrent
2008-08-05 09:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2008-08-03 19:46 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-08-02 11:34 --------- d-----w C:\Program Files\ma-config.com
2008-08-02 11:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\ma-config.com
2008-07-30 16:42 23,888 -c--a-w C:\WINDOWS\system32\drivers\COH_Mon.sys
2008-07-30 16:28 706 -c--a-w C:\WINDOWS\system32\drivers\COH_Mon.inf
2008-07-30 16:28 10,537 -c--a-w C:\WINDOWS\system32\drivers\coh_mon.cat
2008-07-27 00:35 --------- d-----w C:\Program Files\Real Alternative
2008-07-18 20:09 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-07-07 23:30 --------- d-----w C:\Program Files\X2CD
2008-07-07 20:32 --------- d-----w C:\Program Files\TVAnts
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-05 21:56 --------- d-----w C:\Program Files\SatelliteTVforPC
2008-07-01 23:27 --------- d-----w C:\Documents and Settings\Abdelhamid\Application Data\U3
2008-06-30 16:11 --------- d-----w C:\Program Files\Smart Projects
2008-06-30 15:56 --------- d-----w C:\Program Files\Tunatic
2008-06-25 18:32 --------- d-----w C:\Program Files\IObit
2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 15:40 663,552 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-22 18:33 --------- d-----w C:\Documents and Settings\Abdelhamid\Application Data\Ahead
2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 -c--a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 -c--a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 -c--a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-19 23:20 --------- d-----w C:\Program Files\Ahead
2008-06-19 23:19 --------- d-----w C:\Program Files\Fichiers communs\Ahead
2008-06-19 00:00 --------- d-----w C:\Program Files\Nero
2008-06-19 00:00 --------- d-----w C:\Program Files\Fichiers communs\Nero
2008-06-19 00:00 --------- d-----w C:\Documents and Settings\All Users\Application Data\Nero
2008-06-13 14:45 579,464 ----a-w C:\WINDOWS\system32\SymNeti.dll
2008-06-13 14:45 207,240 ----a-w C:\WINDOWS\system32\SymRedir.dll
2008-06-04 19:16 60,800 ----a-w C:\WINDOWS\system32\S32EVNT1.DLL
2002-09-24 08:24 61,440 -c--a-w C:\WINDOWS\inf\i386\onetUSD.dll
2002-08-19 07:46 36,864 -c--a-w C:\WINDOWS\inf\i386\Vizmicro.dll
2002-05-16 09:21 286,720 -c--a-w C:\WINDOWS\inf\i386\rtscan.dll
2002-05-16 09:20 172,032 -c--a-w C:\WINDOWS\inf\i386\viceo.dll
2001-08-03 18:29 13,824 -c--a-w C:\WINDOWS\inf\i386\Usbscan.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09 15360]
"uTorrent"="C:\Program Files\uTorrent\uTorrent.exe" [2008-06-12 17:37 219952]
"ccleaner"="C:\Program Files\CCleaner\CCleaner.exe" [2008-06-25 14:58 1209584]
"ares"="C:\Program Files\Ares\Ares.exe" [2008-02-20 15:33 963072]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2008-02-14 12:01 51048]
"osCheck"="C:\Program Files\Norton Internet Security\osCheck.exe" [2007-08-25 05:53 714608]
"ISTray"="C:\Program Files\Spyware Doctor\pctsTray.exe" [2008-04-10 16:14 1107848]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 17:09 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableStatusMessages"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveSearch"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoRun"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\uTorrent]
--a------ 2008-06-12 17:37 219952 C:\Program Files\uTorrent\uTorrent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\TinaSoft\\Easy Cafe Server\\EasyServer.exe"=
"C:\\Program Files\\Ares\\Ares.exe"=
"C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{61cc297e-41ff-11dd-8bf3-00138fe88153}]
\Shell\AutoRun\command - G:\6x8be16.cmd
\Shell\explore\Command - G:\6x8be16.cmd
\Shell\open\Command - G:\6x8be16.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{68eba937-3a49-11dd-8be5-00138fe88153}]
\shell\AutoRun\command - G:\olb1iimw.bat
\shell\explore\Command - G:\olb1iimw.bat
\shell\open\Command - G:\olb1iimw.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6b97ae8f-686b-11dd-8c43-00138fe88153}]
\Shell\AutoRun\command - G:\f0.cmd
\Shell\explore\Command - f0.cmd
\Shell\open\Command - G:\f0.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{780b9320-3870-11dd-8be1-00138fe88153}]
\shell\AutoRun\command - ylr.exe
\shell\explore\Command - ylr.exe
\shell\open\Command - ylr.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{780b9328-3870-11dd-8be1-00138fe88153}]
\Shell\AutoRun\command - lsass.exe
\Shell\open\Command - lsass.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7edfce3f-3ed8-11dd-8bed-00138fe88153}]
\Shell\AutoRun\command - H:\d6fagcs8.cmd
\Shell\explore\Command - H:\d6fagcs8.cmd
\Shell\open\Command - H:\d6fagcs8.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8619b03c-330c-11dd-8bd2-00138fe88153}]
\Shell\AutoRun\command - G:\u8jre9hv.bat
\Shell\explore\Command - G:\u8jre9hv.bat
\Shell\open\Command - G:\u8jre9hv.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bcd1850c-3c7f-11dd-8be7-00138fe88153}]
\Shell\Auto\command - G:\auto.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL auto.exe
\Shell\explore\Command - G:\00hoeav.com
\Shell\open\Command - G:\00hoeav.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c3827b11-3fe2-11dd-8bf0-00138fe88153}]
\Shell\AutoRun\command - G:\6x8be16.cmd
\Shell\explore\Command - G:\6x8be16.cmd
\Shell\open\Command - G:\6x8be16.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d44def81-3ba7-11dd-8be6-00138fe88153}]
\Shell\AutoRun\command - G:\qa8sywva.cmd
\Shell\explore\Command - qa8sywva.cmd
\Shell\open\Command - G:\qa8sywva.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d44def84-3ba7-11dd-8be6-00138fe88153}]
\Shell\AutoRun\command - G:\tbm9.bat
\Shell\explore\Command - G:\tbm9.bat
\Shell\open\Command - G:\tbm9.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{de166b53-4d39-11dd-8c08-00138fe88153}]
\Shell\AutoRun\command - lsass.exe
\Shell\open\Command - lsass.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fa729130-3dff-11dd-8bea-00138fe88153}]
\Shell\AutoRun\command - H:\6x8be16.cmd
\Shell\explore\Command - H:\6x8be16.cmd
\Shell\open\Command - H:\6x8be16.cmd

*Newly Created Service* - COMHOST
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

2008-08-11 C:\WINDOWS\Tasks\Norton Internet Security - Run Full System Scan - Abdelhamid.job
- C:\Program Files\Norton Internet Security\Norton AntiVirus\Navw32.exe [2007-08-27 02:19]
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-kamsoft - C:\WINDOWS\system32\ckvo.exe

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-15 12:46:14
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Fichiers communs\Symantec Shared\CCSVCHST.EXE
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCSVCHST.EXE
C:\WINDOWS\system32\PAStiSvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-08-15 12:58:23 - machine was rebooted
ComboFix-quarantined-files.txt 2008-08-15 11:57:49

Pre-Run: 623,771,648 octets libres
Post-Run: 707,104,768 octets libres

272 --- E O F --- 2008-08-14 23:50:38

Merci bk en avance

Retour en haut of the page up there ^

#6 Gof

Tera Power Extrem Member

Groupe : Modérateur [Gof]
Messages : 9764
Inscrit(e) : 26-novembre 05

Posté 15 août 2008 - 03:57

Bonjour bensalim

Bien, on continue. Je vais te demander de lire la procédure une première fois, afin de bien en prendre connaissance. Il va être important que tu suives strictement l'ordre des consignes indiquées. Avec ce type d'infections se propageant par supports amovibles, il est très facile de rapidement se réinfecter.

Image IPB

Télécharge à nouveau CFScript.txt et enregistre le sur ton bureau (tu peux supprimer l'ancien).

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Je vais te faire désactiver l'exécution automatique des supports, afin de traiter cette infection se propageant par supports amovibles.

Télécharge le fichier autorun_off.reg sur ton bureau en faisant un clic droit sur le lien donné et en sélectionnant Enregistrer la cible du lien sous.
Double-clique dessus afin de l'exécuter, et répond Oui pour accepter la fusion avec le registre.
Cela sera très rapide, et cela ne donne pas de rapport.

Télécharge Flashdisinfector de sUBs sur ton bureau.

Branche tous tes supports amovibles (clés USB, cartes Flash, appareil photo, disques durs externes, etc).
Tu ne fois faire que les brancher, pas les ouvrir.
S'il est nécessaire de démarrer certains matériels (comme les disques durs externes par exemple), démarre les ; mais sans y accéder
Tu ne dois faire que les brancher et ignorer les éventuels messages te demandant quelle est l'action à faire (réduis les fenêtres si c'est le cas).
Double-clique sur Flash_Disinfector.exe.
Cela sera très rapide, un message t'informera de la fin du fix.
Attention, celui-ci stoppe le processus explorer.exe puis le redémarre, prends soin de ne pas laisser de documents (word, excel) sur lesquels tu travailles ouvert à ce moment la.
Si tu as beaucoup de clés ou de supports amovibles à désinfecter, tu peux renouveler l'opération en branchant les clés non traitées une à une.

Télécharge Malwarebytes' Anti-Malware (MBAM)

Double clique sur le fichier téléchargé pour lancer le processus d'installation.
Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
Sélectionne "Exécuter un examen complet"
Puis clique sur Rechercher
Une nouvelle fenêtre va s'ouvrir, sélectionne tous les lecteurs présents
Clique sur "Lancer l'examen"
L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :

Citation
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Aux rapports Combofix, MBAM, joins moi un nouveau rapport HijackThis, tel que tu l'as fait la première fois.

A bientôt.

Help ! Pourquoi... Gof ? * La Mare du Gof

Retour en haut of the page up there ^

#7 bensalim

Junior Member

Groupe : Membres
Messages : 9
Inscrit(e) : 14-août 08

Posté 15 août 2008 - 11:21

salut

Merci encore une fois pour votre aide

voila les rapports de 1 ) MBAM, 2) Combofix, et 3) HijackThis

1) rapport de MBM

Malwarebytes' Anti-Malware 1.24
Version de la base de données: 1054
Windows 5.1.2600 Service Pack 2

23:07:54 15/08/2008
mbam-log-8-15-2008 (23-07-54).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 73876
Temps écoulé: 1 hour(s), 52 minute(s), 30 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kamsoft (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\ckvo.exe (Trojan.Agent) -> Quarantined and deleted successfully.

2) rapport de ComboFix

ComboFix 08-08-14.03 - Abdelhamid 2008-08-15 16:39:54.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.30 [GMT 1:00]
Endroit: C:\Documents and Settings\Abdelhamid\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Abdelhamid\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

FILE ::
C:\t1ypkh.exe
C:\WINDOWS\phd2dll.INI
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\t1ypkh.exe
C:\WINDOWS\phd2dll.INI

.
((((((((((((((((((((((((((((( Fichiers créés 2008-07-15 to 2008-08-15 ))))))))))))))))))))))))))))))))))))
.

2008-08-15 16:16 . 2008-08-15 16:16 <REP> d-------- C:\Program Files\MSECache
2008-08-15 12:44 . 2008-08-15 12:44 0 --------- C:\WINDOWS\S7EB0C8A7.tmp
2008-08-14 20:02 . 2008-08-14 20:02 13,397,513 --a------ C:\upload_moi_CYBERCHABAB.tar.gz
2008-08-14 11:46 . 2008-08-14 11:46 <REP> d-------- C:\Program Files\Trend Micro
2008-08-08 19:04 . 2008-08-09 11:24 <REP> d-------- C:\Program Files\WinAVI Video Converter
2008-08-08 17:33 . 2008-08-08 17:33 <REP> d-------- C:\DriveKey
2008-08-07 13:50 . 2008-08-07 13:50 <REP> d-------- C:\My Documents
2008-08-07 13:48 . 2008-08-08 17:43 <REP> d-------- C:\Program Files\Amor SWF to Video Converter
2008-08-03 11:48 . 2008-08-09 16:04 <REP> d-------- C:\Documents and Settings\Abdelhamid\Application Data\FileZilla
2008-08-03 11:46 . 2008-08-03 11:47 <REP> d-------- C:\Program Files\FileZilla FTP Client
2008-08-01 12:06 . 2008-08-01 12:16 <REP> d-------- C:\Program Files\HDGraph
2008-08-01 01:39 . 2006-06-29 14:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
2008-08-01 01:10 . 2008-08-01 01:10 <REP> d-------- C:\Program Files\MSXML 6.0
2008-07-28 16:30 . 2008-07-28 16:30 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avg8
2008-07-28 13:57 . 2008-07-28 13:57 <REP> d-------- C:\WINDOWS\Sun
2008-07-28 13:55 . 2005-04-13 04:48 49,265 --a------ C:\WINDOWS\system32\jpicpl32.cpl
2008-07-28 13:53 . 2008-07-28 13:55 <REP> d-------- C:\Program Files\Java
2008-07-28 13:51 . 2008-07-28 13:51 <REP> d-------- C:\Program Files\Fichiers communs\Java
2008-07-28 11:27 . 2008-07-28 11:28 <REP> d-------- C:\Program Files\ReaConverter Pro
2008-07-27 15:06 . 2008-07-27 15:06 <REP> d-------- C:\WINDOWS\system32\RMBin
2008-07-27 15:06 . 2002-01-05 07:48 974,848 --a------ C:\WINDOWS\system32\mfc70.dll
2008-07-27 15:06 . 2002-01-05 06:40 487,424 --a------ C:\WINDOWS\system32\msvcp70.dll
2008-07-27 15:06 . 2002-01-05 12:37 344,064 --a------ C:\WINDOWS\system32\msvcr70.dll
2008-07-27 15:06 . 2008-07-27 15:06 53,760 --a------ C:\WINDOWS\system\ppacklib.dll
2008-07-27 14:11 . 2008-07-27 18:37 <REP> d-------- C:\TEMP
2008-07-27 14:09 . 2008-07-27 17:08 <REP> d-------- C:\Program Files\AVI MPEG WMV RM to MP3 Converter
2008-07-27 00:28 . 2008-07-28 15:00 <REP> d-------- C:\Program Files\AMT
2008-07-26 23:33 . 2001-08-17 22:56 7,552 --a------ C:\WINDOWS\system32\drivers\SONYPVU1.SYS
2008-07-26 23:33 . 2001-08-17 22:56 7,552 --a--c--- C:\WINDOWS\system32\dllcache\sonypvu1.sys
2008-07-26 12:50 . 2008-07-26 15:20 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-07-25 20:53 . 2005-02-27 22:48 356,352 --a------ C:\WINDOWS\system32\RealMediaSplitter.ax
2008-07-24 19:37 . 2008-07-24 19:37 <REP> d-------- C:\Program Files\JPEG Camera
2008-07-22 12:27 . 2008-07-27 17:42 <REP> d-------- C:\Program Files\QuickMediaConverter
2008-07-22 12:12 . 2008-07-22 12:25 <REP> d-------- C:\Program Files\NewLive All Media To Mp3 Converter
2008-07-19 13:58 . 2008-07-19 20:07 <REP> d-------- C:\Program Files\MOBILedit!
2008-07-18 21:12 . 2003-07-16 15:27 43,264 --a------ C:\WINDOWS\system32\drivers\ser2pl.sys
2008-07-18 21:10 . 2008-08-08 17:33 <REP> d--h----- C:\Program Files\InstallShield Installation Information
2008-07-18 20:57 . 2008-07-18 20:57 <REP> d-------- C:\Documents and Settings\All Users\Application Data\PC Suite
2008-07-18 20:57 . 2008-07-18 20:57 <REP> d-------- C:\Documents and Settings\Abdelhamid\Application Data\PC Suite
2008-07-18 20:57 . 2008-07-18 20:59 <REP> d-------- C:\Documents and Settings\Abdelhamid\Application Data\Nokia
2008-07-18 20:50 . 2008-07-18 20:50 <REP> d-------- C:\Program Files\DIFX
2008-07-18 20:50 . 2007-09-17 16:53 21,632 --a------ C:\WINDOWS\system32\drivers\pccsmcfd.sys
2008-07-18 20:49 . 2008-07-18 20:49 <REP> d-------- C:\Program Files\PC Connectivity Solution
2008-07-18 20:46 . 2008-05-07 08:38 90,624 --a------ C:\WINDOWS\system32\nmwcdcls.dll
2008-07-18 20:22 . 2008-07-18 20:56 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Installations
2008-07-17 13:47 . 2008-08-11 19:45 <REP> d-------- C:\Program Files\Windows Live Safety Center
2008-07-15 21:17 . 2008-07-15 21:17 <REP> d-------- C:\Documents and Settings\All Users\Application Data\09
2008-07-15 21:17 . 2008-07-14 11:55 308,600 --a------ C:\Documents and Settings\All Users\Application Data\NortonProtectionMemo.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-15 12:27 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-08-15 11:49 --------- d-----w C:\Documents and Settings\Abdelhamid\Application Data\uTorrent
2008-08-15 11:40 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-08-12 10:24 --------- d-----w C:\Program Files\Spyware Doctor
2008-08-07 11:21 --------- d-----w C:\Program Files\uTorrent
2008-08-05 09:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2008-08-03 19:46 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-08-02 11:34 --------- d-----w C:\Program Files\ma-config.com
2008-08-02 11:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\ma-config.com
2008-07-30 16:42 23,888 -c--a-w C:\WINDOWS\system32\drivers\COH_Mon.sys
2008-07-30 16:28 706 -c--a-w C:\WINDOWS\system32\drivers\COH_Mon.inf
2008-07-30 16:28 10,537 -c--a-w C:\WINDOWS\system32\drivers\coh_mon.cat
2008-07-27 00:35 --------- d-----w C:\Program Files\Real Alternative
2008-07-18 20:09 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-07-07 23:30 --------- d-----w C:\Program Files\X2CD
2008-07-07 20:32 --------- d-----w C:\Program Files\TVAnts
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-05 21:56 --------- d-----w C:\Program Files\SatelliteTVforPC
2008-07-01 23:27 --------- d-----w C:\Documents and Settings\Abdelhamid\Application Data\U3
2008-06-30 16:11 --------- d-----w C:\Program Files\Smart Projects
2008-06-30 15:56 --------- d-----w C:\Program Files\Tunatic
2008-06-25 18:32 --------- d-----w C:\Program Files\IObit
2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 15:40 663,552 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-22 18:33 --------- d-----w C:\Documents and Settings\Abdelhamid\Application Data\Ahead
2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 -c--a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 -c--a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 -c--a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-19 23:20 --------- d-----w C:\Program Files\Ahead
2008-06-19 23:19 --------- d-----w C:\Program Files\Fichiers communs\Ahead
2008-06-19 00:00 --------- d-----w C:\Program Files\Nero
2008-06-19 00:00 --------- d-----w C:\Program Files\Fichiers communs\Nero
2008-06-19 00:00 --------- d-----w C:\Documents and Settings\All Users\Application Data\Nero
2008-06-13 14:45 579,464 ----a-w C:\WINDOWS\system32\SymNeti.dll
2008-06-13 14:45 207,240 ----a-w C:\WINDOWS\system32\SymRedir.dll
2008-06-04 19:16 60,800 ----a-w C:\WINDOWS\system32\S32EVNT1.DLL
2002-09-24 08:24 61,440 -c--a-w C:\WINDOWS\inf\i386\onetUSD.dll
2002-08-19 07:46 36,864 -c--a-w C:\WINDOWS\inf\i386\Vizmicro.dll
2002-05-16 09:21 286,720 -c--a-w C:\WINDOWS\inf\i386\rtscan.dll
2002-05-16 09:20 172,032 -c--a-w C:\WINDOWS\inf\i386\viceo.dll
2001-08-03 18:29 13,824 -c--a-w C:\WINDOWS\inf\i386\Usbscan.sys
.

((((((((((((((((((((((((((((( snapshot@2008-08-15_12.54.47.45 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-08-15 15:19:15 38,240 ----a-r C:\WINDOWS\Installer\{90120000-0020-040C-0000-0000000FF1CE}\O12ConvIcon.exe
+ 2005-09-22 22:48:08 479,232 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.42_x-ww_0de06acd\msvcm80.dll
+ 2005-09-22 22:48:08 548,864 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.42_x-ww_0de06acd\msvcp80.dll
+ 2005-09-22 22:48:06 626,688 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.42_x-ww_0de06acd\msvcr80.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09 15360]
"uTorrent"="C:\Program Files\uTorrent\uTorrent.exe" [2008-06-12 17:37 219952]
"ccleaner"="C:\Program Files\CCleaner\CCleaner.exe" [2008-06-25 14:58 1209584]
"ares"="C:\Program Files\Ares\Ares.exe" [2008-02-20 15:33 963072]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2008-02-14 12:01 51048]
"osCheck"="C:\Program Files\Norton Internet Security\osCheck.exe" [2007-08-25 05:53 714608]
"ISTray"="C:\Program Files\Spyware Doctor\pctsTray.exe" [2008-04-10 16:14 1107848]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 17:09 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableStatusMessages"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveSearch"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoRun"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\uTorrent]
--a------ 2008-06-12 17:37 219952 C:\Program Files\uTorrent\uTorrent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\TinaSoft\\Easy Cafe Server\\EasyServer.exe"=
"C:\\Program Files\\Ares\\Ares.exe"=
"C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=

R2 LiveUpdate Notice;LiveUpdate Notice;C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe [2008-02-14 12:02]
S2 wwEngineSvc;Window Washer Engine;C:\Program Files\Webroot\Washer\WasherSvc.exe [2007-11-26 15:47]
S3 CAM1690;USB 2.0 Compliance JPEG Video Camera;C:\WINDOWS\system32\Drivers\cam1690.sys [2007-03-29 17:33]
S3 COH_Mon;COH_Mon;C:\WINDOWS\system32\Drivers\COH_Mon.sys [2008-07-30 17:42]
S3 maconfservice;Ma-Config Service;C:\Program Files\ma-config.com\maconfservice.exe [2008-07-25 20:57]
S3 PAC207;SoC PC-Camera Beta3;C:\WINDOWS\system32\DRIVERS\pfc027.sys [2005-11-23 07:41]
S3 ZSMC0305;VIMICRO USB PC Camera V;C:\WINDOWS\system32\Drivers\usbVM305.sys [2006-03-05 04:24]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{272656b2-5ff2-11dd-8c2f-00138fe88153}]
\Shell\AutoRun\command - xqf.com
\Shell\explore\Command - xqf.com
\Shell\open\Command - xqf.com

*Newly Created Service* - COMHOST
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

2008-08-11 C:\WINDOWS\Tasks\Norton Internet Security - Run Full System Scan - Abdelhamid.job
- C:\Program Files\Norton Internet Security\Norton AntiVirus\Navw32.exe [2007-08-27 02:19]
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-15 16:49:21
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose

Balayage processus cachés ...

C:\WINDOWS\system32\ZSHP1020.EXE [1820] 0xFEE0EB10
C:\WINDOWS\system32\ZSHP1020.EXE [636] 0xFE8B1DA0
Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-08-15 16:54:02
ComboFix-quarantined-files.txt 2008-08-15 15:53:51
ComboFix2.txt 2008-08-15 11:58:31

Pre-Run: 304,865,280 octets libres
Post-Run: 336,707,584 octets libres

197 --- E O F --- 2008-08-14 23:50:38

3) rapport de HijackThis , le premier analyse

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:49:57, on 14/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Webroot\Washer\WasherSvc.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\cleanmgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE
C:\Program Files\TinaSoft\Easy Cafe Server\EASYSERVER.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ycomp/def.../search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/def...://fr.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityrespo...er/fix_homepage
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityrespo...er/fix_homepage
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/def...://fr.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\FICHIE~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
O4 - HKLM\..\Policies\Explorer\Run: []
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [] (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [] (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [] (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [] (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir l'image dans &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~2\Office\1036\phdintl.dll/phdContext.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase5036.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://ma-config.com...ion_3_0_3_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{742C343D-4B6A-426E-8418-A14B6D008D62}: NameServer = 192.168.1.1
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: Window Washer Engine (wwEngineSvc) - Webroot Software, Inc. - C:\Program Files\Webroot\Washer\WasherSvc.exe

--
End of file - 8145 bytes

en fin je te remercie pour votre effort avec moi
merci 1000 fois

bon courage

Retour en haut of the page up there ^

#8 Gof

Tera Power Extrem Member

Groupe : Modérateur [Gof]
Messages : 9764
Inscrit(e) : 26-novembre 05

Posté 15 août 2008 - 11:49

Bonsoir bensalim

Tu t'es réinfecté, avec l'un de tes supports amovibles. Tu as dû ouvrir un des supports que tu as branchés.

Bon, j'espère que tes supports sont toujours branchés. S'ils ne le sont pas, rebranche les, toujours sans les ouvrir.

Je vais te faire télécharger Antivir, de sorte d'analyser tout ton système et tes supports amovibles. Je te le ferais ensuite désinstaller, pour qu'il ne doublonne pas avec l'autre antivirus.

Télécharge la version gratuite d'Antivir à partir de cette page : Avira
La version à télécharger est en bas à gauche, sous le nom "Avira AntiVir Personal - FREE Antivirus". Clique sur Download.
Suis les instructions, tu seras redirigé.
Une fois le fichier d'installation téléchargé, suis ce tutoriel d'installation, de configuration et d'analyse.
Une fois l'analyse complète de ton système effectuée, poste moi le rapport d'analyse.

Il est important de laisser brancher tes supports, de sorte qu'ils soient analysés par Antivir.

A bientôt.

Help ! Pourquoi... Gof ? * La Mare du Gof

Retour en haut of the page up there ^

#9 bensalim

Junior Member

Groupe : Membres
Messages : 9
Inscrit(e) : 14-août 08

Posté 16 août 2008 - 02:06

merci bk

voila la rapport de AntiVir

Avira AntiVir Personal
Report file date: samedi 16 août 2008 12:19

Scanning for 1559120 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Boot mode: Save mode
Username: Abdelhamid
Computer name: CYBERCHABAB

Version information:
BUILD.DAT : 8.1.0.331 16934 Bytes 12/08/2008 11:46:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26/06/2008 09:57:53
AVSCAN.DLL : 8.1.4.0 40705 Bytes 26/05/2008 08:56:40
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 13:44:19
LUKERES.DLL : 8.1.4.0 12033 Bytes 26/05/2008 08:58:52
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 11:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24/06/2008 14:54:15
ANTIVIR2.VDF : 7.0.6.10 2587136 Bytes 14/08/2008 10:59:08
ANTIVIR3.VDF : 7.0.6.24 103424 Bytes 16/08/2008 10:59:10
Engineversion : 8.1.1.19
AEVDF.DLL : 8.1.0.5 102772 Bytes 09/07/2008 09:46:50
AESCRIPT.DLL : 8.1.0.63 311673 Bytes 16/08/2008 10:59:29
AESCN.DLL : 8.1.0.23 119156 Bytes 16/08/2008 10:59:28
AERDL.DLL : 8.1.0.20 418165 Bytes 09/07/2008 09:46:50
AEPACK.DLL : 8.1.2.1 364917 Bytes 16/08/2008 10:59:27
AEOFFICE.DLL : 8.1.0.21 192891 Bytes 16/08/2008 10:59:25
AEHEUR.DLL : 8.1.0.47 1368437 Bytes 16/08/2008 10:59:24
AEHELP.DLL : 8.1.0.15 115063 Bytes 09/07/2008 09:46:50
AEGEN.DLL : 8.1.0.35 315764 Bytes 16/08/2008 10:59:16
AEEMU.DLL : 8.1.0.7 430452 Bytes 16/08/2008 10:59:14
AECORE.DLL : 8.1.1.8 172406 Bytes 16/08/2008 10:59:12
AEBB.DLL : 8.1.0.1 53617 Bytes 24/04/2008 09:50:42
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 09:40:05
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 10:28:01
AVREP.DLL : 8.0.0.2 98344 Bytes 16/08/2008 10:59:11
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 12:26:40
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 09:29:23
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 13:27:49
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 18:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 13:49:40
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 13:05:10
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12/06/2008 14:48:07
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27/06/2008 14:34:37

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, D:,
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: samedi 16 août 2008 12:19

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'pctsTray.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'pctsSvc.exe' - '1' Module(s) have been scanned
Scan process 'pctsAuxs.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
14 processes with 14 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'D:\'
[INFO] No virus was found!

Starting to scan the registry.
The registry was scanned ( '44' files ).

Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\t1ypkh.exe
[DETECTION] Is the TR/Vundo.Gen Trojan
[NOTE] The file was moved to '491fb811.qua'!
C:\upload_moi_CYBERCHABAB.tar.gz
[0] Archive type: GZ
--> upload_moi.tar
[1] Archive type: TAR (tape archiver)
--> WINDOWS/System32/ckvo.exe
[DETECTION] Is the TR/Vundo.Gen Trojan
--> WINDOWS/System32/ckvo1.dll
[DETECTION] Is the TR/Vundo.Gen Trojan
--> WINDOWS/System32/ckvo0.dll
[DETECTION] Is the TR/Vundo.Gen Trojan
[NOTE] The file was moved to '4912b868.qua'!
C:\QooBox\Quarantine\C\b3b9u.com.vir
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
[NOTE] The file was moved to '4908be65.qua'!
C:\QooBox\Quarantine\C\t1ypkh.exe.vir
[DETECTION] Is the TR/Vundo.Gen Trojan
[NOTE] The file was moved to '491fbe64.qua'!
C:\QooBox\Quarantine\C\tbm9.bat.vir
[DETECTION] Is the TR/Vundo.Gen Trojan
[NOTE] The file was moved to '4913be95.qua'!
C:\QooBox\Quarantine\C\tyktjfww.exe.vir
[DETECTION] Is the TR/Vundo.Gen Trojan
[NOTE] The file was moved to '4911bead.qua'!
C:\QooBox\Quarantine\C\WINDOWS\system32\ckvo.exe.vir
[DETECTION] Is the TR/Vundo.Gen Trojan
[NOTE] The file was moved to '491cbea2.qua'!
C:\QooBox\Quarantine\C\WINDOWS\system32\ckvo0.dll.vir
[DETECTION] Is the TR/Vundo.Gen Trojan
[NOTE] The file was moved to '491cbea3.qua'!
C:\QooBox\Quarantine\C\WINDOWS\system32\ckvo1.dll.vir
[DETECTION] Is the TR/Vundo.Gen Trojan
[NOTE] The file was moved to '48068594.qua'!
C:\WINDOWS\system32\ckvo0.dll
[DETECTION] Is the TR/Vundo.Gen Trojan
[NOTE] The file was moved to '491cc428.qua'!
C:\WINDOWS\system32\ckvo1.dll
[DETECTION] Is the TR/Vundo.Gen Trojan
[NOTE] The file was moved to '480be079.qua'!
Begin scan in 'D:\'
D:\t1ypkh.exe
[DETECTION] Is the TR/Vundo.Gen Trojan
[NOTE] The file was moved to '491fc5fe.qua'!
D:\ares\ea games - [pc game] need for speed hot pursuit 2.exe
[0] Archive type: RAR SFX (self extracting)
--> NFSHP2\NFSHP2.ACE
[1] Archive type: ACE
--> actors\ActorDef\3DBack.adf
[WARNING] No further files can be extracted from this archive. The archive will be closed
[WARNING] No further files can be extracted from this archive. The archive will be closed
D:\logiciel\cpy\USB_GATEFinalEDITION\USB_GATE\USB GATE Installer.exe
[0] Archive type: RSRC
--> Object
[DETECTION] Is the TR/VB.Small.925696 Trojan
[NOTE] The file was moved to '48e8c9ad.qua'!

End of the scan: samedi 16 août 2008 13:38
Used time: 1:19:31 Hour(s)

The scan has been done completely.

3340 Scanning directories
154164 Files were scanned
15 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
13 files were moved to quarantine
0 files were renamed
2 Files cannot be scanned
154147 Files not concerned
1249 Archives were scanned
3 Warnings
13 Notes

merci encore 10000 fis

Retour en haut of the page up there ^

#10 Gof

Tera Power Extrem Member

Groupe : Modérateur [Gof]
Messages : 9764
Inscrit(e) : 26-novembre 05

Posté 16 août 2008 - 02:09

Bonjour bensalim

Bien, exécute à nouveau Flash Disinfector, de la même façon qu'indiquée précédemment.

Dis moi à quoi correspond ton lecteur D : s'agit-il d'un support ? D'un disque dur fractionné ?

Reposte un log HijackThis ensuite.

Help ! Pourquoi... Gof ? * La Mare du Gof

Retour en haut of the page up there ^

(2 Pages)
1
2
→

Vous ne pouvez pas commencer un sujet
Vous ne pouvez pas répondre à ce sujet

Similar Topics
Sujet	Commencé par	Statistiques	Infos sur le dernier message
Éradiquer virus et lecture du fichier HijackThis 1 2 3	avok	20 réponses 578 vues	12 mai 2012 - 03:17 Par : avok
Analyse ZHPDiag - problème démarrage Vista Suite éradication virus, problème démarrage	caledonous	8 réponses 280 vues	20 mai 2012 - 08:44 Par : caledonous
Demande aide pour booter sur USB 1 2	b noel	11 réponses 288 vues	22 mai 2012 - 08:09 Par : ab-web
Analyse log HiJackThis	jeffoul	3 réponses 198 vues	17 mai 2012 - 03:34 Par : tomtom95
Log HijackThis Aide au diagnostic	Swig	0 réponses 88 vues	23 mai 2012 - 12:58 Par : Swig
Demande d'aide pour interpréter HijackThis	ilayah	6 réponses 217 vues	11 mai 2012 - 07:45 Par : ilayah
Besoin d'aide pour ce code JavaScript Ajouter un champ input text	caramela-bxl	0 réponses 177 vues	17 mai 2012 - 08:39 Par : caramela-bxl
Aide pour contrôle si infection + problème Avira 1 2	jp9905	12 réponses 619 vues	11 mai 2012 - 02:11 Par : Notpa
[Résolu] Analyse de log HijackThis 1 2 3	mysorus	22 réponses 432 vues	15 mai 2012 - 08:40 Par : mysorus
[Résolu] PC qui rame - besoin d'aide 1 2 3 Envoyé par ab-web	Grenimarouille	26 réponses 720 vues	07 mai 2012 - 11:20 Par : tomtom95