(RESOLU) Infection de Trojan Vundo et invasion de Zango.com sur mon bu

[fred62200]

La page de pub est revenu (www.w-w-w-dot-com.com/start.php).

 

J'ai remis ma page d'accueil Internet habituelle : ça marche : la page de pub ne revient pas.

Par contre un carré blanc sur fond bleu avec une liste de liens s'est installé comme image d'arrière-plan de mon bureau. En plus, dans le panneau de configuration, je n'ai plus accès aux différentes images d'arrière-plan (la fenêtre est grisée et inactive, pourtant les images sont bien la mais je ne peux pas les remettre).

[Thanos]

salut

 

Poste moi ce rapport stp >

 

Télécharge Deckard's System Scanner (DSS) sur ton bureau.

Tu dois possèder les droits administrateurs pour le lancer.

• Ferme toutes les applications en cours (fenêtres internet etc...)
  
• Double-clique sur dss.exe et clique sur ok au message qui s'affiche.
  
• Lorsque le scan est terminé, deux fichiers texte vont s'ouvrir.
  
• Poste le contenu du rapport nommé main.txt
  
• Si tu ne vois pas le rapport, tu le trouvera dans le dossier suivant > C:\Deckard\System Scanner
  

[fred62200]

Voila le rapport Deckard :

 

 

Deckard's System Scanner v20071014.68

Run by DENDECKER on 2008-01-31 21:47:31

Computer is in Normal Mode.

--------------------------------------------------------------------------------

 

-- System Restore --------------------------------------------------------------

 

Successfully created a Deckard's System Scanner Restore Point.

 

 

-- Last 5 Restore Point(s) --

12: 2008-01-31 20:47:38 UTC - RP12 - Deckard's System Scanner Restore Point

11: 2008-01-31 18:09:52 UTC - RP11 - Point de vérification système

10: 2008-01-29 21:51:11 UTC - RP10 - Supprimé Java 6 Update 2

9: 2008-01-29 21:48:48 UTC - RP9 - Supprimé Java 2 Runtime Environment, SE v1.4.2_05

8: 2008-01-29 16:59:20 UTC - RP8 - ComboFix created restore point

 

 

-- First Restore Point --

1: 2008-01-22 16:34:43 UTC - RP1 - Point de vérification système

 

 

Backed up registry hives.

Performed disk cleanup.

 

Total Physical Memory: 448 MiB (512 MiB recommended).

System Drive C: has 9.37 GiB (less than 15%) free.

 

 

-- HijackThis (run as DENDECKER.exe) -------------------------------------------

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:50, on 2008-01-31

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe

c:\APPS\Powercinema\Kernel\TV\CLSched.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

c:\APPS\HIDSERVICE\HIDSERVICE.exe

C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Apps\Powercinema\PCMService.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Documents and Settings\DENDECKER\Bureau\dss.exe

C:\WINDOWS\system32\wuauclt.exe

C:\PROGRA~1\HIJACK~1\HIJACK~1\DENDECKER.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.w-w-w-dot-com.com/start.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://127.0.0.1:8100/PagesPro?

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.5\NppBho.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.5\UIBHO.dll

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"

O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"

O4 - HKLM\..\Run: [symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\RunOnce: [HDReg] c:\Apps\HDReg\HDRegApp.exe -r

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

O4 - HKCU\..\Run: [WinUpdater] "C:\Program Files\winvi\update.exe" /background

O4 - HKCU\..\Run: [WebSUpdater] "C:\Program Files\winvi\wupda.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\microsoft office\office11\ONENOTEM.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/webplayer/stage6/...erInstaller.cab

O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab

O16 - DPF: {B020B534-4AA2-4B99-BD6D-5F6EE286DF5C} (Symantec Download Bridge) - http://espaceabonnes.club-internet.fr/serv...ec/SymDlBrg.cab

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe

O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe

O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe

 

--

End of file - 13363 bytes

 

-- HijackThis Fixed Entries (C:\PROGRA~1\HIJACK~1\HIJACK~1\backups\) -----------

 

backup-20080129-231919-169 O4 - HKLM\..\Run: [dbar_starter] C:\Documents and Settings\DENDECKER\Application Data\Deskbar_{941792BD-1B18-4c50-AEB2-4288265AC614}\starter.exe

backup-20080129-231919-355 O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

backup-20080129-231919-482 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.w-w-w-dot-com.com/start.php

backup-20080129-231919-931 O2 - BHO: PBFRV2 - {4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} - C:\WINDOWS\system32\pbfrv2.dll

backup-20080129-231919-960 O3 - Toolbar: PBFRV2 - {4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} - C:\WINDOWS\system32\pbfrv2.dll

backup-20080129-231919-992 O4 - HKCU\..\Run: [WinButler] C:\Documents and Settings\DENDECKER\Application Data\WinButler\WinButler.exe

 

-- File Associations -----------------------------------------------------------

 

.js - JSFile - DefaultIcon - "C:\Program Files\Macromedia\Dreamweaver 8\dreamweaver.exe",2

 

 

-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

 

R3 Pcouffin (Low level access layer for CD devices) - c:\windows\system32\drivers\pcouffin.sys <Not Verified; VSO Software; Patin couffin engine>

 

S3 memsysdrv (Memory System) - c:\windows\system32\drivers\memsysdrv.sys

S3 MRENDIS5 (MRENDIS5 NDIS Protocol Driver) - c:\program files\common files\motive\mrendis5.sys <Not Verified; Motive, Inc.; Motive Rawether for Windows>

 

 

-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

 

R2 CLCapSvc (CyberLink Background Capture Service (CBCS)) - "c:\apps\powercinema\kernel\tv\clcapsvc.exe" <Not Verified; ; CLCapSvc Module>

R2 CLSched (CyberLink Task Scheduler (CTS)) - "c:\apps\powercinema\kernel\tv\clsched.exe" <Not Verified; ; CLSched Module>

R2 CyberLink Media Library Service - "c:\program files\cyberlink\shared files\clml_ntservice\clmlserver.exe" <Not Verified; Cyberlink; Cyberlink Media Library Server>

R2 GenericHidService (Generic Service for HID Keyboard Input Collections) - c:\apps\hidservice\hidservice.exe

 

S3 MysqlInventime - c:\mysql\bin\mysqld-nt mysqlinventime

 

 

-- Device Manager: Disabled ----------------------------------------------------

 

No disabled devices found.

 

 

-- Scheduled Tasks -------------------------------------------------------------

 

2008-01-31 21:29:01 256 --a------ C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job

2008-01-31 21:00:00 240 --a------ C:\WINDOWS\Tasks\HDReg.job

2008-01-28 20:00:05 680 --a------ C:\WINDOWS\Tasks\Norton Internet Security Online - Analyse système complète - DENDECKER.job

2007-03-06 19:05:43 258 --a------ C:\WINDOWS\Tasks\Rappel d'enregistrement 2.job

2007-03-06 19:05:42 258 --a------ C:\WINDOWS\Tasks\Rappel d'enregistrement 1.job

 

 

-- Files created between 2007-12-31 and 2008-01-31 -----------------------------

 

2008-01-29 13:50:14 0 d-------- C:\WINDOWS\pss

2008-01-27 20:55:02 0 d-------- C:\Program Files\winvi

2008-01-25 17:25:03 23552 --a------ C:\WINDOWS\xobglu32.dll

2008-01-25 17:25:03 63488 --a------ C:\WINDOWS\xobglu16.dll

2008-01-23 20:51:15 13083 --a------ C:\WINDOWS\system32\SpoonUninstall-dBpoweramp Music Converter.dat

2008-01-23 20:51:11 0 d-------- C:\Program Files\Illustrate

2008-01-23 14:40:26 598288 -----n--- C:\WINDOWS\Oleaut32.dll <Not Verified; Microsoft Corporation; Microsoft OLE 2.40 for Windows NT and Windows 95 Operating Systems>

2008-01-23 14:40:25 394752 -----n--- C:\WINDOWS\Iml32.dll <Not Verified; Macromedia, Inc.; Macromedia Director>

2008-01-23 14:40:24 967168 -----n--- C:\WINDOWS\dirapi.dll <Not Verified; Macromedia, Inc.; Macromedia Director>

2008-01-15 17:02:50 0 dr-h----- C:\Documents and Settings\DENDECKER\Recent

2008-01-15 16:33:58 0 d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion

2008-01-15 16:31:39 0 d-------- C:\Program Files\Yahoo!

2008-01-15 16:31:26 0 d-------- C:\Program Files\CCleaner

2008-01-10 21:05:08 0 d-------- C:\Program Files\eMule 0.47c

 

 

-- Find3M Report ---------------------------------------------------------------

 

2008-01-31 21:48:50 0 d-------- C:\Program Files\Fichiers communs\Symantec Shared

2008-01-29 22:51:51 0 d-------- C:\Program Files\Java

2008-01-26 16:35:22 0 d-------- C:\Program Files\PokerStars

2008-01-23 14:41:09 0 d--h----- C:\Program Files\InstallShield Installation Information

2008-01-23 14:39:34 0 d-------- C:\Program Files\Disney Interactive

2008-01-22 18:11:53 0 d-------- C:\Documents and Settings\DENDECKER\Application Data\Adobe

2008-01-20 19:03:35 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll

2008-01-20 18:46:48 0 d-------- C:\Program Files\Warcraft III

2007-12-30 14:59:06 0 d-------- C:\Program Files\vso

2007-12-29 18:08:30 0 d-------- C:\Program Files\Microsoft Games

2007-12-26 22:50:42 0 d-------- C:\Program Files\Shareaza

2007-12-26 22:50:37 0 d-------- C:\Documents and Settings\DENDECKER\Application Data\Shareaza

2007-12-24 15:38:24 0 d-------- C:\Documents and Settings\DENDECKER\Application Data\DivX

2007-12-24 15:13:24 0 d-------- C:\Documents and Settings\DENDECKER\Application Data\Mozilla

2007-12-24 15:13:15 0 d-------- C:\Program Files\Google

2007-12-24 15:13:07 2308 --a------ C:\WINDOWS\mozver.dat

2007-12-24 15:10:09 0 d-------- C:\Program Files\DivX

2007-12-23 19:02:46 0 d-------- C:\Program Files\Nouveau dossier

2007-12-23 10:28:16 0 d-------- C:\Documents and Settings\DENDECKER\Application Data\Macromedia

2007-12-22 20:55:49 0 d-------- C:\Program Files\Fichiers communs\Macromedia

2007-12-22 20:54:14 0 d-------- C:\Program Files\Macromedia

2007-12-22 20:53:16 0 d-------- C:\Program Files\Fichiers communs

2007-12-18 19:07:27 0 d-------- C:\Documents and Settings\DENDECKER\Application Data\AdobeUM

2007-12-18 00:09:22 0 d-------- C:\Documents and Settings\DENDECKER\Application Data\Opera

2007-12-17 23:51:17 0 d-------- C:\Program Files\PSCS2Updater

2007-12-17 23:21:48 0 d-------- C:\Program Files\Fichiers communs\Adobe

2007-12-17 23:17:45 0 d-------- C:\Program Files\Fichiers communs\Adobe Systems Shared

2007-12-16 17:36:08 0 d-------- C:\Documents and Settings\DENDECKER\Application Data\AdobeAUM

2007-12-09 20:25:16 0 d-------- C:\Documents and Settings\DENDECKER\Application Data\Apple Computer

2007-12-09 20:21:09 0 d-------- C:\Program Files\QuickTime

2007-12-05 10:36:20 0 d-------- C:\Program Files\Symantec

2007-12-05 10:35:49 0 d-------- C:\Program Files\Norton Internet Security

2007-12-02 00:05:46 447772 --a------ C:\WINDOWS\system32\perfh00C.dat

2007-12-02 00:05:46 64492 --a------ C:\WINDOWS\system32\perfc00C.dat

2007-11-30 00:30:52 0 d-------- C:\Program Files\Windows Live

 

 

-- Registry Dump ---------------------------------------------------------------

 

*Note* empty entries & legit default entries are not shown

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-05 13:00]

"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 13:00]

"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 13:00]

"VTTimer"="VTTimer.exe" [2004-03-26 13:07 C:\WINDOWS\system32\VTTimer.exe]

"SoundMan"="SOUNDMAN.EXE" [2004-05-14 14:47 C:\WINDOWS\SOUNDMAN.EXE]

"PCMService"="c:\Apps\Powercinema\PCMService.exe" [2005-01-28 10:10]

"EPSON Stylus DX3800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.exe" [2005-02-08 05:00]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-05-04 12:17]

"StandardInstall"="" []

"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2006-11-21 18:38]

"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2007-02-19 18:25]

"osCheck"="C:\Program Files\Norton Internet Security\osCheck.exe" [2007-02-19 18:24]

"Symantec PIF AlertEng"="C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 09:22]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-12-09 19:55]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00]

"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45]

"WinUpdater"="C:\Program Files\winvi\update.exe" [2008-01-21 17:37]

"WebSUpdater"="C:\Program Files\winvi\wupda.exe" [2008-01-21 17:37]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce]

"HDReg"=c:\Apps\HDReg\HDRegApp.exe -r

 

C:\Documents and Settings\DENDECKER\Menu D‚marrer\Programmes\D‚marrage\

Adobe Gamma.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-12-13 20:57:46]

 

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-12-13 20:57:46]

Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26]

Lancement rapide de Microsoft Office OneNote 2003.lnk - C:\Program Files\microsoft office\office11\ONENOTEM.EXE [2003-08-06 21:23:32]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoManageMyComputerVerb"=0 (0x0)

"NoLowDiskSpaceChecks"=0 (0x0)

"NoStartMenuPinnedList"=0 (0x0)

"NoStartMenuMFUprogramsList"=0 (0x0)

"NoUserNameInStartMenu"=0 (0x0)

"NoStartMenuSubFolders"=0 (0x0)

"NoCommonGroups"=0 (0x0)

"NoRecentDocsMenu"=0 (0x0)

"ClearRecentDocsOnExit"=0 (0x0)

"NoPrinterTabs"=0 (0x0)

"NoDeletePrinter"=0 (0x0)

"NoAddPrinter"=0 (0x0)

"NoPrinters"=0 (0x0)

"NoNetworkConnections"=0 (0x0)

"NoFavoritesMenu"=0 (0x0)

"NoSetFolders"=0 (0x0)

"NoSMHelp"=0 (0x0)

"NoChangeStartMenu"=0 (0x0)

"NoFileMenu"=0 (0x0)

"NoShellSearchButton"=0 (0x0)

"NoToolbarCustomize"=0 (0x0)

"NoRecentDocsNetHood"=0 (0x0)

"NoChangeAnimation"=0 (0x0)

"NoChangeKeyboardNavigationIndicators"=0 (0x0)

"ForceActiveDesktopOn"=1

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PSEXESVC]

@="Service"

 

*Newly Created Service* - COMHOST

 

 

 

-- End of Deckard's System Scanner: finished at 2008-01-31 21:51:13 ------------

 

salut

 

Poste moi ce rapport stp >

 

Télécharge Deckard's System Scanner (DSS) sur ton bureau.

Tu dois possèder les droits administrateurs pour le lancer.

• Ferme toutes les applications en cours (fenêtres internet etc...)
  
• Double-clique sur dss.exe et clique sur ok au message qui s'affiche.
  
• Lorsque le scan est terminé, deux fichiers texte vont s'ouvrir.
  
• Poste le contenu du rapport nommé main.txt
  
• Si tu ne vois pas le rapport, tu le trouvera dans le dossier suivant > C:\Deckard\System Scanner
  

[Thanos]

ok merci pour le rapport. Je te prépare un script à exécuter....

[Thanos]

Effectue les manipulations suivantes >

 

1) Démarre Hijackthis,clique sur "Do a system scan only", et coche les lignes suivantes :

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

-Ferme tous les programmes et clique sur "Fix Checked"

 

2) Rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/iqf5g7

pour cela, clique sur le lien en bas de page > Download Link: CFScript

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
  
• Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  
• Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt
  

Poste stp le rapport de ComboFix

[fred62200]

Voila le rapport Combofix :

 

ComboFix 08-01-29.3 - DENDECKER 2008-01-31 23:54:40.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.151 [GMT 1:00]

Endroit: C:\Documents and Settings\DENDECKER\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\DENDECKER\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

---- Previous Run -------

.

C:\WINDOWS\system32\nsn31.dll

C:\WINDOWS\system32\substpntx8.dll

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

 

.

-------\poof

 

 

 

 

((((((((((((((((((((((((((((( Fichiers créés 2007-12-28 to 2008-01-31 ))))))))))))))))))))))))))))))))))))

.

 

2008-01-31 21:46 . 2008-01-31 21:46 <REP> d-------- C:\Deckard

2008-01-29 11:54 . 2008-01-29 11:54 8,927,828 --a------ C:\upload_moi_ALBERT.tar.gz

2008-01-27 20:55 . 2008-01-28 21:06 <REP> d-------- C:\Program Files\winvi

2008-01-25 17:25 . 2008-01-25 17:25 63,488 --a------ C:\WINDOWS\xobglu16.dll

2008-01-25 17:25 . 2008-01-25 17:25 23,552 --a------ C:\WINDOWS\xobglu32.dll

2008-01-23 20:51 . 2008-01-23 20:51 <REP> d-------- C:\Program Files\Illustrate

2008-01-23 20:51 . 2007-02-02 01:52 4,131,192 --a------ C:\WINDOWS\system32\SpoonUninstall.exe

2008-01-23 20:51 . 2008-01-23 20:50 33,846 --a------ C:\WINDOWS\system32\SpoonUninstall-dBpoweramp Music Converter.bmp

2008-01-23 20:51 . 2008-01-23 20:51 13,083 --a------ C:\WINDOWS\system32\SpoonUninstall-dBpoweramp Music Converter.dat

2008-01-23 14:40 . 1997-02-26 22:57 1,334,032 --------- C:\WINDOWS\Msvbvm50.dll

2008-01-23 14:40 . 1999-05-23 15:28 967,168 --------- C:\WINDOWS\dirapi.dll

2008-01-23 14:40 . 1999-05-05 22:22 598,288 --------- C:\WINDOWS\Oleaut32.dll

2008-01-23 14:40 . 1999-05-23 15:26 394,752 --------- C:\WINDOWS\Iml32.dll

2008-01-23 14:40 . 1997-02-26 22:57 192,272 --------- C:\WINDOWS\Mci32.ocx

2008-01-15 16:33 . 2008-01-15 16:33 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion

2008-01-15 16:31 . 2008-01-15 16:31 <REP> d-------- C:\Program Files\Yahoo!

2008-01-15 16:31 . 2008-01-15 16:32 <REP> d-------- C:\Program Files\CCleaner

2008-01-10 21:05 . 2008-01-10 21:05 <REP> d-------- C:\Program Files\eMule 0.47c

2008-01-02 15:00 . 2008-01-02 15:00 1,409 --a------ C:\WINDOWS\system32\tmp57367.FOT

2008-01-02 15:00 . 2008-01-02 15:00 1,409 --a------ C:\WINDOWS\system32\tmp55367.FOT

2008-01-02 15:00 . 2008-01-02 15:00 1,409 --a------ C:\WINDOWS\system32\tmp48367.FOT

2008-01-02 15:00 . 2008-01-02 15:00 1,409 --a------ C:\WINDOWS\system32\tmp3A367.FOT

2007-12-30 17:54 . 2007-12-30 19:04 <REP> d-------- C:\Extra M.A.M.E

2007-12-30 14:59 . 2007-12-30 14:59 <REP> d-------- C:\Program Files\vso

2007-12-30 14:59 . 2007-12-30 14:59 39,488 --a------ C:\WINDOWS\system32\drivers\Pcouffin.sys

2007-12-26 22:50 . 2007-12-26 22:50 <REP> d-------- C:\Documents and Settings\DENDECKER\Application Data\Shareaza

2007-12-24 15:38 . 2007-12-24 15:38 <REP> d-------- C:\divx

2007-12-24 15:24 . 2007-12-24 15:38 <REP> d-------- C:\Documents and Settings\DENDECKER\Application Data\DivX

2007-12-24 15:13 . 2007-12-24 15:13 2,308 --a------ C:\WINDOWS\mozver.dat

2007-12-23 19:02 . 2007-12-23 19:02 <REP> d-------- C:\Program Files\Nouveau dossier

2007-12-23 19:00 . 2007-01-30 06:03 116,472 --------- C:\WINDOWS\system32\pxcpyi64.exe

2007-12-22 20:53 . 2007-12-22 20:54 <REP> d-------- C:\Program Files\Macromedia

2007-12-22 20:53 . 2007-12-22 20:55 <REP> d-------- C:\Program Files\Fichiers communs\Macromedia

2007-12-22 20:51 . 2007-12-22 20:51 <REP> d-------- C:\WINDOWS\Downloaded Installations

2007-12-22 18:01 . 2007-12-26 13:58 44,238 --a------ C:\WINDOWS\system32\drivers\memsysdrv.sys

2007-12-21 21:21 . 2007-12-26 22:50 <REP> d-------- C:\Program Files\Shareaza

2007-12-18 19:35 . 2007-12-18 19:35 <REP> d-------- C:\WINDOWS\system32\LogFiles

2007-12-17 23:51 . 2007-12-17 23:51 <REP> d-------- C:\Program Files\PSCS2Updater

2007-12-17 23:17 . 2007-12-17 23:17 <REP> d-------- C:\Program Files\Fichiers communs\Adobe Systems Shared

2007-12-17 23:17 . 2007-12-17 23:17 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Adobe Systems

2007-12-16 17:36 . 2007-12-16 17:36 <REP> d-------- C:\Documents and Settings\DENDECKER\Application Data\AdobeAUM

2007-12-13 20:58 . 2007-12-13 20:58 <REP> d-------- C:\WINDOWS\system32\Adobe

2007-12-13 20:58 . 2001-11-14 20:19 16,384 --a------ C:\WINDOWS\system32\FileOps.exe

2007-12-13 20:54 . 2007-12-13 20:54 <REP> d-------- C:\WINDOWS\Adobe Illustrator CS

2007-12-09 20:25 . 2007-12-09 20:25 <REP> d-------- C:\Documents and Settings\DENDECKER\Application Data\Apple Computer

2007-12-09 19:55 . 2007-12-09 20:21 <REP> d-------- C:\Program Files\QuickTime

2007-12-09 19:54 . 2007-12-09 19:54 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer

2007-12-09 12:58 . 2007-12-09 12:58 <REP> d-------- C:\Documents and Settings\All Users\Application Data\FLEXnet

2007-12-05 10:37 . 2008-01-12 18:32 23,904 --a------ C:\WINDOWS\system32\drivers\COH_Mon.sys

2007-12-05 10:37 . 2008-01-15 09:54 10,537 --a------ C:\WINDOWS\system32\drivers\COH_Mon.cat

2007-12-05 10:37 . 2008-01-15 05:28 706 --a------ C:\WINDOWS\system32\drivers\COH_Mon.inf

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-01-31 22:54 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared

2008-01-31 22:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec

2008-01-29 21:51 --------- d-----w C:\Program Files\Java

2008-01-26 15:35 --------- d-----w C:\Program Files\PokerStars

2008-01-23 13:41 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-01-23 13:39 --------- d-----w C:\Program Files\Disney Interactive

2008-01-20 18:03 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll

2008-01-20 17:46 --------- d-----w C:\Program Files\Warcraft III

2007-12-29 17:08 --------- d-----w C:\Program Files\Microsoft Games

2007-12-24 14:13 --------- d-----w C:\Program Files\Google

2007-12-24 14:10 --------- d-----w C:\Program Files\DivX

2007-12-18 18:07 --------- d-----w C:\Documents and Settings\DENDECKER\Application Data\AdobeUM

2007-12-17 22:21 --------- d-----w C:\Program Files\Fichiers communs\Adobe

2007-12-05 10:54 --------- d-----w C:\Documents and Settings\All Users\Application Data\DVD Shrink

2007-12-05 09:36 805 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.INF

2007-12-05 09:36 60,800 ----a-w C:\WINDOWS\system32\S32EVNT1.DLL

2007-12-05 09:36 123,952 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.SYS

2007-12-05 09:36 10,740 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.CAT

2007-12-05 09:36 --------- d-----w C:\Program Files\Symantec

2007-12-05 09:35 --------- d-----w C:\Program Files\Norton Internet Security

2007-12-04 19:25 --------- d-----w C:\Documents and Settings\All Users\Application Data\CyberLink

2007-11-30 22:57 43,696 ----a-w C:\WINDOWS\system32\drivers\srtspx.sys

2007-11-30 22:57 317,616 ----a-w C:\WINDOWS\system32\drivers\srtspl.sys

2007-11-30 22:57 279,088 ----a-w C:\WINDOWS\system32\drivers\srtsp.sys

2007-11-30 22:57 10,549 ----a-w C:\WINDOWS\system32\drivers\srtspx.cat

2007-11-30 22:57 10,549 ----a-w C:\WINDOWS\system32\drivers\srtspl.cat

2007-11-30 22:57 10,545 ----a-w C:\WINDOWS\system32\drivers\srtsp.cat

2007-11-30 22:57 1,430 ----a-w C:\WINDOWS\system32\drivers\srtspl.inf

2007-11-30 22:57 1,421 ----a-w C:\WINDOWS\system32\drivers\srtspx.inf

2007-11-30 22:57 1,415 ----a-w C:\WINDOWS\system32\drivers\srtsp.inf

2007-11-29 23:30 --------- d-----w C:\Program Files\Windows Live

2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\system32\lsasrv.dll

2007-11-07 09:28 728,576 ------w C:\WINDOWS\system32\dllcache\lsasrv.dll

2007-10-30 23:23 3,590,656 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll

2007-10-30 17:20 360,064 ------w C:\WINDOWS\system32\dllcache\tcpip.sys

2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll

2007-10-29 22:43 1,293,824 ------w C:\WINDOWS\system32\dllcache\quartz.dll

2007-10-25 16:43 8,516,608 ----a-w C:\WINDOWS\system32\dllcache\shell32.dll

2007-10-25 09:01 2,109,440 ------w C:\WINDOWS\system32\dllcache\wmvcore.dll

2007-10-25 09:00 230,912 ----a-w C:\WINDOWS\system32\wmasf.dll

2007-10-25 09:00 230,912 ------w C:\WINDOWS\system32\dllcache\wmasf.dll

2007-10-23 16:49 586,752 ----a-w C:\WINDOWS\WLXPGSS.SCR

2007-10-17 17:23 10,752 ----a-w C:\WINDOWS\system32\WhoisCL.exe

2007-10-10 23:49 824,832 ----a-w C:\WINDOWS\system32\wininet.dll

2007-10-10 23:49 824,832 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll

2007-10-10 23:49 671,232 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll

2007-10-10 23:49 63,488 ------w C:\WINDOWS\system32\dllcache\icardie.dll

2007-10-10 23:49 6,065,664 ------w C:\WINDOWS\system32\dllcache\ieframe.dll

2007-10-10 23:49 52,224 ------w C:\WINDOWS\system32\dllcache\msfeedsbs.dll

2007-10-10 23:49 478,208 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll

2007-10-10 23:49 459,264 ------w C:\WINDOWS\system32\dllcache\msfeeds.dll

2007-10-10 23:49 44,544 ------w C:\WINDOWS\system32\dllcache\iernonce.dll

2007-10-10 23:49 384,512 ------w C:\WINDOWS\system32\dllcache\iedkcs32.dll

2007-10-10 23:49 383,488 ------w C:\WINDOWS\system32\dllcache\ieapfltr.dll

2007-10-10 23:49 27,648 ----a-w C:\WINDOWS\system32\dllcache\jsproxy.dll

2007-10-10 23:49 267,776 ------w C:\WINDOWS\system32\dllcache\iertutil.dll

2007-10-10 23:49 232,960 ------w C:\WINDOWS\system32\dllcache\webcheck.dll

2007-10-10 23:49 230,400 ------w C:\WINDOWS\system32\dllcache\ieaksie.dll

2007-10-10 23:49 214,528 ----a-w C:\WINDOWS\system32\dllcache\dxtrans.dll

2007-10-10 23:49 193,024 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll

2007-10-10 23:49 153,088 ------w C:\WINDOWS\system32\dllcache\ieakeng.dll

2007-10-10 23:49 132,608 ----a-w C:\WINDOWS\system32\dllcache\extmgr.dll

2007-10-10 23:49 124,928 ------w C:\WINDOWS\system32\dllcache\advpack.dll

2007-10-10 23:49 105,984 ------w C:\WINDOWS\system32\dllcache\url.dll

2007-10-10 23:49 102,400 ------w C:\WINDOWS\system32\dllcache\occache.dll

2007-10-10 23:49 1,159,680 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll

2007-10-10 11:00 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe

2007-10-10 11:00 625,152 ------w C:\WINDOWS\system32\dllcache\iexplore.exe

2007-10-10 10:59 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe

2007-10-10 05:46 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll

2007-10-04 20:03 49,245,328 ----a-w C:\Program Files\Install_NortonInternetSecurity_FR.exe

2007-09-19 19:16 42,641,512 ----a-w C:\Program Files\Install_NortonAntiVirus2007_FR.exe

2004-09-20 20:23 2,974 ----a-w C:\Program Files\orion.nfo

2004-07-16 18:52 0 ----a-w C:\Program Files\infra-red.da.ru

2004-07-13 15:47 9,692 ----a-w C:\Program Files\infra-red.nfo

2007-03-15 20:21 8 --sh--r C:\WINDOWS\system32\D7ED7B0402.sys

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360]

"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]

"WinUpdater"="C:\Program Files\winvi\update.exe" [2008-01-21 17:37 174232]

"WebSUpdater"="C:\Program Files\winvi\wupda.exe" [2008-01-21 17:37 198185]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-05 13:00 208952]

"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 13:00 455168]

"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 13:00 455168]

"VTTimer"="VTTimer.exe" [2004-03-26 13:07 49152 C:\WINDOWS\system32\VTTimer.exe]

"SoundMan"="SOUNDMAN.EXE" [2004-05-14 14:47 67072 C:\WINDOWS\SOUNDMAN.EXE]

"PCMService"="c:\Apps\Powercinema\PCMService.exe" [2005-01-28 10:10 110740]

"EPSON Stylus DX3800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.exe" [2005-02-08 05:00 98304]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-05-04 12:17 180269]

"StandardInstall"="" []

"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2006-11-21 18:38 35328]

"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2007-02-19 18:25 115816]

"osCheck"="C:\Program Files\Norton Internet Security\osCheck.exe" [2007-02-19 18:24 771704]

"Symantec PIF AlertEng"="C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 09:22 517768]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-12-09 19:55 155648]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"HDReg"="c:\Apps\HDReg\HDRegApp.exe" [2004-08-09 17:45 24576]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]

 

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-12-13 20:57:46 110592]

Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]

Lancement rapide de Microsoft Office OneNote 2003.lnk - C:\Program Files\microsoft office\office11\ONENOTEM.EXE [2003-08-06 21:23:32 51776]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoStartMenuPinnedList"= 0 (0x0)

"NoStartMenuMFUprogramsList"= 0 (0x0)

"NoUserNameInStartMenu"= 0 (0x0)

"NoStartMenuSubFolders"= 0 (0x0)

"NoCommonGroups"= 0 (0x0)

"NoPrinterTabs"= 0 (0x0)

"NoDeletePrinter"= 0 (0x0)

"NoAddPrinter"= 0 (0x0)

"NoPrinters"= 0 (0x0)

"NoFavoritesMenu"= 0 (0x0)

"NoSetFolders"= 0 (0x0)

"NoToolbarCustomize"= 0 (0x0)

"NoRecentDocsNetHood"= 0 (0x0)

"NoChangeAnimation"= 0 (0x0)

"NoChangeKeyboardNavigationIndicators"= 0 (0x0)

 

R2 Planificateur LiveUpdate automatique;Planificateur LiveUpdate automatique;"C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [2007-09-26 10:56]

S3 memsysdrv;Memory System;C:\WINDOWS\system32\drivers\memsysdrv.sys [2007-12-26 13:58]

 

*Newly Created Service* - COMHOST

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2008-01-31 23:00:00 C:\WINDOWS\Tasks\HDReg.job"

- c:\Apps\HDReg\HDRegRem.exe

"2008-01-28 19:00:05 C:\WINDOWS\Tasks\Norton Internet Security Online - Analyse système complète - DENDECKER.job"

- C:\Program Files\Norton Internet Security\Norton AntiVirus\Navw32.exeh/TASK:

"2007-03-06 18:05:42 C:\WINDOWS\Tasks\Rappel d'enregistrement 1.job"

- C:\WINDOWS\system32\OOBE\oobebaln.exe

"2007-03-06 18:05:43 C:\WINDOWS\Tasks\Rappel d'enregistrement 2.job"

- C:\WINDOWS\system32\OOBE\oobebaln.exe

"2008-01-31 22:29:02 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"

- C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-31 23:59:51

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

Scan terminé avec succès

Les fichiers cachés: 0

 

**************************************************************************

.

Temps d'accomplissement: 2008-02-01 0:02:30

ComboFix-quarantined-files.txt 2008-01-31 23:02:26

.

2008-01-09 23:38:13 --- E O F ---

Effectue les manipulations suivantes >

 

1) Démarre Hijackthis,clique sur "Do a system scan only", et coche les lignes suivantes :

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

-Ferme tous les programmes et clique sur "Fix Checked"

 

2) Rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/iqf5g7

pour cela, clique sur le lien en bas de page > Download Link: CFScript

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
  
• Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  
• Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt
  

Poste stp le rapport de ComboFix

[Thanos]

normalement ta page de démarrage doit avoir changé: poste moi stp un dernier rapport hijackthis.

Quand tu peux, fais analyser ce fichier en ligne stp > C:\WINDOWS\system32\D7ED7B0402.sys

 

Rend toi à cette adresse => http://www.virustotal.com/

 

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier D7ED7B0402.sys[ que tu trouveras en allant dans le dossier C:\WINDOWS\System32

 

Tu cliques une fois sur le fichier D7ED7B0402.sys[ (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "Envoyer le fichier". Le scan de ce fichier va débuter. Tu n'as plus qu'à sélectionner puis copier /coller l'analyse .

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ca prendra pour faire analyser)

 

Fais de même avec celui ci > C:\WINDOWS\system32\drivers\memsysdrv.sys

 

Il est possible qu'on te dise que le fichier a déjà été analysé > analyse le de nouveau > clique sur le bouton Reanalyse le fichier maintenant

 

Il est possible que ces fichiers soient cachés et que tu ne les vois pas : si c'est le cas, fais au préalable >

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

[fred62200]

Effectivement, ma page de démarrage Internet est redevenue normale.

Mais l'arrière-plan du bureau est toujours une liste de liens vers des vidéos.

 

normalement ta page de démarrage doit avoir changé: poste moi stp un dernier rapport hijackthis.

Quand tu peux, fais analyser ce fichier en ligne stp > C:\WINDOWS\system32\D7ED7B0402.sys

 

Rend toi à cette adresse => http://www.virustotal.com/

 

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier D7ED7B0402.sys[ que tu trouveras en allant dans le dossier C:\WINDOWS\System32

 

Tu cliques une fois sur le fichier D7ED7B0402.sys[ (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "Envoyer le fichier". Le scan de ce fichier va débuter. Tu n'as plus qu'à sélectionner puis copier /coller l'analyse .

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ca prendra pour faire analyser)

 

Fais de même avec celui ci > C:\WINDOWS\system32\drivers\memsysdrv.sys

 

Il est possible qu'on te dise que le fichier a déjà été analysé > analyse le de nouveau > clique sur le bouton Reanalyse le fichier maintenant

 

Il est possible que ces fichiers soient cachés et que tu ne les vois pas : si c'est le cas, fais au préalable >

[Thanos]

est ce que tu peux faire une capture d'écran que l'on voit ca ?

[Thanos]

ok laisse tomber: je vois ce que c'est...je te prépare un petit fichier à lancer ...