Forums Zebulon.fr: J'ai visiblement reçu la visite de Bagle -Résolu :-) - Forums Zebulon.fr

Autre précision je ne peux pas effacer les fichiers restant manuellement car le dossier C:\WINDOWS\system32\drivers\ ne s'affiche pas, même quand je décoche la case dans les options des dossiers...

Tu as redémarré depuis ?

On va faire autre chose, pour lister des fichiers.
Ouvre le bloc notes, ocpie colle ceci dedans :

Citation

Sauvegarde en tant que look.bat, sur ton bureau.

Double clique sur look.bat, un rapport apparaîtra, sauvegarde-le sur le bureau.
Tu pourras le poster après.

Salut,
Oui j'ai redémarré ce matin.
J'ai fait ta manip, la fenêtre DOS s'ouvre une fraction de seconde et disparait. J'ai pas ne temps de lire, il y a une ligne du genre 'mc' n'est pas une...
Notepad ne s'ouvre pas.
J'ai aussi essayé en enlevant le del c:\listelib.txt et il n'a pas le fichier listelib sur c:

Tes données personnelles sont déjà à l'abri ? Si ce n'est pas le cas, il faudra y penser...

Copmme rine ne réagit, on va devoir tester pas mal de choses, parfois un peu ésotériques dans la méthode...

Télécharge Malwarebytes' Anti-Malware (MBAM)

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rend-toi dans l'onglet "Recherche"
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• Le scan démarre.
  
• A la fin de l'analyse, un message s'affiche. Clique sur "Ok" pour poursuivre.
  
• Ferme tes navigateurs
  
• Si des malwares ont été détectés, leur liste s'affiche.
  En cliquant sur Suppression (ou équivalent) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le

Salut,
Malwarebytes' Anti-Malware (MBAM) tourne depuis plus de 4 heures maintenant, j'ai l'impression qu'il y en a pour la journée !
J'ai pu l'installé mais j'ai pas pu faire de mise à jour. C'est écrit que je suis connecté mais rien ne passe.
Je te tiens au courant dès que c'est terminé.
Merci et bonne après midi

Ca nettoiera déjà quelques trucs. Laisse le travailler, ça va être long.

Sinon, tu peux télécharger manuellement la base de signatures ici :
http://www.malwareby.../mbam-rules.exe

(et l'installer, si ça passe, il faudrati scanner avec, ce serait mieux)

Merci, j'ai arrêté le scan, c'est bon le fichier s'est installé (la base de mise à jour date du 12 juin).
J'ai relancé, je te tiens au courant dès que c'est terminé !
Bonne journée

Ok, super (une chance que ça ait marché). Normalement ça devrait bien dégrossir le terrain !
@ bientôt

Tu avais raison, il y a eu un gros progrès !
Voici le log qui suit.
J'ai mis mon poste en veille en attendant tes instructions !
Bonne soirée


Malwarebytes' Anti-Malware 1.17
Version de la base de données: 850

21:13:00 16/06/2008
mbam-log-6-16-2008 (21-12-39).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 138408
Temps écoulé: 1 hour(s), 40 minute(s), 56 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Juan (Trojan.Vundo) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\srosa.sys (Rootkit.Bagle) -> No action taken.
C:\WINDOWS\system32\drivers\hldrrr.exe (Rootkit.Agent) -> No action taken.
C:\WINDOWS\wtopmod.exe (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\Nobru\Application Data\m\flec006.exe (Trojan.Agent) -> No action taken.

Comment ça "no action taken", il faut cliquer sur le bouton pour supprimer, chef, sinon tu gardes les saletés, et il a identifié une aprtie de Bagle, donc il faut le shooter.
Je crains qu'il ne faille recommencer, ou du moins faire scanner C:\WINDOWS\system32\drivers\

La bonne nouvelle, c'est que tôt ou tard, on va lui faire la peau, à Bagle et aux copains qu'il a pu inviter.

Salut, pas de soucis, j'avais juste mis en veille en attendant.
Hourra !!!! Il a virer une partie de suite et le reste après démarrage !!! On lui a fait la peau
Tout semble remarcher normalement. C'est incroyable quand on voit l'état de l'ordinateur avant ton intervention !
Je ne sais pas comment te remercier pour ce que tu as fait pour m'aider, c'est vraiment génial !
Je me connecte à Internet par Ethernet, reste simplement le WiFi qui ne marche pas. Je vais essayer de retrouvé le poste, il me semble qu'il faut relancer le service et applique une patch. Je te tiens au courant
Merci encore infiniment et bonne soirée !

Ben ça aura mis le temps, mais ça fait plaisir !

Ok alors maintenant on fait le vrai boulot.
On retélécharge combofix en le renommant, et écrase les anciennes versions, c'est celle que tu vas télécharger qu'il faut prendre.
On va sans doute pouvoir traiter les restes.

Télécharge combofix.exe de sUBs et renomme-le "combo-fix.exe" avant de sauvegarder sur ton bureau (et pas ailleurs).

• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Double-clique combofix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  
• Pour plus d'information et un tuto illustré, voici le seul tuto officiel et autorisé : http://www.bleepingcomputer.com/combofix/f...iliser-combofix

Ha ça tu peux le dire, ça fait paisir
Voici le rapportt


ComboFix 08-06-15.4 - Nobru 2008-06-16 22:38:52.1 - NTFSx86
Endroit: C:\Documents and Settings\Nobru\Bureau\Combo-Fix.exe
* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users.\documents\settings
C:\Documents and Settings\All Users.\documents\settings\desktop.ini
C:\Documents and Settings\Nobru\Application Data\m
C:\WINDOWS\search_res.txt
C:\WINDOWS\system32\Cache
C:\WINDOWS\system32\cfulrtqv.ini
C:\WINDOWS\system32\dcbeg.bak1
C:\WINDOWS\system32\dcbeg.bak2
C:\WINDOWS\system32\dcbeg.ini
C:\WINDOWS\system32\dcbeg.ini2
C:\WINDOWS\system32\dcbeg.tmp
C:\WINDOWS\system32\drivers\downld
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\ifsjiica.ini
C:\WINDOWS\system32\loixfebq.ini
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\nqtss.ini
C:\WINDOWS\system32\qoudlxkw.ini

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_IPRIP
-------\Legacy_NPF
-------\Legacy_SROSA
-------\Service_Iprip
-------\Service_srosa


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-16 to 2008-06-16 ))))))))))))))))))))))))))))))))))))
.

2008-06-16 11:15 . 2008-06-16 11:15 <REP> d-------- C:\Documents and Settings\Nobru\Application Data\Malwarebytes
2008-06-16 11:14 . 2008-06-16 11:15 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-16 11:14 . 2008-06-16 11:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-16 11:14 . 2008-06-10 19:02 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-16 11:14 . 2008-06-10 19:02 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-16 10:29 . 2008-06-16 10:31 <REP> d-------- C:\Program Files\Opera
2008-06-15 18:36 . 2008-06-15 18:36 <REP> d-------- C:\_OTMoveIt
2008-06-14 21:59 . 2008-06-14 21:59 <REP> d-------- C:\Program Files\AVG Anti-Rootkit Free
2008-06-14 20:11 . 2008-06-14 20:11 <REP> d-------- C:\Program Files\SpywareBlaster
2008-05-31 18:25 . 2008-06-10 13:02 <REP> d-------- C:\Program Files\Password Spectator
2008-05-29 12:23 . 2008-05-29 12:24 322,794 --a------ C:\Temp\attachments_2008_05_29.zip
2008-05-22 22:44 . 2008-05-22 22:44 <REP> d-------- C:\Documents and Settings\Nobru\Application Data\G‚n‚atique2007
2008-05-22 22:22 . 2008-05-22 22:22 <REP> d-------- C:\Program Files\Tracker Software
2008-05-22 22:22 . 2006-01-30 09:32 5,632 --a------ C:\WINDOWS\system32\pxc25pm.dll
2008-05-22 22:20 . 2008-05-31 13:48 <REP> d-------- C:\Program Files\Geneatique2007
2008-05-22 22:20 . 2003-03-19 07:04 127,488 --a------ C:\WINDOWS\system32\bcbsmp60.bpl
2008-05-22 21:35 . 2008-05-22 21:39 <REP> d-------- C:\Documents and Settings\Nobru\Application Data\BSD Concept
2008-05-22 21:34 . 2008-05-31 11:47 <REP> d-------- C:\Program Files\Heredis 10

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-16 20:45 --------- d-----w C:\Program Files\Avast4
2008-06-10 20:41 108,156,960 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-10 20:41 1,098,488 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-06-10 20:27 --------- d-----w C:\Program Files\nbpro
2008-06-10 10:52 --------- d-----w C:\Program Files\eDonkey2000
2008-05-31 16:48 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-05-31 16:03 --------- d-----w C:\Program Files\WinWSD - WebSite Downloader
2008-05-22 20:44 --------- d-----w C:\Documents and Settings\Nobru\Application Data\Généatique2007
2008-04-27 10:56 163,644 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2008-04-27 10:56 --------- d-----w C:\Documents and Settings\JulietteDeLaNeuvilet\Application Data\My Games
2008-04-27 10:48 --------- d-----w C:\Documents and Settings\JulietteDeLaNeuvilet\Application Data\InstallShield Installation Information
2008-04-27 10:48 --------- d-----w C:\Documents and Settings\JulietteDeLaNeuvilet\Application Data\Firaxis Games
2008-04-26 20:19 --------- d-----w C:\Program Files\pese_courrier
2008-04-18 12:44 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-04-17 19:42 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-04-17 19:38 691,545 ----a-w C:\WINDOWS\unins000.exe
2008-04-17 19:32 --------- d-----w C:\Program Files\Ad-Aware SE Professional
2008-04-17 18:56 --------- d-----w C:\Program Files\Hijackthis 1.99
2008-04-17 18:49 --------- d-----w C:\Program Files\Google
2008-04-17 18:21 --------- d-----w C:\Program Files\WMR11
2008-04-17 17:57 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-17 17:54 --------- d-----w C:\Program Files\Pinnacle
2008-04-17 17:26 --------- d-----w C:\Documents and Settings\Nobru\Application Data\DNA
2007-10-26 16:53 86,640 ----a-w C:\Documents and Settings\Nobru\Application Data\GDIPFONTCACHEV1.DAT
2006-05-29 14:40 7,296,000 ----a-w C:\Program Files\mozilla firefox\plugins\libvlc.dll
2005-08-23 19:58 8,192 --sha-w C:\WINDOWS\o2cLicStore.bin
2005-12-07 20:13 80 --sh--r C:\WINDOWS\system32\05C037E2A1.dll
2007-10-19 19:32 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012007101920071020\index.dat
.

------- Sigcheck -------

2004-08-19 16:09 578048 61c8c283ad063bb697ae61a155c64a5a C:\WINDOWS\ServicePackFiles\i386\user32.dll
2007-03-08 17:37 578560 753354f594809a9b96f73999b435a533 C:\WINDOWS\system32\user32.dll
2007-03-08 17:37 578560 753354f594809a9b96f73999b435a533 C:\WINDOWS\system32\dllcache\user32.dll

2004-08-03 23:14 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\ServicePackFiles\i386\TCPIP.SYS
2007-11-16 02:21 359808 8d8949936913b041c6a0e184fbf1030b C:\WINDOWS\system32\dllcache\TCPIP.SYS
2007-11-16 02:21 359808 8d8949936913b041c6a0e184fbf1030b C:\WINDOWS\system32\drivers\TCPIP.SYS

2004-08-19 16:10 506368 123eea158f74d0f67a51dcdf065d1091 C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
2004-08-14 01:07 506880 1d5b0b4d441f8543b0e899adadb83356 C:\WINDOWS\system32\winlogon.exe

2007-02-28 18:02 2059648 a1d5231403329478ae4fe2778c55c77f C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
2004-08-19 16:04 2058880 f252fae094c54572ece38a039f2103c4 C:\WINDOWS\ServicePackFiles\i386\ntkrnlpa.exe
2007-02-28 18:02 2059648 a1d5231403329478ae4fe2778c55c77f C:\WINDOWS\system32\ntkrnlpa.exe
2007-02-28 18:02 2059648 a1d5231403329478ae4fe2778c55c77f C:\WINDOWS\system32\dllcache\ntkrnlpa.exe

2007-02-28 18:02 2182400 7d6d19aac51a4325f6039f083c22303c C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
2004-08-19 16:04 2183040 7d38ce4398e6aa6339b4644feadcc0d8 C:\WINDOWS\ServicePackFiles\i386\ntoskrnl.exe
2007-02-28 18:02 2182400 7d6d19aac51a4325f6039f083c22303c C:\WINDOWS\system32\ntoskrnl.exe
2007-02-28 18:02 2182400 7d6d19aac51a4325f6039f083c22303c C:\WINDOWS\system32\dllcache\ntoskrnl.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-11-23 09:56 5406720]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLogOff"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Program Files\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 15:39 294400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm
"vidc.xvid"= xvid.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2004-10-13 09:00 57344 C:\WINDOWS\ALCMTR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]
C:\WINDOWS\system32\LVCOMSX.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WindowsService]
C:\WINDOWS\system32\aciijsfi.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"%windir%\\system32\\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3587:TCP"= 3587:TCP:Groupement homologue Windows
"3540:UDP"= 3540:UDP:Protocole PNRP (Peer Name Resolution Protocol)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
R3 SPI;Sony Programmable I/O Control Device;C:\WINDOWS\system32\DRIVERS\SonyPI.sys [2002-08-20 04:59]
S2 DirectCicr;DirectX Service;c:\windows\system32\directx.exe []
S3 p2pgasvc;Authentification de groupe réseau homologue;C:\WINDOWS\system32\svchost.exe [2004-08-19 16:10]
S3 p2pimsvc;Gestionnaire d'identité réseau homologue;C:\WINDOWS\system32\svchost.exe [2004-08-19 16:10]
S3 p2psvc;Réseau homologue;C:\WINDOWS\system32\svchost.exe [2004-08-19 16:10]
S3 PNRPSvc;Protocole de résolution de noms d'homologues;C:\WINDOWS\system32\svchost.exe [2004-08-19 16:10]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL
\Shell\explore\Command - msn.exe
\Shell\open\Command - msn.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9a0069c0-8eb8-11db-8678-0012f0292d97}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL msn.exe
\Shell\explore\Command - msn.exe
\Shell\open\Command - msn.exe

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-01-23 07:21:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-06-16 18:00:08 C:\WINDOWS\Tasks\HPpromotions journeysoftware.job"
- C:\Program Files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe
"2008-06-16 20:50:00 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Program Files\Symantec\LiveUpdate\NDetect.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-16 22:47:09
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\imapi.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\snmp.exe
C:\WINDOWS\system32\searchindexer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\Program Files\Avast4\ashWebSv.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-06-16 22:52:40 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-16 20:52:32

Pre-Run: 4,443,176,960 octets libres
Post-Run: 4,678,258,688 octets libres

196 --- E O F --- 2007-11-15 10:21:38

Excellent !

Peux-tu poster un rapport HijackThis maintenant ? Ca devrait amrcher, il faudra peut-être re-télécharger HijackThis par contre (à voir).

Salut,
Voila j'ai retéléchargé la nouvelle version et voici le log !
J'ai laissé la fenêtre ouverte pour corriger les problèmes
Bonne journée

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:46:38, on 17/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\imapi.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Avast4\ashMaiSv.exe
C:\Program Files\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Documents and Settings\Nobru\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lefigaro.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/a...gnerADP-1.1.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast4\ashWebSv.exe
O23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: DirectX Service (DirectCicr) - Unknown owner - c:\windows\system32\directx.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Unknown owner - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe (file missing)
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: VAIO Cooporated Initialisation (VCI) - Sony Corporation - C:\Program Files\Sony\VAIO Cooperated Initialisation\VCI_SVC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4134 bytes