Forums Zebulon.fr: help analyse hijack - Forums Zebulon.fr

bonjour a tous

mon pc est ultra ralenti. quand je vais sur internet cela mets un temps fou pour changer de page et souvent il ferme tout d'un coup.

Je pensais au départ que ça venait du fait que mon pc etait quasiemnt plein. alors j'ai acheté un disc dur externe où j'ai mis tout mes documents (taf photos, musique...)

j'ai suprimer par le panneau de configuration les logiciel dont je ne me servais pas.

mais cela n'a rien changé... et c'est de pirer en pire.

depuis ce matin j'ai une fenetre qui s'est ouverte dans ma barre de tache "sagem f@st 800-840" qui ne correspond a rien et qui ne veut pas disparaitre quand demande a fermer.

j'ai fait AFT cleaner.. selct all et je viens de faire une analyse d'hijack..

voici ce que ça donne.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at mag - 00:50:37, on 15/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\Windows\System32\bycool1\windo.exe
C:\Windows\System32\bycool\winacces.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\Windows\System32\bycool\myapp.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr...q=google+&meta=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [TiscaliParam] C:\Program Files\Tiscali\Dialer\bootparam.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [DRIVESYS1] C:\Windows\System32\bycool1\windo.exe
O4 - HKLM\..\Run: [DRIVESYS] C:\Windows\System32\bycool\winacces.exe
O4 - S-1-5-18 Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe (User 'Default user')
O4 - Startup: SpamPal.lnk = C:\Program Files\SpamPal\spampal.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player Utilities 4.18\AMVConverter\grab.html
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.fr
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://a1540.g.akamai.net/7/1540/52/200612...ex/qtplugin.cab
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.1...toUploader5.cab
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish...fishActivia.cab
O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://www.slide.com...ageUploader.cab
O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/Facebo...toUploader3.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.extrafilm...geUploader5.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://mag007space.s...ad/MsnPUpld.cab
O16 - DPF: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} (Image Uploader) - http://www.extrafilm...geUploader4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6A132D2-0D18-4CDD-847F-78D588E7EAAB}: NameServer = 213.36.80.1 213.36.80.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 8130 bytes


j'attends vos conseils merci!!!!

Salut mag007

Ton ordi est bel et bien infecté. De plus, il s'agit d'une infection plutôt rare, enfin jusqu'à maintenant il y a très peu de cas sur la toile.

Télécharge Combofix.exe de sUBs de l'un des trois liens suivants, puis sauvegarde-le sur ton Bureau (et pas ailleurs) :

http://subs.geekstogo.com/ComboFix.exe
http://download.blee...Bs/ComboFix.exe
http://www.forospywa...Bs/ComboFix.exe

• Assure-toi que tous les programmes sont fermés avant de commencer.
  
• Désactive ton antivirus et pare-feu tierce partie (si présent), juste pour le temps de l'analyse.
  
• Double-clique sur Combofix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• On va te proposer de télécharger et installer la Console de Récupération, clique sur "Oui" au message, autorise le téléchargement dans ton pare-feu si demandé, puis accepte le message de contrat utilisateur final.
  
• Le Bureau disparaîtra, c'est normal, et il va revenir.
  
• Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un Bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport est également sauvegardé là >> C:\Combofix.txt

@+

j'ai un ordi qui veut toujours faire son interressant et choper des trucs que les autres n'ont pas!!! j'te jure!!

bon alors j'ai fait tout comme tu m'as dit mais jeme suis fait peur car aprés avoir ouvert le texte en log le bureau n'est jamais revenu il a fallu que je redemarre l'ordi pour que ça revienne!!

petite question : je n'avais pas allumé mon disque externe quand j'ai fait hijack et combo... pas grave???

alors voici ce qu'il me dit :

ComboFix 09-01-13.04 - utilisateur 2009-01-15 10:57:52.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.127.15 [GMT 1:00]
Running from: c:\documents and settings\utilisateur\Bureau\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Downloaded Program Files\setup.inf
c:\windows\Readme.txt
c:\windows\system32\bnomkl32.dll

.
((((((((((((((((((((((((( Files Created from 2008-12-15 to 2009-01-15 )))))))))))))))))))))))))))))))
.

2009-01-10 12:17 . 2009-01-10 12:34 <REP> d-------- c:\program files\Dialang
2009-01-07 12:16 . 2009-01-07 12:16 <REP> d--hs---- c:\windows\system32\f
2009-01-07 12:16 . 2009-01-07 12:16 <REP> d--hs---- c:\windows\system32\bycool1
2009-01-07 12:16 . 2009-01-07 22:29 <REP> d--hs---- c:\windows\system32\bycool
2008-12-30 11:16 . 2008-12-30 11:16 <REP> d-------- c:\program files\Bonjour
2008-12-24 14:20 . 2008-04-17 13:12 107,368 --a------ c:\windows\system32\GEARAspi.dll
2008-12-24 14:20 . 2008-04-17 13:12 15,464 --a------ c:\windows\system32\drivers\GEARAspiWDM.sys
2008-12-24 14:18 . 2008-12-24 14:18 <REP> d-------- c:\program files\iPod
2008-12-24 14:17 . 2008-12-24 14:19 <REP> d-------- c:\program files\iTunes
2008-12-24 14:17 . 2008-12-24 14:19 <REP> d-------- c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-12-24 14:09 . 2008-12-24 14:09 <REP> d-------- c:\program files\Apple Software Update
2008-12-24 14:08 . 2008-11-07 14:23 32,000 --a------ c:\windows\system32\drivers\usbaapl.sys
2008-12-24 14:06 . 2008-12-24 14:18 <REP> d-------- c:\program files\Fichiers communs\Apple
2008-12-24 14:06 . 2008-12-24 14:06 <REP> d-------- c:\documents and settings\All Users\Application Data\Apple

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-14 23:00 --------- d-----w c:\program files\QuickTime
2009-01-14 22:28 --------- d-----w c:\documents and settings\All Users\Application Data\ExtraFilm
2009-01-14 22:27 --------- d-----w c:\program files\Extrafilm Designer FR
2009-01-10 11:34 --------- d--h--w c:\program files\InstallShield Installation Information
2008-12-25 12:18 --------- d-----w c:\documents and settings\utilisateur\Application Data\Apple Computer
2008-12-24 13:11 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2008-12-20 19:12 --------- d-----w c:\program files\MSN Messenger
2008-12-13 14:12 --------- d-----w c:\documents and settings\utilisateur\Application Data\Snapfish
2008-11-23 18:17 --------- d-----w c:\documents and settings\utilisateur\Application Data\Skype
2008-11-23 18:15 --------- d-----w c:\documents and settings\utilisateur\Application Data\skypePM
2008-08-11 06:50 8,306 ----a-w c:\program files\hijackthis.log
2008-08-10 12:31 396,288 ----a-w c:\program files\HijackThis.exe
2008-08-13 10:58 1,393,777 --sha-r c:\windows\system32\bycool1\windo.exe
2008-08-23 07:38 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008082320080824\index.dat
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TiscaliParam"="c:\program files\Tiscali\Dialer\bootparam.exe" [2003-02-19 32768]
"HPDJ Taskbar Utility"="c:\windows\System32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-10-29 196608]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"LogitechCommunicationsManager"="c:\program files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe" [2006-10-31 284184]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam10\QuickCam10.exe" [2006-11-15 746520]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"DRIVESYS1"="c:\windows\System32\bycool1\windo.exe" [2008-08-13 1393777]
"DRIVESYS"="c:\windows\System32\bycool\winacces.exe" [2008-08-13 1133622]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
DSLMON.lnk - c:\program files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2004-01-03 962663]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLogoff"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.X264"= x264vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a--c--- 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a--c--- 2004-12-20 19:41 33792 c:\program files\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]
--a--c--- 2002-10-15 17:00 1818624 c:\windows\mixer.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\BitTorrent\\btdownloadgui.exe"=
"c:\\Program Files\\pas d'origine\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

S1 aswSP;avast! Self Protection; [x]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-11-26 20560]
S3 ham50;Creatix V.90 HAM Data Fax Modem;c:\windows\system32\DRIVERS\CTXH51.sys [2001-08-04 454815]


--- Other Services/Drivers In Memory ---

*Deregistered* - AFD
*Deregistered* - ALG
*Deregistered* - Apple Mobile Device
*Deregistered* - Aspi32
*Deregistered* - aswFsBlk
*Deregistered* - aswMon2
*Deregistered* - aswRdr
*Deregistered* - aswSP
*Deregistered* - aswUpdSv
*Deregistered* - AudioSrv
*Deregistered* - avast! Antivirus
*Deregistered* - avast! Mail Scanner
*Deregistered* - avast! Web Scanner
*Deregistered* - Beep
*Deregistered* - BITS
*Deregistered* - Bonjour Service
*Deregistered* - Browser
*Deregistered* - Cdfs
*Deregistered* - CryptSvc
*Deregistered* - DcomLaunch
*Deregistered* - Dhcp
*Deregistered* - Dnscache
*Deregistered* - ERSvc
*Deregistered* - EventSystem
*Deregistered* - Fastfat
*Deregistered* - FastUserSwitchingCompatibility
*Deregistered* - Fax
*Deregistered* - Fips
*Deregistered* - FltMgr
*Deregistered* - Ftdisk
*Deregistered* - Gpc
*Deregistered* - helpsvc
*Deregistered* - HidServ
*Deregistered* - HTTP
*Deregistered* - ImapiService
*Deregistered* - IpNat
*Deregistered* - iPod Service
*Deregistered* - IPSec
*Deregistered* - Kbdclass
*Deregistered* - KSecDD
*Deregistered* - lanmanserver
*Deregistered* - lanmanworkstation
*Deregistered* - LmHosts
*Deregistered* - LVPr2Mon
*Deregistered* - LVPrcSrv
*Deregistered* - LVSrvLauncher
*Deregistered* - LVUSBSta
*Deregistered* - mnmdd
*Deregistered* - MountMgr
*Deregistered* - MRxDAV
*Deregistered* - MRxSmb
*Deregistered* - Msfs
*Deregistered* - mssmbios
*Deregistered* - Mup
*Deregistered* - NDIS
*Deregistered* - NdisTapi
*Deregistered* - Ndisuio
*Deregistered* - NdisWan
*Deregistered* - NDProxy
*Deregistered* - NetBIOS
*Deregistered* - NetBT
*Deregistered* - Netman
*Deregistered* - Nla
*Deregistered* - Npfs
*Deregistered* - Ntfs
*Deregistered* - Null
*Deregistered* - NVSvc
*Deregistered* - PartMgr
*Deregistered* - ParVdm
*Deregistered* - PolicyAgent
*Deregistered* - PptpMiniport
*Deregistered* - ProtectedStorage
*Deregistered* - PSched
*Deregistered* - RasAcd
*Deregistered* - RasAuto
*Deregistered* - Rasl2tp
*Deregistered* - RasMan
*Deregistered* - RasPppoe
*Deregistered* - Raspti
*Deregistered* - Rdbss
*Deregistered* - RDPCDD
*Deregistered* - RpcSs
*Deregistered* - SamSs
*Deregistered* - Schedule
*Deregistered* - Secdrv
*Deregistered* - seclogon
*Deregistered* - SENS
*Deregistered* - SharedAccess
*Deregistered* - ShellHWDetection
*Deregistered* - Spooler
*Deregistered* - sptd
*Deregistered* - sr
*Deregistered* - srservice
*Deregistered* - Srv
*Deregistered* - SSDPSRV
*Deregistered* - StarWindService
*Deregistered* - stisvc
*Deregistered* - swenum
*Deregistered* - TapiSrv
*Deregistered* - Tcpip
*Deregistered* - TermDD
*Deregistered* - TermService
*Deregistered* - Themes
*Deregistered* - TrkWks
*Deregistered* - Update
*Deregistered* - VgaSave
*Deregistered* - VolSnap
*Deregistered* - W32Time
*Deregistered* - Wanarp
*Deregistered* - WebClient
*Deregistered* - winmgmt
*Deregistered* - wscsvc
*Deregistered* - wuauserv
*Deregistered* - WudfPf
*Deregistered* - WudfSvc
*Deregistered* - WZCSVC

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3a66c162-dcac-11dd-bd96-4d6564696130}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL log.exe
\Shell\Ouvrir\command - H:\log.exe
.
Contents of the 'Scheduled Tasks' folder

2009-01-13 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-CleanUp - (no file)
MSConfigStartUp-QuickTime Task - c:\program files\QuickTime\qttask.exe


.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.fr/search?hl=fr&q=google+&meta=
IE: Add to AMV Converter... - c:\program files\MP3 Player Utilities 4.18\AMVConverter\grab.html

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd

c:\windows\system32\unicows.dll - c:\windows\Downloaded Program Files\CONFLICT.1\ImageUploader5.ocx
O16 -: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3}
hxxp://www.extrafilm.fr/ImageUploader5.cab
c:\windows\Downloaded Program Files\CONFLICT.1\ImageUploader5.inf
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-15 11:04:02
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
TiscaliParam = c:\program files\Tiscali\Dialer\bootparam.exe?arrer\Programmes?Dialer Tiscali\?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-1426590395-972670786-3454122357-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:24,ba,90,c1,09,d5,6b,14,4d,b4,3d,39,11,d7,b9,a0,86,c4,26,ee,93,fc,fb,
f6,83,a7,22,d5,ad,fa,e8,dd,82,e1,f4,ce,8b,b3,b7,0c,82,66,34,5c,8e,2e,fa,5f,\
"??"=hex:05,84,6e,e8,84,86,2f,92,02,da,09,ca,4b,70,37,b0
.
Completion time: 2009-01-15 11:13:23
ComboFix-quarantined-files.txt 2009-01-15 10:13:11

Pre-Run: 11 016 441 856 octets libres
Post-Run: 11,057,152,000 octets libres

251 --- E O F --- 2008-12-18 20:03:33

Bonsoir mag007

Bien joué. Voici la suite maintenant :
==============

**Le script prescrit ci-bas a été préparé pour la machine de mag007 seulement et ne dois pas être exécuté sur une autre machine**

Créé un nouveau fichier du Bloc-notes, puis "Copie/Colle" le texte qui se trouve dans la boîte "Code" ci-dessous (sans le mot "Code" ):

http://forum.zebulon.fr/help-analyse-hijack-t157676.html

Collect::
C:\Windows\System32\bycool1\windo.exe
C:\Windows\System32\bycool\winacces.exe

File::
H:\log.exe

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DRIVESYS1"=-
"DRIVESYS"="-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3a66c162-dcac-11dd-bd96-4d6564696130}]

DirLook::
c:\windows\system32\f
c:\windows\system32\bycool1
c:\windows\system32\bycool

*Sauvegarde ce fichier sur ton Bureau et nomme-le CFScript.txt (orthographe exacte primordiale)

• **Branche ton DD externe à présent, ainsi que toutes clés USB utilisées ou autres lecteurs amovibles**
  
• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture ci-dessus.
  
• ComboFix sera lancé.
  
• *Si ComboFix t'offre de télécharger une version à jour de l'outil, accepte*
  
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises : c'est normal.
  Ne touche à rien tant que le scan n'est pas terminé.
  
• En toute fin de routine, ComboFix affichera une fenêtre avec le message suivant :
  "ComboFix needs to submit malware files for further analysis.
  Please ensure that you're connected to the internet before clicking OK"
  
• Clique OK pour soumettre les fichiers (et Merci).
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu dans ta réponse.
  
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

@+

J'ai fait tout comme tu as dit. La fenêtre bleue c'est ouverte depuis plus d'une heure mais rien ne se passe..rien d'inscrit.. Et je peux rien faire... Ni fermer la fenêtre ni éteindre l'ordi. Est ce normal?

Étrange. Non, pas normal. La première chose à tenter est de fermer la fenêtre en cliquant sur le "X". Deuxième chose à tenter : lance le Gestionnaire des tâches (si tu peux) par CTRL+ALT+SUPP et arrête le processus de ComboFix. Si rien de tout ça n'est possible, arrête la machine avec le gros bouton, puis redémarre.

Après redémarrage, regarde si un rapport a été sauvegardé (C:\ComboFix.txt) s'il te plaît. On poursuivra selon tes trouvailles.

@+

alors quand j'ai redemarré j'ai du relancé combo fix qui c'est bien déroulé. seulement au moment ou il voulait analysé sur internet il n'a pas vu la connexion. il a mis une page de lien sur mon disque dur mais je ne sais pas quel fichier doit etre envoyé. voici sinon le rapport

ComboFix 09-01-15.01 - utilisateur 2009-01-16 15:48:05.2 - NTFSx86
Running from: c:\documents and settings\utilisateur\Bureau\ComboFix.exe
Command switches used :: c:\documents and settings\utilisateur\Bureau\CFScript.txt
AV: avast! antivirus 4.8.1296 [VPS 090116-0] *On-access scanning disabled* (Outdated)

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
H:\log.exe
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\System32\bycool\winacces.exe
c:\windows\System32\bycool1\windo.exe

.
((((((((((((((((((((((((( Files Created from 2008-12-16 to 2009-01-16 )))))))))))))))))))))))))))))))
.

2009-01-10 12:17 . 2009-01-10 12:34 d-------- c:\program files\Dialang
2009-01-07 12:16 . 2009-01-07 12:16 d--hs---- c:\windows\system32\f
2009-01-07 12:16 . 2009-01-16 15:48 d--hs---- c:\windows\system32\bycool1
2009-01-07 12:16 . 2009-01-16 15:48 d--hs---- c:\windows\system32\bycool
2008-12-30 11:16 . 2008-12-30 11:16 d-------- c:\program files\Bonjour
2008-12-24 14:20 . 2008-04-17 13:12 107,368 --a------ c:\windows\system32\GEARAspi.dll
2008-12-24 14:20 . 2008-04-17 13:12 15,464 --a------ c:\windows\system32\drivers\GEARAspiWDM.sys
2008-12-24 14:18 . 2008-12-24 14:18 d-------- c:\program files\iPod
2008-12-24 14:17 . 2008-12-24 14:19 d-------- c:\program files\iTunes
2008-12-24 14:17 . 2008-12-24 14:19 d-------- c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-12-24 14:09 . 2008-12-24 14:09 d-------- c:\program files\Apple Software Update
2008-12-24 14:08 . 2008-11-07 14:23 32,000 --a------ c:\windows\system32\drivers\usbaapl.sys
2008-12-24 14:06 . 2008-12-24 14:18 d-------- c:\program files\Fichiers communs\Apple
2008-12-24 14:06 . 2008-12-24 14:06 d-------- c:\documents and settings\All Users\Application Data\Apple

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-14 23:00 --------- d-----w c:\program files\QuickTime
2009-01-14 22:28 --------- d-----w c:\documents and settings\All Users\Application Data\ExtraFilm
2009-01-14 22:27 --------- d-----w c:\program files\Extrafilm Designer FR
2009-01-10 11:34 --------- d--h--w c:\program files\InstallShield Installation Information
2008-12-25 12:18 --------- d-----w c:\documents and settings\utilisateur\Application Data\Apple Computer
2008-12-24 13:11 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2008-12-20 19:12 --------- d-----w c:\program files\MSN Messenger
2008-12-13 14:12 --------- d-----w c:\documents and settings\utilisateur\Application Data\Snapfish
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-11-23 18:17 --------- d-----w c:\documents and settings\utilisateur\Application Data\Skype
2008-11-23 18:15 --------- d-----w c:\documents and settings\utilisateur\Application Data\skypePM
2008-08-11 06:50 8,306 ----a-w c:\program files\hijackthis.log
2008-08-10 12:31 396,288 ----a-w c:\program files\HijackThis.exe
2008-08-23 07:38 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008082320080824\index.dat
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of c:\windows\system32\bycool ----

2008-08-13 11:54 1133622 --a------ c:\windows\system32\bycool\winacces.exe
2008-03-08 16:07 685646 --a------ c:\windows\system32\bycool\compilateur_auto.exe
2008-03-04 16:50 161792 --a------ c:\windows\system32\bycool\myapp.exe
2008-03-03 00:35 144384 --a------ c:\windows\system32\bycool\my.dll

---- Directory of c:\windows\system32\bycool1 ----

2008-08-13 11:58 1393777 -rahs---- c:\windows\system32\bycool1\windo.exe
2008-08-13 11:54 1133622 --a------ c:\windows\system32\bycool1\log.exe

---- Directory of c:\windows\system32\f ----

2009-01-16 15:42 614996 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_16_01_2009_15_04_37\comp.rar
2009-01-16 14:58 42610 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_16_01_2009_10_01_44\16_01_2009_14_58_57.jpg
2009-01-16 14:51 42138 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_16_01_2009_10_01_44\16_01_2009_14_51_21.jpg
2009-01-16 14:14 604 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_16_01_2009_10_01_44\16_01_2009.K
2009-01-16 13:58 44747 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_16_01_2009_10_01_44\16_01_2009_13_58_58.jpg
2009-01-16 13:33 41643 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_16_01_2009_10_01_44\16_01_2009_13_33_45.jpg
2009-01-16 11:26 1572164 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_16_01_2009_10_01_44\comp.rar
2009-01-16 03:20 1873 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_15_01_2009_22_01_23\15_01_2009.K
2009-01-16 03:16 2892756 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_15_01_2009_22_01_23\comp.rar
2009-01-15 21:36 2320284 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_15_01_2009_11_36_12\comp.rar
2009-01-15 20:43 13789 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_15_01_2009_11_36_12\15_01_2009.K
2009-01-15 11:16 1647708 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_15_01_2009_10_10_04\comp.rar
2009-01-15 10:39 234 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_15_01_2009_10_10_04\15_01_2009.K
2009-01-15 01:30 4536828 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_14_01_2009_09_43_50\comp.rar
2009-01-15 01:29 12565 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_14_01_2009_09_43_50\14_01_2009.K
2009-01-14 02:00 15288 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_13_01_2009_10_34_18\13_01_2009.K
2009-01-14 01:57 3857948 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_13_01_2009_10_34_18\comp.rar
2009-01-12 23:01 15686 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_12_01_2009_10_55_06\12_01_2009.K
2009-01-12 22:49 4026444 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_12_01_2009_10_55_06\comp.rar
2009-01-12 01:57 7865556 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_10_01_2009_09_30_10\comp.rar
2009-01-12 01:33 27112 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_10_01_2009_09_30_10\10_01_2009.K
2009-01-09 23:41 31125 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_08_01_2009_10_10_11\08_01_2009.K
2009-01-09 23:35 6781996 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_08_01_2009_10_10_11\comp.rar
2009-01-07 22:29 2197548 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_07_01_2009_12_16_49\comp.rar
2009-01-07 17:46 435 --a------ c:\windows\system32\f\d\e\d\h\utilisateur_07_01_2009_12_16_49\07_01_2009.K


((((((((((((((((((((((((((((( snapshot@2009-01-15_11.09.27,85 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-09-08 10:41:42 333,824 -c----w c:\windows\system32\dllcache\srv.sys
+ 2008-12-11 10:57:09 333,952 -c----w c:\windows\system32\dllcache\srv.sys
- 2008-12-09 23:24:38 17,593,280 ----a-w c:\windows\system32\MRT.exe
+ 2009-01-10 01:35:28 20,853,704 ----a-w c:\windows\system32\MRT.exe
+ 2009-01-16 14:03:05 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_538.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TiscaliParam"="c:\program files\Tiscali\Dialer\bootparam.exe" [2003-02-19 32768]
"HPDJ Taskbar Utility"="c:\windows\System32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-10-29 196608]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"LogitechCommunicationsManager"="c:\program files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe" [2006-10-31 284184]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam10\QuickCam10.exe" [2006-11-15 746520]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
DSLMON.lnk - c:\program files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2004-01-03 962663]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLogoff"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.X264"= x264vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a--c--- 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a--c--- 2004-12-20 19:41 33792 c:\program files\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]
--a--c--- 2002-10-15 17:00 1818624 c:\windows\mixer.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\BitTorrent\\btdownloadgui.exe"=
"c:\\Program Files\\pas d'origine\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

S1 aswSP;avast! Self Protection; [x]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-11-26 20560]
S3 ham50;Creatix V.90 HAM Data Fax Modem;c:\windows\system32\DRIVERS\CTXH51.sys [2001-08-04 454815]


--- Other Services/Drivers In Memory ---

*Deregistered* - Aavmker4
*Deregistered* - AFD
*Deregistered* - ALG
*Deregistered* - Apple Mobile Device
*Deregistered* - Aspi32
*Deregistered* - aswFsBlk
*Deregistered* - aswMon2
*Deregistered* - aswRdr
*Deregistered* - aswSP
*Deregistered* - aswUpdSv
*Deregistered* - AudioSrv
*Deregistered* - avast! Antivirus
*Deregistered* - avast! Mail Scanner
*Deregistered* - avast! Web Scanner
*Deregistered* - Beep
*Deregistered* - Bonjour Service
*Deregistered* - Browser
*Deregistered* - Cdfs
*Deregistered* - CryptSvc
*Deregistered* - DcomLaunch
*Deregistered* - Dhcp
*Deregistered* - Dnscache
*Deregistered* - ERSvc
*Deregistered* - EventSystem
*Deregistered* - Fastfat
*Deregistered* - FastUserSwitchingCompatibility
*Deregistered* - Fips
*Deregistered* - FltMgr
*Deregistered* - Ftdisk
*Deregistered* - Gpc
*Deregistered* - helpsvc
*Deregistered* - HidServ
*Deregistered* - HTTP
*Deregistered* - ImapiService
*Deregistered* - IpNat
*Deregistered* - iPod Service
*Deregistered* - IPSec
*Deregistered* - Kbdclass
*Deregistered* - KSecDD
*Deregistered* - lanmanserver
*Deregistered* - lanmanworkstation
*Deregistered* - LmHosts
*Deregistered* - LVPr2Mon
*Deregistered* - LVPrcSrv
*Deregistered* - LVSrvLauncher
*Deregistered* - LVUSBSta
*Deregistered* - mnmdd
*Deregistered* - MountMgr
*Deregistered* - MRxDAV
*Deregistered* - MRxSmb
*Deregistered* - Msfs
*Deregistered* - mssmbios
*Deregistered* - Mup
*Deregistered* - NDIS
*Deregistered* - NdisTapi
*Deregistered* - Ndisuio
*Deregistered* - NdisWan
*Deregistered* - NDProxy
*Deregistered* - NetBIOS
*Deregistered* - NetBT
*Deregistered* - Netman
*Deregistered* - Nla
*Deregistered* - Npfs
*Deregistered* - Ntfs
*Deregistered* - Null
*Deregistered* - NVSvc
*Deregistered* - PartMgr
*Deregistered* - ParVdm
*Deregistered* - PolicyAgent
*Deregistered* - PptpMiniport
*Deregistered* - ProtectedStorage
*Deregistered* - PSched
*Deregistered* - RasAcd
*Deregistered* - RasAuto
*Deregistered* - Rasl2tp
*Deregistered* - RasMan
*Deregistered* - RasPppoe
*Deregistered* - Raspti
*Deregistered* - Rdbss
*Deregistered* - RDPCDD
*Deregistered* - RpcSs
*Deregistered* - SamSs
*Deregistered* - Schedule
*Deregistered* - Secdrv
*Deregistered* - seclogon
*Deregistered* - SENS
*Deregistered* - SharedAccess
*Deregistered* - ShellHWDetection
*Deregistered* - sptd
*Deregistered* - sr
*Deregistered* - srservice
*Deregistered* - Srv
*Deregistered* - SSDPSRV
*Deregistered* - StarWindService
*Deregistered* - stisvc
*Deregistered* - swenum
*Deregistered* - TapiSrv
*Deregistered* - Tcpip
*Deregistered* - TermDD
*Deregistered* - TermService
*Deregistered* - Themes
*Deregistered* - TrkWks
*Deregistered* - Update
*Deregistered* - VgaSave
*Deregistered* - VolSnap
*Deregistered* - W32Time
*Deregistered* - Wanarp
*Deregistered* - WebClient
*Deregistered* - winmgmt
*Deregistered* - wscsvc
*Deregistered* - wuauserv
*Deregistered* - WudfPf
*Deregistered* - WudfSvc
*Deregistered* - WZCSVC
.
Contents of the 'Scheduled Tasks' folder

2009-01-13 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-DRIVESYS - c:\windows\System32\bycool\winacces.exe


.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.fr/search?hl=fr&q=google+&meta=
IE: Add to AMV Converter... - c:\program files\MP3 Player Utilities 4.18\AMVConverter\grab.html
TCP: {E6A132D2-0D18-4CDD-847F-78D588E7EAAB} = 213.36.80.1 213.36.80.1

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd

c:\windows\system32\unicows.dll - c:\windows\Downloaded Program Files\CONFLICT.1\ImageUploader5.ocx
O16 -: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3}
hxxp://www.extrafilm.fr/ImageUploader5.cab
c:\windows\Downloaded Program Files\CONFLICT.1\ImageUploader5.inf
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-16 15:54:31
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
TiscaliParam = c:\program files\Tiscali\Dialer\bootparam.exe?arrer\Programmes?Dialer Tiscali\?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-1426590395-972670786-3454122357-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:24,ba,90,c1,09,d5,6b,14,4d,b4,3d,39,11,d7,b9,a0,86,c4,26,ee,93,fc,fb,
f6,83,a7,22,d5,ad,fa,e8,dd,82,e1,f4,ce,8b,b3,b7,0c,82,66,34,5c,8e,2e,fa,5f,\
"??"=hex:05,84,6e,e8,84,86,2f,92,02,da,09,ca,4b,70,37,b0
.
Completion time: 2009-01-16 16:05:32
ComboFix-quarantined-files.txt 2009-01-16 15:05:15

Pre-Run: 11 002 273 792 octets libres
Post-Run: 10,985,357,312 octets libres

290 --- E O F --- 2009-01-15 20:49:18

Bien joué à nouveau

Je ne sais pas si c'est l'infection qui cause ces soucis avec ta machine, mais là elle est quasi détruite alors on va terminer le travail. Pour ce qui est du fichier créé pour soumettre les fichiers, on s'en reparle à la prochaine étape ;
===========

**Le script prescrit ci-bas a été préparé pour la machine de mag007 seulement et ne dois pas être exécuté sur une autre machine**

Créé un nouveau fichier du Bloc-notes, puis "Copie/Colle" le texte qui se trouve dans la boîte "Code" ci-dessous (sans le mot "Code" ):

KillAll::

Folder::
c:\windows\system32\f
c:\windows\system32\bycool1
c:\windows\system32\bycool

*Sauvegarde ce fichier sur ton Bureau et nomme-le CFScript.txt (orthographe exacte primordiale)

• Désactive ton antivirus temporairement (réactive-le lorsque ComboFix aura terminé).
  
• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture ci-dessus.
  
• ComboFix sera lancé.
  
• *Si ComboFix t'offre de télécharger une version à jour de l'outil, accepte.
  
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises : ceci est normal.
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher : tu peux le fermer pour le moment, je te le demanderai plus tard.

======
======

Je vais maintenant te faire analyser deux fichiers chez VirScan. C'est simple :

- Rends-toi sur leur site (avec Internet Explorer) :
http://virscan.org/

- "Copie" le chemin de fichier ci-bas (en entier) puis colle-le dans la petite boîte "Fichiers suspects à examiner" :

C:\Qoobox\Quarantine\c\windows\system32\bycool\winacces.exe.vir

- Clique maintenant sur le bouton "Envoyer". Le fichier sera analysé par plusieurs moteurs antivirus. Tu verras la progression à l'écran. Lorsque l'analyse sera terminée, copie/colle les résultats dans ta réponse.

- Avant de soumettre ta réponse ici, fais également analyser le fichier suivant (même méthode) :

C:\Qoobox\Quarantine\c\windows\system32\bycool1\windo.exe.vir

- Colle les résultats à la suite.

- Colle également le rapport de ComboFix, sauvegardé là >> C:\ComboFix.txt


@toute

super QC001!

c'est clair que mon pc tourne déjà super mieux!!! ça faisait des années que je devais fermer la session pour pouvoir acceder au bouton arreter l'ordi et la par magie il est réapparu!!!!!!

bon en revanche mon imprimante a disparue du panneau de config et quand je demande de la rechercher pour l'installer à nouveau il me dit qu'il n'y a un problème de spouleur d'impression...

bon je fais ce que tu m'as dit et te tiens au courant!!!!

Elle est bien étrange cette bestiole, en effet. Là elle n'y est plus alors nous pouvons en tirer des conclusions

Pour ton spooleur, on verra dans une prochaine étape ; c'est étrange par contre, mais tout est étrange avec cette infection il me semble.

Je te laisse bosser

@+