neosapri

Bonjour le forum. J'ai été infecté (via un mail qui me semblait important et j'ai ouvert la pièce jointe dans un coup de stress ) la semaine passée par un Troyen. A la base, pas identifié par Mc Afee en automatique, le scan manual a repéré un troyen et l'a supprimé. Mais depuis deux jours, je reçois les alertes Mc Afee par dizaines. Le troyen est identifiée par Mc Afee en tant que : PWS-Zbot-FAQU!6AE21A4F62DE Je sais pas si cela aide. Il s'agit de mon ordi professionnel et je n'ai pas tous les droits d'administration (mais beaucoup quand même). Voici le rapport Hijackthis : Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 15:50:34, on 18/03/2013 Platform: Windows 7 SP1 (WinNT 6.00.3505) MSIE: Internet Explorer v9.00 (9.00.8112.16470) Boot mode: Normal Running processes: C:\Windows\SysWOW64\svchost.exe C:\Users\CFY\AppData\Roaming\Dropbox\bin\Dropbox.exe C:\Program Files (x86)\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe c:\users\cfy\appdata\roaming\kb00956991.exe C:\Program Files (x86)\Dell Webcam\Dell Webcam Central\WebcamDell2.exe C:\Program Files (x86)\CyberLink\PowerDVD9\PDVD9Serv.exe C:\Windows\SysWOW64\svchost.exe C:\Program Files (x86)\Roxio\OEM\Roxio Burn\RoxioBurnLauncher.exe C:\Program Files (x86)\McAfee\Common Framework\UdaterUI.exe C:\Program Files (x86)\CommunicationsClients\osoupd.exe C:\Program Files (x86)\McAfee\Common Framework\McTray.exe C:\Program Files (x86)\Microsoft Office\Office14\OUTLOOK.EXE C:\Program Files (x86)\Microsoft Office\Office14\WINWORD.EXE C:\Users\CFY\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VU8ZTERG\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Dell Official Site - The Power To Do More | Dell R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.fr - Actus France et Monde - Magazine People & Féminin – Hotmail R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.fr - Actus France et Monde - Magazine People & Féminin – Hotmail R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F2 - REG:system.ini: UserInit=userinit.exe O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20120924084100.dll O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~2\Office14\URLREDIR.DLL O4 - HKLM\..\Run: [iAStorIcon] C:\Program Files (x86)\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe O4 - HKLM\..\Run: [iMSS] "C:\Program Files (x86)\Intel\Intel® Management Engine Components\IMSS\PIconStartup.exe" O4 - HKLM\..\Run: [Dell Webcam Central] "C:\Program Files (x86)\Dell Webcam\Dell Webcam Central\WebcamDell2.exe" /mode2 O4 - HKLM\..\Run: [RemoteControl9] "C:\Program Files (x86)\CyberLink\PowerDVD9\PDVD9Serv.exe" O4 - HKLM\..\Run: [PDVD9LanguageShortcut] "C:\Program Files (x86)\CyberLink\PowerDVD9\Language\Language.exe" O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files (x86)\Common Files\Roxio Shared\OEM\12.0\SharedCOM\RoxWatchTray12OEM.exe" O4 - HKLM\..\Run: [Desktop Disc Tool] "C:\Program Files (x86)\Roxio\OEM\Roxio Burn\RoxioBurnLauncher.exe" O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files (x86)\McAfee\Common Framework\udaterui.exe" /StartedFromRunKey O4 - HKLM\..\Run: [shStatEXE] "C:\Program Files (x86)\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [CommunicationsClients Auto Update Service] C:\Program Files (x86)\CommunicationsClients\osoupd.exe O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKCU\..\Run: [ynbxmyuu] C:\Users\CFY\AppData\Local\Temp\Yvkpqdpuln\zvfnjmyuu.exe O4 - HKCU\..\Run: [wloupwee] C:\Users\CFY\AppData\Local\Temp\Sifpqftdgv\zhyejppwee.exe O4 - HKCU\..\Run: [KB00956991.exe] "C:\Users\CFY\AppData\Roaming\KB00956991.exe" O4 - Startup: Dropbox.lnk = C:\Users\CFY\AppData\Roaming\Dropbox\bin\Dropbox.exe O4 - Global Startup: Dell System Manager.lnk = C:\Program Files\Dell\Dell System Manager\DCPSysMgr.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office14\EXCEL.EXE/3000 O8 - Extra context menu item: Se&nd to OneNote - res://C:\PROGRA~2\MICROS~2\Office14\ONBttnIE.dll/105 O8 - Extra context menu item: Send image to &Bluetooth Device... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Send page to &Bluetooth Device... - c:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll O9 - Extra 'Tools' menuitem: Se&nd to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll O9 - Extra button: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll O9 - Extra 'Tools' menuitem: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\OFFICE11\REFIEBAR.DLL O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://akamaicdn.webex.com/client/WBXclient-T27L10NSP32EP5-14362/webex/ieatgpc1.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = CTI.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = CTI.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = CTI.local O18 - Protocol: amsdoc - {F04C7A4A-90E9-11D2-8A40-00A0C91D1F13} - C:\Program Files (x86)\Common Files\ams.hinrichs+müller GmbH\AMSDOCUI.dll O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Program Files\IDT\WDM\AESTSr64.exe O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing) O23 - Service: SW Distributed TS Coordinator Service (CoordinatorServiceHost) - Dassault Systèmes SolidWorks Corp. - C:\Program Files\SolidWorks Corp\SolidWorks\swScheduler\DTSCoordinatorService.exe O23 - Service: Credential Vault Host Control Service - Broadcom Corporation - C:\Program Files\Broadcom Corporation\Broadcom USH Host Components\CV\bin\HostControlService.exe O23 - Service: Credential Vault Host Storage - Broadcom Corporation - C:\Program Files\Broadcom Corporation\Broadcom USH Host Components\CV\bin\HostStorageService.exe O23 - Service: Dell System Manager Service (dcpsysmgrsvc) - Dell Inc. - c:\Program Files\Dell\Dell System Manager\DCPSysMgrSvc.exe O23 - Service: DCService.exe - Unknown owner - C:\ProgramData\DatacardService\DCService.exe (file missing) O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing) O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel® Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing) O23 - Service: FLEXnet Licensing Service - Flexera Software, Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: FLEXnet Licensing Service 64 - Flexera Software, Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe O23 - Service: Intel® Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files (x86)\Intel\Intel® Rapid Storage Technology\IAStorDataMgrSvc.exe O23 - Service: FF Install Filter Service (InstallFilterService) - Unknown owner - C:\Program Files (x86)\STMicroelectronics\AccelerometerP11\InstallFilterService.exe O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: Intel® Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel® Management Engine Components\LMS\LMS.exe O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files (x86)\McAfee\Common Framework\FrameworkService.exe O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\Common Files\McAfee\SystemCore\\mcshield.exe O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files (x86)\McAfee\VirusScan Enterprise\VsTskMgr.exe O23 - Service: McAfee Validation Trust Protection Service (mfevtp) - Unknown owner - C:\Windows\system32\mfevtps.exe (file missing) O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing) O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing) O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Program Files (x86)\Astaro\Astaro SSL VPN Client\bin\openvpnserv.exe O23 - Service: OSO Update Service - eTellicom - C:\Program Files (x86)\CommunicationsClients\osoausvc.exe O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel® Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe O23 - Service: Remote Solver for Flow Simulation 2011 - Mentor Graphics Corporation - C:\Program Files\SolidWorks Corp\SolidWorks Flow Simulation\binCFW\StandAloneSlv.exe O23 - Service: RoxMediaDB12OEM - Sonic Solutions - C:\Program Files (x86)\Common Files\Roxio Shared\OEM\12.0\SharedCOM\RoxMediaDB12OEM.exe O23 - Service: Roxio Hard Drive Watcher 12 (RoxWatch12) - Sonic Solutions - C:\Program Files (x86)\Common Files\Roxio Shared\OEM\12.0\SharedCOM\RoxWatch12OEM.exe O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: SecureStorageService - Wave Systems Corp. - C:\Program Files\Dell\Dell Data Protection\Access\Advanced\Wave\Secure Storage Manager\SecureStorageService.exe O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing) O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Program Files (x86)\Common Files\SolidWorks Shared\Service\SolidWorksLicensing.exe O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing) O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing) O23 - Service: @%SystemRoot%\system32\stlang64.dll,-10101 (STacSV) - IDT, Inc. - C:\Program Files\IDT\WDM\STacSV64.exe O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files (x86)\Common Files\SureThing Shared\stllssvr.exe O23 - Service: NTRU TSS v1.2.1.34 TCS (tcsd_win32.exe) - Unknown owner - C:\Program Files (x86)\NTRU Cryptosystems\NTRU TCG Software Stack\bin\tcsd_win32.exe O23 - Service: TdmService - Wave Systems Corp. - C:\Program Files\Dell\Dell Data Protection\Access\Advanced\Wave\Trusted Drive Manager\TdmService.exe O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing) O23 - Service: Intel® Management & Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel® Management Engine Components\UNS\UNS.exe O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing) O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing) O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing) O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing) O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing) O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing) -- End of file - 13651 bytes Merci d'avance pour votre aide... Neosapri

Merci pour ton aide Appolo ! Le ransomware a disparu... Par ailleurs, j'ai procédé au MàJ Windows Update & Java. Rapport SCAN : RogueKiller V8.4.4 [Feb 5 2013] par Tigzy mail : tigzyRK<at>gmail<dot>com Remontees : [RogueKiller] Remontées Site Web : Télécharger RogueKiller (Site Officiel) Blog : tigzy-RK Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode sans echec Utilisateur : Catherine [Droits d'admin] Mode : Recherche -- Date : 08/02/2013 18:35:11 | ARK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 8 ¤¤¤ [sHELL][Rans.Gendarm] HKCU\[...]\Winlogon : shell (explorer.exe,C:\Users\Catherine\AppData\Roaming\skype.dat) -> TROUVÉ [sHELL][Rans.Gendarm] HKUS\S-1-5-21-3065692007-4017222344-2541878085-1000[...]\Winlogon : shell (explorer.exe,C:\Users\Catherine\AppData\Roaming\skype.dat) -> TROUVÉ [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ [HJ] HKLM\[...]\Wow6432Node\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ [HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ [HJ] HKLM\[...]\Wow6432Node\System : EnableLUA (0) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : Rans.Gendarm ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: SAMSUNG HM641JI +++++ --- User --- [MBR] 15ca636d4d45d1781ce2d42ff94335cb [bSP] cd27ed3eb96aab5c994ff939e1f9cca6 : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 559355 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1145765888 | Size: 51023 Mo User = LL1 ... OK! User != LL2 ... KO! --- LL2 --- [MBR] a9788faf6fe78674036584183ae47f89 [bSP] 5eca7ec1a20261381f0d98d83ff1ca7a : Windows Vista/7/8 MBR Code Partition table: +++++ PhysicalDrive2: SanDisk U3 Cruzer Micro USB Device +++++ --- User --- [MBR] f9fea5fa2c02941e7b8826eb1f747bd8 [bSP] df4f83c1f72e36823a12b0dfc7617313 : MBR Code unknown Partition table: 0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 38 | Size: 3827 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[1]_S_08022013_183511.txt >> RKreport[1]_S_08022013_183511.txt RAPPORT SUPRESSION : RogueKiller V8.4.4 [Feb 5 2013] par Tigzy mail : tigzyRK<at>gmail<dot>com Remontees : [RogueKiller] Remontées Site Web : Télécharger RogueKiller (Site Officiel) Blog : tigzy-RK Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode sans echec Utilisateur : Catherine [Droits d'admin] Mode : Suppression -- Date : 08/02/2013 18:35:32 | ARK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 5 ¤¤¤ [sHELL][Rans.Gendarm] HKCU\[...]\Winlogon : shell (explorer.exe,C:\Users\Catherine\AppData\Roaming\skype.dat) -> SUPPRIMÉ [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2) [HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1) [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : Rans.Gendarm ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: SAMSUNG HM641JI +++++ --- User --- [MBR] 15ca636d4d45d1781ce2d42ff94335cb [bSP] cd27ed3eb96aab5c994ff939e1f9cca6 : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 559355 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1145765888 | Size: 51023 Mo User = LL1 ... OK! User != LL2 ... KO! --- LL2 --- [MBR] a9788faf6fe78674036584183ae47f89 [bSP] 5eca7ec1a20261381f0d98d83ff1ca7a : Windows Vista/7/8 MBR Code Partition table: +++++ PhysicalDrive2: SanDisk U3 Cruzer Micro USB Device +++++ --- User --- [MBR] f9fea5fa2c02941e7b8826eb1f747bd8 [bSP] df4f83c1f72e36823a12b0dfc7617313 : MBR Code unknown Partition table: 0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 38 | Size: 3827 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[2]_D_08022013_183532.txt >> RKreport[1]_S_08022013_183511.txt ; RKreport[2]_D_08022013_183532.txt Encore des choses à faire pour "purifier" l'ordi de ma compagne ? Merci encore en tout cas

Bonjour le forum ! Le laptop de ma compagne a été infecté par un ransomware aujourd'hui. J'ai tenté la même méthode de désinfection que lorsque j'avais eu le soucis il y a un an et demi (http://forum.zebulon.fr/infection-trojan-ouverture-au-demarrage-dun-fullscreen-3-t187139.html&hl=polizei) J'ai repris les logiciels (et donc les versions) de l'époque, sans succès (USB Fix, ZHPDiag, AD-R). Je vous laisse les différents rapports ci-dessous. USBFIX SCAN : ############################## | UsbFix 7.055 | [Recherche] Utilisateur: Catherine (Administrateur) # CATHERINE-PC [MEDION P6630] Mis à jour le 06/08/2011 par El Desaparecido Lancé à 21:47:05 | 07/02/2013 Site Web: webmail http://webmail.ovh.net Submit your sample: http://www.teamxscript.org/Upload.php Contact: TeamXscript.ElDesaparecido@gmail.com CPU: Intel® Core i3 CPU M 390 @ 2.67GHz CPU 2: Intel® Core i3 CPU M 390 @ 2.67GHz Microsoft Windows 7 Édition Intégrale (6.1.7601 64-Bit) # Service Pack 1 Internet Explorer 9.0.8112.16421 RAM -> 3893 Mo C:\ (%systemdrive%) -> Disque fixe # 546 Go (489 Go libre(s) - 90%) [] # NTFS D:\ -> Disque fixe # 50 Go (13 Go libre(s) - 26%) [Recover] # NTFS E:\ -> CD-ROM G:\ -> Disque amovible # 4 Go (3 Go libre(s) - 92%) [] # FAT32 ################## | Éléments infectieux | Présent! G:\g8k.exe ################## | Registre | ################## | Mountpoints2 | ################## | Vaccin | (!) Cet ordinateur n'est pas vacciné! ################## | E.O.F | USBFIX DELETE ############################## | UsbFix 7.055 | [suppression] Utilisateur: Catherine (Administrateur) # CATHERINE-PC [MEDION P6630] Mis à jour le 06/08/2011 par El Desaparecido Lancé à 21:57:35 | 07/02/2013 Site Web: webmail http://webmail.ovh.net Submit your sample: http://www.teamxscript.org/Upload.php Contact: TeamXscript.ElDesaparecido@gmail.com CPU: Intel® Core i3 CPU M 390 @ 2.67GHz CPU 2: Intel® Core i3 CPU M 390 @ 2.67GHz Microsoft Windows 7 Édition Intégrale (6.1.7601 64-Bit) # Service Pack 1 Internet Explorer 9.0.8112.16421 RAM -> 3893 Mo C:\ (%systemdrive%) -> Disque fixe # 546 Go (488 Go libre(s) - 89%) [] # NTFS D:\ -> Disque fixe # 50 Go (14 Go libre(s) - 28%) [Recover] # NTFS E:\ -> CD-ROM G:\ -> Disque amovible # 4 Go (3 Go libre(s) - 92%) [] # FAT32 ################## | Éléments infectieux | Supprimé! D:\$RECYCLE.BIN\S-1-5-21-3390757336-2055575698-2590877703-1002 Supprimé! D:\$RECYCLE.BIN\S-1-5-21-3926301555-4208080950-1592870930-500 Supprimé! G:\g8k.exe ################## | Registre | ################## | Mountpoints2 | ################## | Listing | [07/02/2013 - 22:01:53 | SHD ] C:\$Recycle.Bin [15/10/2012 - 21:21:56 | N | 6644] C:\0x040c.ini [15/10/2012 - 21:21:56 | N | 58880] C:\1036.MST [15/01/2013 - 17:09:47 | D ] C:\Config.Msi [14/07/2009 - 06:08:56 | SHD ] C:\Documents and Settings [07/02/2013 - 21:53:23 | ASH | 3061911552] C:\hiberfil.sys [08/10/2012 - 07:39:40 | D ] C:\IDE [12/07/2012 - 08:28:16 | D ] C:\Intel [08/10/2012 - 07:36:22 | RHD ] C:\MSOCache [12/07/2012 - 08:16:39 | D ] C:\NVIDIA [07/02/2013 - 21:53:23 | ASH | 4082548736] C:\pagefile.sys [14/07/2009 - 04:20:08 | D ] C:\PerfLogs [07/02/2013 - 21:45:02 | N | 512] C:\PhysicalDisk0_MBR.bin [24/10/2012 - 23:08:04 | D ] C:\Program Files [24/10/2012 - 23:21:41 | D ] C:\Program Files (x86) [24/10/2012 - 23:18:49 | HD ] C:\ProgramData [10/07/2012 - 14:23:44 | SHD ] C:\Recovery [08/10/2012 - 07:32:44 | N | 6] C:\ScrubRetValFile.txt [15/10/2012 - 21:22:13 | N | 49666560] C:\SILKYPIX Developer Studio 3.0 SE.msi [09/11/2012 - 20:01:36 | D ] C:\SkyDriveTemp [06/02/2013 - 20:33:07 | SHD ] C:\System Volume Information [24/10/2012 - 23:30:17 | D ] C:\Temp [15/10/2012 - 21:27:41 | N | 26] C:\UpdaterforApp.ini [07/02/2013 - 22:01:53 | D ] C:\UsbFix [07/02/2013 - 21:57:35 | N | 857] C:\UsbFix.txt [12/07/2012 - 08:19:28 | D ] C:\Users [27/01/2013 - 19:24:28 | D ] C:\Windows [07/02/2013 - 21:45:05 | D ] C:\ZHP [07/02/2013 - 22:01:53 | SHD ] D:\$RECYCLE.BIN [30/11/2010 - 18:10:31 | D ] D:\DRIVER [12/07/2012 - 21:02:39 | D ] D:\mes documents [09/12/2010 - 20:33:39 | SHD ] D:\System Volume Information [26/11/2012 - 22:12:12 | N | 14482] G:\L'âge de glace 4 - la dérive des continents FRENCH DVDRip Xvid-NERD.avi.torrent [07/02/2013 - 21:50:10 | N | 1060] G:\UsbFix_cath1.txt [26/12/2010 - 12:38:44 | D ] G:\Ced [02/03/2011 - 17:16:22 | N | 5984475] G:\Comos.zip [01/05/2011 - 17:33:30 | N | 60882] G:\current_04.xlsm [14/05/2011 - 13:50:12 | N | 4135323] G:\Memoire_CLI_final.pdf [09/08/2011 - 13:43:54 | N | 2572387] G:\ZHPDiag2.exe [09/08/2011 - 14:45:16 | N | 1235521] G:\UsbFix.exe [09/08/2011 - 15:31:30 | N | 5629] G:\UsbFix.txt [09/08/2011 - 16:13:06 | N | 126592] G:\TomsDownloader25698.exe [09/08/2011 - 16:15:28 | N | 1563105] G:\AD-R.exe [09/08/2011 - 18:12:54 | N | 2234] G:\Ad-Report-SCAN[1].txt [09/08/2011 - 18:17:38 | N | 2268] G:\Ad-Report-CLEAN[1].txt [04/12/2011 - 14:23:32 | D ] G:\Ced telephone [31/05/2012 - 15:30:40 | N | 8068856] G:\c&c.bmp [07/06/2012 - 14:39:08 | D ] G:\iTunes [13/06/2012 - 10:19:46 | D ] G:\ALTRAN_DS_tracking [01/08/2012 - 14:28:08 | N | 97419] G:\DDC_CFA_EN_2012.pdf [17/09/2012 - 13:40:36 | N | 148992] G:\DDC_CFA_EN_2012.doc [03/10/2012 - 17:35:34 | N | 109056] G:\09_2012_Fuel.xls [24/08/2012 - 23:55:44 | N | 109056] G:\08_2012_Fuel.xls [14/11/2012 - 14:36:48 | D ] G:\DDE CFA [26/11/2012 - 10:17:10 | N | 102400] G:\10_2012_Fuel.xls [09/12/2012 - 16:25:56 | D ] G:\Pics [03/01/2013 - 18:08:04 | N | 278798] G:\save_the_date.pptx [03/01/2013 - 17:58:56 | N | 8565312] G:\save_the_date.wmv ################## | Vaccin | C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript) D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript) G:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript) ################## | Upload | Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_CATHERINE-PC.zip http://www.teamxscript.org/Upload.php Merci de votre contribution. ################## | E.O.F | AD-R SCAN ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 ======= Mis à jour par TeamXscript le 12/04/11 Contact: AdRemover[DOT]contact[AT]gmail[DOT]com Site web: webmail http://webmail.ovh.net C:\Program Files (x86)\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 22:16:08 le 07/02/2013, Mode sans echec Microsoft Windows 7 Édition Intégrale Service Pack 1 (X64) Catherine@CATHERINE-PC (MEDION P6630) ============== RECHERCHE ============== Clé trouvée: HKLM\Software\DataMngr Clé trouvée: HKCU\Software\DataMngr ============== SCAN ADDITIONNEL ============== **** Mozilla Firefox Version [14.0.1 (fr)] **** HKLM_MozillaPlugins\@foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf (x) HKLM_MozillaPlugins\Adobe Reader (x) Searchplugins\bing.xml ( hxxp://www.bing.com/search) Components\browsercomps.dll (Mozilla Foundation) HKLM_Extensions|{0153E448-190B-4987-BDE1-F256CADA672F} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext -- C:\Users\Catherine\AppData\Roaming\Mozilla\FireFox\Profiles\qjdfkq44.default -- Prefs.js - browser.download.lastDir, C:\\Users\\Catherine\\Desktop Prefs.js - browser.startup.homepage, hxxp://www.google.be/ Prefs.js - browser.startup.homepage_override.buildID, 20120713134347 Prefs.js - browser.startup.homepage_override.mstone, 14.0.1 ======================================== **** Google Chrome Version [24.0.1312.57] **** Extension\jfmjfhklogoienhpfnppmbcbjfjnkonk (C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Chrome\Ext\rphtml5video.crx) (?) Extension\pgafcinpmmpklohkojmllohdhomoefph (C:\ProgramData\Browser Manager\2.3.765.24\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.crx) (x) -- C:\Users\Catherine\AppData\Local\Google\Chrome\User Data\Default -- Preferences - homepage: Preferences - homepage_is_newtabpage: false Preferences - urls_to_restore_on_startup: hxxp://www.google.be/, hxxp://www.facebook.com/ Preferences - default_search_provider: "Google" (Activé: true) (?) Preferences - homepage: Preferences - homepage_is_newtabpage: false Plugin - Remoting Viewer (Activé: true) (internal-remoting-viewer) (x) Plugin - "Remoting Viewer" (Activé: true) Plugin - Native Client (Activé: true) (C:\Users\Catherine\AppData\Local\Google\Chrome\Application\24.0.1312.57\ppGoogleNaClPluginChrome.dll) Plugin - "Native Client" (Activé: true) Plugin - "Foxit Reader Plugin for Mozilla" (Activé: true) Plugin - NVIDIA 3D Vision (Activé: true) (C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll) (x) Plugin - NVIDIA 3D VISION (Activé: true) (C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll) (x) Plugin - "NVIDIA 3D" (Activé: true) Plugin - VLC Web Plugin (Activé: true) (C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll) Plugin - "VLC Web Plugin" (Activé: true) Preferences - urls_to_restore_on_startup: hxxp://www.google.be/, hxxp://www.facebook.com/ ======================================== **** Internet Explorer Version [9.0.8112.16421] **** HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896 HKCU_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896 HKCU_Main|Start Page - hxxp://fr.msn.com/ HKLM_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896 HKLM_Main|Start Page - hxxp://fr.msn.com/ HKCU_SearchScopes\{483830EE-A4CD-4b71-B0A3-3D82E62A6909} - "?" (?) HKLM_Toolbar|{10EDB994-47F8-43F7-AE96-F2EA63E9F90F} (mscoree.dll) (x) HKCU_ElevationPolicy\{5C0D11B8-C5F6-4be3-AD2C-2B1A3EB94AB6} - C:\Users\Catherine\AppData\Roaming\Spotify\spotify.exe (Spotify Ltd) HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x) HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x) HKLM_ElevationPolicy\{44D1B085-E495-4b5f-9EE6-34795C46E7E7} - C:\Program Files (x86)\Java\jre7\bin\jp2launcher.exe (Oracle Corporation) HKLM_ElevationPolicy\{5852F5ED-8BF4-11D4-A245-0080C6F74284} - C:\Program Files (x86)\Java\jre7\bin\javaws.exe (Oracle Corporation) HKLM_ElevationPolicy\{6A7C9604-8A57-4B28-821B-BDEDF0E04788} - C:\Program Files\Microsoft Office\Office14\winproj.exe (x) HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x) HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x) HKLM_ElevationPolicy\{C8FE2181-CAE7-49EE-9B04-DB7EB4DA544A} - C:\Program Files (x86)\Java\jre7\bin\ssvagent.exe (Oracle Corporation) BHO\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - "QuickStores-Toolbar" (mscoree.dll) (x) ======================================== C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s) C:\Program Files (x86)\Ad-Remover\Backup: 0 Fichier(s) C:\Ad-Report-SCAN[1].txt - 07/02/2013 22:16:51 (0 Octet(s)) Fin à: 22:17:30, 07/02/2013 ============== E.O.F ============== J'ai peut-être fait ça pour rien... Je suis en attente de vos consignes. Merci pour votre aide

Je viens de relancer l'ordi en mode normal... et tout va bien... Cependant, il n'est pas connecté à Internet... peut-être qu'un risque existe toujours ! Je tenterai la mise à jour de MBAM une fois rentré chez moi et que je pourrai connecter l'ordi à Internet. C'était quoi comme infection? Des infos sur son origine? Au vu de ce que j'ai pu lire sur internet, ce serait un virus développé de facon très avancée. Je t'envoie les rapports dès que possible. Merci encore pour ton aide.

AD-Report SCAN : ======= REPORT FROM AD-REMOVER 2.0.0.2,G | ONLY XP/VISTA/7 ======= Updated by TeamXscript on 12/04/11 Contact: AdRemover[DOT]contact[AT]gmail[DOT]com website: http://www.teamxscript.org C:\Programme\Ad-Remover\main.exe (SCAN [1]) -> Launched at 16:43:38 on 09/08/2011, Safeboot mode Microsoft Windows XP Professional Service Pack 3 (X86) fabry@GACITUA ( ) ============== SEARCH ============== Key found: HKLM\Software\Classes\CLSID\{72b3882f-453a-4633-aac9-8c3dced62aff} Key found: HKLM\Software\Classes\Interface\{115CCBAE-27B0-47C3-BA42-BAB708424393} ============== ADDITIONNAL SCAN ============== **** Internet Explorer Version [8.0.6001.18702] **** HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896 HKCU_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896 HKCU_Main|Start Page - hxxp://fr.msn.com/ HKLM_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896 HKLM_Main|Start Page - hxxp://fr.msn.com/ HKLM_Extensions\{5067A26B-1337-4436-8AFE-EE169C2DA79F} - "?" (?) HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?) BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "Adobe PDF Reader" (C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll) BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?) BHO\{5CA3D70E-1895-11CF-8E15-001234567890} - "DriveLetterAccess" (C:\WINDOWS\System32\DLA\DLASHX_W.DLL) BHO\{7DB2D5A0-7241-4E79-B68D-6309F01C5231} - "scriptproxy" (C:\Programme\McAfee\VirusScan Enterprise\Scriptcl.dll) ======================================== C:\Programme\Ad-Remover\Quarantine: 0 File(s) C:\Programme\Ad-Remover\Backup: 0 File(s) C:\Ad-Report-SCAN[1].txt - 09/08/2011 16:43:49 (1419 Byte(s)) End at: 16:52:39, 09/08/2011 ============== E.O.F ============== AD-Report CLEAN : ======= REPORT FROM AD-REMOVER 2.0.0.2,G | ONLY XP/VISTA/7 ======= Updated by TeamXscript on 12/04/11 Contact: AdRemover[DOT]contact[AT]gmail[DOT]com website: http://www.teamxscript.org C:\Programme\Ad-Remover\main.exe (CLEAN [1]) -> Launched at 18:15:02 on 09/08/2011, Safeboot mode Microsoft Windows XP Professional Service Pack 3 (X86) fabry@GACITUA ( ) ============== ACTION(S) ============== (!) -- Temporary files deleted. Key deleted: HKLM\Software\Classes\CLSID\{72b3882f-453a-4633-aac9-8c3dced62aff} Key deleted: HKLM\Software\Classes\Interface\{115CCBAE-27B0-47C3-BA42-BAB708424393} ============== ADDITIONNAL SCAN ============== **** Internet Explorer Version [8.0.6001.18702] **** HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896 HKCU_Main|Start Page - hxxp://fr.msn.com/ HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896 HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM_Main|Start Page - hxxp://fr.msn.com/ HKLM_Extensions\{5067A26B-1337-4436-8AFE-EE169C2DA79F} - "?" (?) HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?) BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "Adobe PDF Reader" (C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll) BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?) BHO\{5CA3D70E-1895-11CF-8E15-001234567890} - "DriveLetterAccess" (C:\WINDOWS\System32\DLA\DLASHX_W.DLL) BHO\{7DB2D5A0-7241-4E79-B68D-6309F01C5231} - "scriptproxy" (C:\Programme\McAfee\VirusScan Enterprise\Scriptcl.dll) ======================================== C:\Programme\Ad-Remover\Quarantine: 0 File(s) C:\Programme\Ad-Remover\Backup: 13 File(s) C:\Ad-Report-CLEAN[1].txt - 09/08/2011 18:15:15 (457 Byte(s)) C:\Ad-Report-SCAN[1].txt - 09/08/2011 16:43:49 (2234 Byte(s)) End at: 18:17:36, 09/08/2011 ============== E.O.F ==============

Désolé pour les balises... je ne le ferai plus :$ Sinon, je n'ai pas accès au site de téléchargement (filtre du lieu de travail)... Y a-t-il un moyen de se le procurer autrement ? (voire le dissimuler dans un fichier zip ou rar et l'envoyer par mail) Merci de ta réponse !

Voila la premier rapport : Et le deuxième rapport :

Ok... Voici le rapport MBAM : Et le rapport ZHPDiag : Mon lien Ca prend un peu plus de temps à faire sous "DOS", mais j'y arrive quand même... Y a juste les raccourcis sur le bureau que je n'arrive pas à exécuter depuis DOS pour le moment... En attente des prochaines insructions Huston ! Over !

Merci pour ton aide Apollo. Juste pour aller plus vite, pourrais-tu me dire où s'enregistre le rapport MBAM en général? Dans le pire des cas, je peux reproduire un nouveau Scan MBAM. Sinon pour rappel, je dois exécuter tout en mode sans échec via clé usb (pour le moment). Je n'ai pas d'accès direct au bureau (pour le moment). Mais je vais essayer de faire ta procédure et t'envoie les infos dès que possible... Merci encore !

Bonjour ! J'ai été infecté par un Troyen qui me bloque l'accès à mon ordinateur dès le démarrage via l'affichage d'un pop-up "Bundespolizei" (voir photo ci-dessous) Ce pop-up est "inamovible" (Alt-Esc ; Crl-Alt-Delete ;... ne fonctionnent pas). Je peux cependant couper l'ordinateur sans le moindre problème La seule facon où je puisse démarrer l'ordinateur sans apparition du pop-up est en utilisant le "mode sans échec avec accès aux répertoires" (ou un truc dans le style, bref le 3ème choix de mode sans échec). Mon ordinateur tourne sur Windows XP Professionnel SP3. Via clé usb, j'ai eu la possibilité de faire tourner "Antimalwarebyte" qui a trouvé 7 infections (toutes éliminées) mais le problème persiste. Mes recherches sur Internet font état que ce virus est assez bien développé et n'est pas traitable via les actuels anti-virus ! Toujours vis USB, j'ai pu réaliser une analyse HiJackThis sous le mode sans-échec mentionné auparavant, dont voici le rapport ci-dessous Merci d'avance pour votre aide

Salut... pas de xpdx.sys sur mes disques durs. J'ai refait un Diaghelp... (voir ci dessous) et le xpdx.sys n'y apparaît plus... C'est peut-être un bon signe Je reste en attente de tes instructions DiagHelp version v1.4 - http://www.malekal.com excute le jeu. 06/12/2007 à 23:53:04,25 Liste des derniers fichies modifies/crees dans windir\system32 et prefetch C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->6/12/2007 23:53:01 C:\WINDOWS\prefetch\VERCLSID.EXE-3667BD89.pf -->6/12/2007 23:52:34 C:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->6/12/2007 23:43:24 C:\WINDOWS\prefetch\HPOSDN08.EXE-24AFFEC2.pf -->6/12/2007 23:42:34 C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->6/12/2007 23:42:19 C:\WINDOWS\prefetch\FIND.EXE-0EC32F1E.pf -->6/12/2007 23:36:50 C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->6/12/2007 23:36:49 C:\WINDOWS\prefetch\WUAUCLT.EXE-399A8E72.pf -->6/12/2007 23:36:23 C:\WINDOWS\prefetch\GZIP.EXE-116653D3.pf -->6/12/2007 23:36:18 C:\WINDOWS\prefetch\NTVDM.EXE-1A10A423.pf -->6/12/2007 23:36:06 C:\WINDOWS\System32\drivers\usbaapl.sys -->4/09/2007 18:04:34 C:\WINDOWS\System32\drivers\ntfs.sys -->9/02/2007 12:10:35 C:\WINDOWS\System32\drivers\nwrdr.sys -->13/10/2006 11:23:15 C:\WINDOWS\System32\drivers\GEARAspiWDM.sys -->19/09/2006 13:44:04 C:\WINDOWS\System32\drivers\fltmgr.sys -->21/08/2006 10:14:58 C:\WINDOWS\System32\drivers\tcpip6.sys -->16/08/2006 10:37:30 C:\WINDOWS\System32\drivers\srv.sys -->14/08/2006 11:34:41 C:\WINDOWS\System32\perfh00C.dat -->6/12/2007 13:35:11 C:\WINDOWS\System32\perfh009.dat -->6/12/2007 13:35:11 C:\WINDOWS\System32\perfc00C.dat -->6/12/2007 13:35:11 C:\WINDOWS\System32\perfc009.dat -->6/12/2007 13:35:11 C:\WINDOWS\System32\PerfStringBackup.INI -->6/12/2007 13:35:10 C:\WINDOWS\System32\FNTCACHE.DAT -->6/12/2007 13:33:33 C:\WINDOWS\System32\TZLog.log -->6/12/2007 1:06:25 C:\WINDOWS\System32\winlogon.exe -->3/12/2007 22:17:42 C:\WINDOWS\System32\wpa.dbl -->3/12/2007 13:33:37 C:\WINDOWS\System32\delFSF.bat -->21/11/2007 18:17:15 C:\WINDOWS\System32\mstscex.dll -->21/11/2007 14:44:36 C:\WINDOWS\System32\oleauth32.dll -->21/11/2007 14:44:34 C:\WINDOWS\System32\kb1ss1p.dll -->2/11/2007 15:11:24 C:\WINDOWS\System32\kb1ss1p.sys -->2/11/2007 15:11:21 C:\WINDOWS\System32\xpsp3res.dll -->29/10/2007 16:35:14 C:\WINDOWS\System32\shell32.dll -->25/10/2007 17:56:24 C:\WINDOWS\System32\rsbo.exe -->24/10/2007 9:42:09 C:\WINDOWS\System32\wininet.dll -->22/08/2007 14:13:08 C:\WINDOWS\System32\urlmon.dll -->22/08/2007 14:13:08 C:\WINDOWS\System32\shlwapi.dll -->22/08/2007 14:13:08 C:\WINDOWS\System32\shdocvw.dll -->22/08/2007 14:13:08 C:\WINDOWS\System32\pngfilt.dll -->22/08/2007 14:13:07 C:\WINDOWS\System32\mstime.dll -->22/08/2007 14:13:07 C:\WINDOWS\System32\msrating.dll -->22/08/2007 14:13:07 C:\WINDOWS\System32\mshtmled.dll -->22/08/2007 14:13:07 C:\WINDOWS\WindowsUpdate.log -->6/12/2007 23:36:29 C:\WINDOWS\winamp.ini -->6/12/2007 17:57:25 C:\WINDOWS.log -->6/12/2007 13:34:02 C:\WINDOWS\wiaservc.log -->6/12/2007 13:33:59 C:\WINDOWS\wiadebug.log -->6/12/2007 13:33:58 C:\WINDOWS\spupdsvc.log -->6/12/2007 13:33:58 C:\WINDOWS\QTFont.qfn -->6/12/2007 13:33:53 C:\WINDOWS\bootstat.dat -->6/12/2007 13:33:39 C:\WINDOWS\SchedLgU.Txt -->6/12/2007 1:13:01 C:\WINDOWS\tsoc.log -->6/12/2007 1:12:39 C:\WINDOWS\tabletoc.log -->6/12/2007 1:12:39 C:\WINDOWS\ocmsn.log -->6/12/2007 1:12:39 C:\WINDOWS\ocgen.log -->6/12/2007 1:12:39 C:\WINDOWS\ntdtcsetup.log -->6/12/2007 1:12:39 C:\WINDOWS\netfxocm.log -->6/12/2007 1:12:39 winlogon.exe Verified: Unsigned svchost.exe Verified: Signed ws2_32.dll Verified: Signed user32.dll Verified: Signed tcpip.sys Verified: Signed ndis.sys Verified: Signed null.sys Verified: Signed ListDLLs v2.25 - DLL lister for Win9x/NT Copyright © 1997-2004 Mark Russinovich Sysinternals - www.sysinternals.com ------------------------------------------------------------------------------ explorer.exe pid: 1420 Command line: C:\WINDOWS\Explorer.EXE Base Size Version Path 0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll 0x6bd00000 0xd000 0.01.0002.0003 C:\WINDOWS\system32\SYNCOR11.DLL 0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL 0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll 0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL 0x10000000 0x1b000 C:\WINDOWS\system32\kb1ss1p.dll 0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll 0x59590000 0x19000 9.00.0000.3250 C:\WINDOWS\system32\wmpshell.dll 0x02310000 0x5b000 8.01.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll 0x78130000 0x9b000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll 0x02370000 0x4c000 8.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA 0x01570000 0x2b000 C:\Program Files\WinRAR\rarext.dll 0x016c0000 0x1b000 15.00.0000.0020 C:\Program Files\Norton Utilities\NDRVEX.DLL 0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll 0x02950000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll 0x75be0000 0x6e000 5.06.0000.8831 C:\WINDOWS\system32\jscript.dll 0x037b0000 0x21c000 9.00.0000.3265 C:\WINDOWS\system32\wmvcore.dll 0x4b410000 0x29000 9.00.0000.3250 C:\WINDOWS\system32\wmidx.dll 0x59d10000 0x3c000 9.00.0000.3250 C:\WINDOWS\system32\WMASF.DLL 0x039d0000 0x4f000 9.00.0000.3250 C:\WINDOWS\system32\DRMClien.DLL 0x748f0000 0x113000 8.90.1101.0000 C:\WINDOWS\system32\msxml3.dll 0x00a30000 0x10000 8.00.0000.0456 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll 0x325c0000 0x12000 11.00.5510.0000 C:\Program Files\Microsoft Office\OFFICE11\msohev.dll 0x41f00000 0x7000 1.00.0000.3845 C:\WINDOWS\system32\asfsipc.dll 0x60980000 0x7000 3.01.4000.1823 C:\WINDOWS\system32\MSISIP.DLL 0x74e10000 0x10000 5.06.0000.8820 C:\WINDOWS\system32\wshext.dll 0x73d20000 0xfe000 6.02.4131.0000 C:\WINDOWS\system32\MFC42.DLL 0x61d70000 0xe000 6.00.8665.0000 C:\WINDOWS\system32\MFC42LOC.DLL 0x59000000 0xe000 5.06.0000.6626 C:\WINDOWS\system32\wshFR.DLL 0x36d30000 0x19000 11.00.5510.0000 C:\PROGRA~1\MICROS~2\OFFICE11\MCPS.DLL ListDLLs v2.25 - DLL lister for Win9x/NT Copyright © 1997-2004 Mark Russinovich Sysinternals - www.sysinternals.com ------------------------------------------------------------------------------ winlogon.exe pid: 632 Command line: winlogon.exe Base Size Version Path 0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe 0x10000000 0xe000 C:\WINDOWS\system32\mstscex.dll 0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll 0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll 0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll 0x6bd00000 0xd000 0.01.0002.0003 C:\WINDOWS\system32\SYNCOR11.DLL 0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll 0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL 0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 5823-C7D9 Répertoire de C:\WINDOWS\system 14/08/2002 14:03 4.672 WOWPOST.EXE 1 fichier(s) 4.672 octets 0 Rép(s) 5.693.743.104 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 5823-C7D9 Répertoire de C:\WINDOWS\system32 03/08/2004 23:54 6.144 csrss.exe 1 fichier(s) 6.144 octets 0 Rép(s) 5.693.743.104 octets libres Contenu de Downloaded Program Files Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 5823-C7D9 Répertoire de C:\WINDOWS\Downloaded Program Files 10/11/2007 16:45 <REP> . 10/11/2007 16:45 <REP> .. 14/07/2005 08:54 65 desktop.ini 23/03/2007 12:17 1.292 erma.inf 12/09/2007 14:14 378 ImageUploader4.inf 12/09/2007 14:16 2.635.312 ImageUploader4.ocx 14/02/2007 15:30 144 setup.inf 11/06/2007 12:21 5.021 swflash.inf 6 fichier(s) 2.642.212 octets Total des fichiers listés : 6 fichier(s) 2.642.212 octets 2 Rép(s) 5.693.739.008 octets libres Recherche de rootkit! (Merci S!Ri) Recherche d'infections connues Export des clefs sensibles.. Liste des fichiers en exception sur le pare-feu XP SP2 "C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule" Export de la clef SharedTaskScheduler [sharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant" exports des policies REGEDIT4 [system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 Export des clefs sensibles.. Rechercher adresses sensibles dans le fichier HOSTS... catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-06 23:53:35 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden services & system hive ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden services: 0 hidden files: 0 KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg) Process list by traversal of KiWaitListHead 4 - System 208 - AppleMobileDevi 252 - IEXPLORE.EXE 376 - MDM.EXE 404 - NPROTECT.EXE 608 - csrss.exe 632 - winlogon.exe 680 - services.exe 692 - lsass.exe 860 - svchost.exe 928 - svchost.exe 1020 - svchost.exe 1116 - svchost.exe 1420 - explorer.exe 1832 - iTunesHelper.ex 1848 - ctfmon.exe 1900 - NkbMonitor.exe 2124 - alg.exe 2320 - iPodService.exe 2496 - IEXPLORE.EXE 3016 - cmd.exe 3396 - services.exe Total number of processes = 22 NOTE: Under WinXP, this will not show all processes. KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg) Driver/Module list by traversal of PsLoadedModuleList 804D7000 - \WINDOWS\system32\ntoskrnl.exe 806EC000 - \WINDOWS\system32\hal.dll F9F32000 - \WINDOWS\system32\KDCOM.DLL F9E42000 - \WINDOWS\system32\BOOTVID.dll F99E2000 - ACPI.sys F9F34000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS F99D1000 - pci.sys F9A32000 - isapnp.sys F9F36000 - viaide.sys F9CB2000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS F9A42000 - MountMgr.sys F99B2000 - ftdisk.sys F9F38000 - dmload.sys F998C000 - dmio.sys F9CBA000 - PartMgr.sys F9A52000 - VolSnap.sys F9974000 - atapi.sys F9A62000 - disk.sys F9A72000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS F9954000 - fltMgr.sys F9942000 - sr.sys F992B000 - KSecDD.sys F989E000 - Ntfs.sys F9871000 - NDIS.sys F9A82000 - uagp35.sys F9CC2000 - viaagp1.sys F9856000 - Mup.sys F9C12000 - \SystemRoot\system32\DRIVERS\amdk7.sys F94CD000 - \SystemRoot\system32\DRIVERS\ati2mtag.sys F94B9000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS F9D4A000 - \SystemRoot\system32\DRIVERS\usbuhci.sys F9496000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS F9D52000 - \SystemRoot\system32\DRIVERS\usbehci.sys F9C22000 - \SystemRoot\system32\DRIVERS\imapi.sys F9C32000 - \SystemRoot\System32\Drivers\AFS2K.SYS FA117000 - \SystemRoot\System32\Drivers\ElbyDelay.sys F9F5A000 - \SystemRoot\System32\Drivers\ElbyCDFL.sys F9C42000 - \SystemRoot\system32\DRIVERS\cdrom.sys F9C52000 - \SystemRoot\system32\DRIVERS\redbook.sys F9473000 - \SystemRoot\system32\DRIVERS\ks.sys F9D5A000 - \SystemRoot\System32\Drivers\GEARAspiWDM.sys F93E5000 - \SystemRoot\system32\drivers\smwdm.sys F93C1000 - \SystemRoot\system32\drivers\portcls.sys F9C62000 - \SystemRoot\system32\drivers\drmk.sys F9F5C000 - \SystemRoot\system32\drivers\aeaudio.sys F9C72000 - \SystemRoot\system32\DRIVERS\fetnd5b.sys F9D62000 - \SystemRoot\system32\DRIVERS\fdc.sys F93B0000 - \SystemRoot\system32\DRIVERS\serial.sys F9EE2000 - \SystemRoot\system32\DRIVERS\serenum.sys F939C000 - \SystemRoot\system32\DRIVERS\parport.sys F9C82000 - \SystemRoot\system32\DRIVERS\i8042prt.sys F9D6A000 - \SystemRoot\system32\DRIVERS\mouclass.sys F9D72000 - \SystemRoot\system32\DRIVERS\kbdclass.sys F9EE6000 - \SystemRoot\system32\DRIVERS\gameenum.sys FA120000 - \SystemRoot\system32\DRIVERS\audstub.sys F9C92000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys F9EEA000 - \SystemRoot\system32\DRIVERS\ndistapi.sys F9385000 - \SystemRoot\system32\DRIVERS\ndiswan.sys F9CA2000 - \SystemRoot\system32\DRIVERS\raspppoe.sys F9AB2000 - \SystemRoot\system32\DRIVERS\raspptp.sys F9D7A000 - \SystemRoot\system32\DRIVERS\TDI.SYS F9374000 - \SystemRoot\system32\DRIVERS\psched.sys F9AC2000 - \SystemRoot\system32\DRIVERS\msgpc.sys F9D82000 - \SystemRoot\system32\DRIVERS\ptilink.sys F9D8A000 - \SystemRoot\system32\DRIVERS\raspti.sys F9343000 - \SystemRoot\system32\DRIVERS\rdpdr.sys F9AD2000 - \SystemRoot\system32\DRIVERS\termdd.sys F9F5E000 - \SystemRoot\system32\DRIVERS\swenum.sys F926F000 - \SystemRoot\system32\DRIVERS\update.sys F9F06000 - \SystemRoot\system32\DRIVERS\mssmbios.sys F9B02000 - \SystemRoot\System32\Drivers\NDProxy.SYS F9B12000 - \SystemRoot\system32\DRIVERS\usbhub.sys F9F60000 - \SystemRoot\system32\DRIVERS\USBD.SYS F9D92000 - \SystemRoot\system32\DRIVERS\flpydisk.sys F9F62000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS FA041000 - \SystemRoot\System32\Drivers\Null.SYS F9F64000 - \SystemRoot\System32\Drivers\Beep.SYS F9DA2000 - \??\C:\Program Files\Symantec\Norton Ghost 2003\ghpciscan.sys F9DAA000 - \SystemRoot\System32\drivers\vga.sys F9F66000 - \SystemRoot\System32\Drivers\mnmdd.SYS F9F68000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys F9DB2000 - \SystemRoot\System32\Drivers\Msfs.SYS F9DBA000 - \SystemRoot\System32\Drivers\Npfs.SYS F95B4000 - \SystemRoot\system32\DRIVERS\rasacd.sys B6FA5000 - \SystemRoot\system32\DRIVERS\ipsec.sys B6F4D000 - \SystemRoot\system32\DRIVERS\tcpip.sys B6F25000 - \SystemRoot\system32\DRIVERS\netbt.sys B6F03000 - \SystemRoot\System32\drivers\afd.sys F9B42000 - \SystemRoot\system32\DRIVERS\netbios.sys F9DC2000 - \SystemRoot\System32\Drivers\StarOpen.SYS B6ED8000 - \SystemRoot\system32\DRIVERS\rdbss.sys B6EB7000 - \SystemRoot\system32\DRIVERS\ipnat.sys F9B52000 - \SystemRoot\system32\DRIVERS\wanarp.sys B6E48000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys F9B62000 - \SystemRoot\System32\Drivers\Fips.SYS F9BC2000 - \SystemRoot\System32\Drivers\Cdfs.SYS B6D90000 - \SystemRoot\System32\Drivers\dump_atapi.sys F9FCC000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS BF800000 - \SystemRoot\System32\win32k.sys F9247000 - \SystemRoot\System32\drivers\Dxapi.sys F9E02000 - \SystemRoot\System32\watchdog.sys BF9C3000 - \SystemRoot\System32\drivers\dxg.sys FA175000 - \SystemRoot\System32\drivers\dxgthk.sys BF9D5000 - \SystemRoot\System32\ati2dvag.dll BFA0B000 - \SystemRoot\System32\ati2cqag.dll BFA43000 - \SystemRoot\System32\ati3duag.dll BFC11000 - \SystemRoot\System32\ativvaxx.dll B6FE4000 - \SystemRoot\system32\DRIVERS\ndisuio.sys B69BB000 - \SystemRoot\system32\drivers\wdmaud.sys B6B50000 - \SystemRoot\system32\drivers\sysaudio.sys B6708000 - \SystemRoot\system32\DRIVERS\mrxdav.sys F9F3C000 - \SystemRoot\System32\Drivers\ParVdm.SYS B6AEC000 - \SystemRoot\System32\Drivers\Aspi32.SYS B67F9000 - \SystemRoot\System32\Drivers\ElbyCDIO.sys B6576000 - \SystemRoot\system32\DRIVERS\srv.sys BFFA0000 - \SystemRoot\System32\ATMFD.DLL B6536000 - \??\C:\Program Files\Symantec\SYMEVENT.SYS B631E000 - \??\C:\WINDOWS\system32\Drivers\NPDRIVER.SYS B623D000 - \SystemRoot\System32\Drivers\HTTP.sys B5F47000 - \SystemRoot\System32\Drivers\Fastfat.SYS F9E12000 - \SystemRoot\system32\DRIVERS\usbccgp.sys B69D0000 - \SystemRoot\system32\DRIVERS\usbscan.sys F9E3A000 - \SystemRoot\system32\DRIVERS\usbprint.sys F9CF2000 - \SystemRoot\system32\DRIVERS\HPZius12.sys B64D6000 - \SystemRoot\system32\DRIVERS\HPZid412.sys B609D000 - \SystemRoot\system32\DRIVERS\HPZipr12.sys B6436000 - \SystemRoot\system32\DRIVERS\ssm_bus.sys F9FA6000 - \SystemRoot\system32\DRIVERS\ssm_wh.sys B5E67000 - \SystemRoot\system32\DRIVERS\ssm_mdm.sys F9FAA000 - \SystemRoot\system32\DRIVERS\ssm_cm.sys F9E22000 - \SystemRoot\System32\Drivers\Modem.SYS F9FA4000 - \SystemRoot\system32\DRIVERS\ssm_mdfl.sys FA169000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys B5E3C000 - \SystemRoot\system32\drivers\kmixer.sys Total number of drivers = 134 Liste des programmes installes -(/'|'\)- DivX 5.0.5 Pro Video Codec -(/'|'\)- -(/'|'\)- DivX Codec 3.11a Codec -(/'|'\)- 3ivx D4 4.0.4 (remove only) ACDSee (version d’évaluation) Adobe Photoshop CS Adobe Reader 8.1.1 - Français Adobe Shockwave Player Apple Mobile Device Support Apple Software Update Archiveur WinRAR ArcSoft Panorama Maker 3 BMW M3 Challenge CloneCD CloneDVD2 Correctif Windows XP - KB873339 Correctif Windows XP - KB885835 Correctif Windows XP - KB885836 Correctif Windows XP - KB886185 Correctif Windows XP - KB887472 Correctif Windows XP - KB888302 Correctif Windows XP - KB890859 Correctif Windows XP - KB891781 Disque de souvenirs HP DVD Shrink 3.1.7 eMule Everest Poker (Remove Only) HijackThis 2.0.2 hp psc 1100 series igLoader InterActual Player iTunes LiveReg (Symantec Corporation) LiveUpdate 1.80 (Symantec Corporation) Ludiclub.com Microsoft Office Professional Edition 2003 Mise à jour de sécurité pour Lecteur Windows Media (KB911564) Mise à jour de sécurité pour Lecteur Windows Media 6.4 (KB925398) Mise à jour de sécurité pour Lecteur Windows Media 9 (KB936782) Mise à jour de sécurité pour Windows XP (KB890046) Mise à jour de sécurité pour Windows XP (KB893756) Mise à jour de sécurité pour Windows XP (KB896358) Mise à jour de sécurité pour Windows XP (KB896423) Mise à jour de sécurité pour Windows XP (KB896428) Mise à jour de sécurité pour Windows XP (KB899587) Mise à jour de sécurité pour Windows XP (KB899591) Mise à jour de sécurité pour Windows XP (KB900725) Mise à jour de sécurité pour Windows XP (KB901017) Mise à jour de sécurité pour Windows XP (KB901214) Mise à jour de sécurité pour Windows XP (KB902400) Mise à jour de sécurité pour Windows XP (KB904706) Mise à jour de sécurité pour Windows XP (KB905414) Mise à jour de sécurité pour Windows XP (KB905749) Mise à jour de sécurité pour Windows XP (KB908519) Mise à jour de sécurité pour Windows XP (KB911562) Mise à jour de sécurité pour Windows XP (KB911927) Mise à jour de sécurité pour Windows XP (KB913580) Mise à jour de sécurité pour Windows XP (KB914388) Mise à jour de sécurité pour Windows XP (KB914389) Mise à jour de sécurité pour Windows XP (KB917344) Mise à jour de sécurité pour Windows XP (KB917953) Mise à jour de sécurité pour Windows XP (KB918118) Mise à jour de sécurité pour Windows XP (KB918439) Mise à jour de sécurité pour Windows XP (KB919007) Mise à jour de sécurité pour Windows XP (KB920213) Mise à jour de sécurité pour Windows XP (KB920670) Mise à jour de sécurité pour Windows XP (KB920683) Mise à jour de sécurité pour Windows XP (KB920685) Mise à jour de sécurité pour Windows XP (KB921503) Mise à jour de sécurité pour Windows XP (KB922819) Mise à jour de sécurité pour Windows XP (KB923191) Mise à jour de sécurité pour Windows XP (KB923414) Mise à jour de sécurité pour Windows XP (KB923689) Mise à jour de sécurité pour Windows XP (KB923980) Mise à jour de sécurité pour Windows XP (KB924270) Mise à jour de sécurité pour Windows XP (KB924496) Mise à jour de sécurité pour Windows XP (KB924667) Mise à jour de sécurité pour Windows XP (KB925902) Mise à jour de sécurité pour Windows XP (KB926255) Mise à jour de sécurité pour Windows XP (KB926436) Mise à jour de sécurité pour Windows XP (KB927779) Mise à jour de sécurité pour Windows XP (KB927802) Mise à jour de sécurité pour Windows XP (KB928255) Mise à jour de sécurité pour Windows XP (KB928843) Mise à jour de sécurité pour Windows XP (KB929123) Mise à jour de sécurité pour Windows XP (KB930178) Mise à jour de sécurité pour Windows XP (KB931261) Mise à jour de sécurité pour Windows XP (KB931784) Mise à jour de sécurité pour Windows XP (KB932168) Mise à jour de sécurité pour Windows XP (KB933729) Mise à jour de sécurité pour Windows XP (KB935839) Mise à jour de sécurité pour Windows XP (KB935840) Mise à jour de sécurité pour Windows XP (KB936021) Mise à jour de sécurité pour Windows XP (KB938127) Mise à jour de sécurité pour Windows XP (KB938829) Mise à jour de sécurité pour Windows XP (KB939653) Mise à jour de sécurité pour Windows XP (KB941202) Mise à jour de sécurité pour Windows XP (KB943460) Mise à jour pour Windows XP (KB894391) Mise à jour pour Windows XP (KB898461) Mise à jour pour Windows XP (KB900485) Mise à jour pour Windows XP (KB908531) Mise à jour pour Windows XP (KB910437) Mise à jour pour Windows XP (KB911280) Mise à jour pour Windows XP (KB916595) Mise à jour pour Windows XP (KB920872) Mise à jour pour Windows XP (KB922582) Mise à jour pour Windows XP (KB927891) Mise à jour pour Windows XP (KB930916) Mise à jour pour Windows XP (KB933360) Mise à jour pour Windows XP (KB938828) MSXML 4.0 SP2 (KB936181) MSXML 4.0 SP2 Parser and SDK Nero 6 Enterprise Edition Nikon FotoShare Nikon Message Center Norton Ghost Norton Speed Disk 6.0 pour Windows NT Norton Utilities 2002 pour Windows OpenMG Limited Patch 3.4-04-17-06-01 OpenMG Secure Module 3.4.01 Photo et imagerie HP 2.0 - All-in-One Photo et imagerie HP 2.0 - All-in-One Pilote Photo et imagerie HP 2.0 - hp psc 1100 series PictureProject PowerDVD QuickTime SAMSUNG CDMA Modem Driver Set SAMSUNG Mobile Composite Device Software Samsung Mobile phone USB driver Software SAMSUNG Mobile USB Modem 1.0 Software SAMSUNG Mobile USB Modem Software Samsung PC Studio 3 Samsung PC Studio 3 Samsung PC Studio 3 USB Driver Installer Samsung Samples Installer SonicStage 2.0.06 SoundMAX Theme Hospital WebFldrs XP Winamax Poker (remove only) Winamp (remove only) Windows Installer 3.1 (KB893803) Windows Live Messenger Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 5823-C7D9 Répertoire de C:\Program Files 05/12/2007 00:20 <REP> . 05/12/2007 00:20 <REP> .. 14/07/2005 07:08 <REP> 3ivx 14/07/2005 07:04 <REP> ACD Systems 11/08/2007 11:32 <REP> Adobe 14/07/2005 07:06 <REP> Ahead 14/07/2005 06:11 <REP> Analog Devices 01/10/2007 15:13 <REP> Apple Software Update 17/09/2007 22:02 <REP> ArcSoft 18/09/2007 19:50 <REP> Bullfrog 14/07/2005 05:46 <REP> ComPlus Applications 14/07/2005 07:12 <REP> CyberLink 14/07/2005 07:05 <REP> DVD Shrink 14/07/2005 07:28 <REP> Elaborate Bytes 06/12/2007 15:06 <REP> eMule 03/11/2007 00:23 <REP> Everest Poker 17/09/2007 22:03 <REP> Fichiers communs 01/10/2007 11:23 <REP> Google 03/01/2003 19:29 <REP> Hewlett-Packard 08/09/2007 08:28 <REP> InterActual 06/12/2007 01:10 <REP> Internet Explorer 01/10/2007 20:52 <REP> iPod 01/10/2007 20:52 <REP> iTunes 16/11/2007 23:08 <REP> Ludiclub 06/12/2007 01:09 <REP> Messenger 14/07/2005 05:50 <REP> microsoft frontpage 14/07/2005 07:41 <REP> Microsoft Office 14/07/2005 07:41 <REP> Microsoft Visual Studio 14/07/2005 07:41 <REP> Microsoft Works 14/07/2005 07:42 <REP> Microsoft.NET 14/07/2005 05:47 <REP> Movie Maker 14/07/2005 05:45 <REP> MSN 14/07/2005 05:46 <REP> MSN Gaming Zone 13/08/2007 20:47 <REP> MSN Messenger 18/09/2007 22:23 <REP> MSXML 4.0 14/07/2005 07:05 <REP> MUSK Codec Pack v3 14/07/2005 05:48 <REP> NetMeeting 17/09/2007 22:03 <REP> Nikon 05/12/2007 00:52 <REP> Norton Utilities 14/07/2005 05:46 <REP> Online Services 01/11/2007 16:40 <REP> OpenOffice.org 2.2 06/12/2007 01:08 <REP> Outlook Express 11/08/2007 11:28 <REP> PDF Editeur 2 13/08/2007 21:11 <REP> QuickTime 12/10/2007 21:14 <REP> Samsung 14/07/2005 05:48 <REP> Services en ligne 04/09/2007 07:35 <REP> Sony 04/09/2007 07:35 <REP> Sony Corporation 14/07/2005 06:06 <REP> Speed Disk 14/07/2005 07:30 <REP> Symantec 04/12/2007 21:41 <REP> Trend Micro 17/11/2007 23:09 <REP> WinamaxPoker 21/11/2007 14:44 <REP> Winamp 17/08/2007 21:07 <REP> WinAVI MP4 Converter 06/12/2007 01:08 <REP> Windows Media Player 14/07/2005 05:46 <REP> Windows NT 14/07/2005 06:04 <REP> WinRAR 14/07/2005 05:50 <REP> xerox 0 fichier(s) 0 octets 58 Rép(s) 5.638.524.928 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 5823-C7D9 Répertoire de C:\Program Files\fichiers communs 17/09/2007 22:03 <REP> . 17/09/2007 22:03 <REP> .. 11/08/2007 11:32 <REP> Adobe 14/07/2005 07:06 <REP> Ahead 13/08/2007 21:09 <REP> Apple 14/07/2005 07:41 <REP> DESIGNER 03/01/2003 19:27 <REP> Hewlett-Packard 14/07/2005 07:09 <REP> InstallShield 13/08/2007 21:52 <REP> Microsoft Shared 14/07/2005 05:48 <REP> MSSoap 17/09/2007 22:03 <REP> muvee Technologies 18/09/2007 22:14 <REP> Nikon 14/07/2005 07:34 <REP> ODBC 21/08/2003 02:58 <REP> Real 14/07/2005 05:48 <REP> Services 04/09/2007 07:35 <REP> Sony Shared 14/07/2005 07:34 <REP> SpeechEngines 14/07/2005 07:30 <REP> Symantec Shared 06/12/2007 01:08 <REP> System 14/07/2005 07:10 <REP> Vbox 0 fichier(s) 0 octets 20 Rép(s) 5.638.524.928 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 5823-C7D9 Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders 14/07/2005 07:41 <REP> . 14/07/2005 07:41 <REP> .. 14/07/2005 07:41 <REP> 1033 14/07/2005 07:41 <REP> 1036 11/07/2003 09:15 1.292.872 MSONSEXT.DLL 15/07/2003 05:52 35.896 MSOSV.DLL 03/06/1999 11:09 122.937 MSOWS409.DLL 07/03/2001 06:00 127.033 MSOWS40c.DLL 11/07/2003 01:25 80.448 PKMWS.DLL 5 fichier(s) 1.659.186 octets 4 Rép(s) 5.638.524.928 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 5823-C7D9 Répertoire de C:\ 21/11/2007 14:44 27.947 cgqftqvj.exe 21/11/2007 14:44 58.368 dbtmuceo.exe 21/11/2007 14:44 20.992 jstnq.exe 3 fichier(s) 107.307 octets 0 Rép(s) 5.638.524.928 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 5823-C7D9 Répertoire de C:\ c:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 7.4.3.1\iTunesSetupAdmin.exe c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\aspiinst.exe c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\CMDS.EXE c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\CMDS16.EXE c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\E.EXE c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\GUEST.EXE c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\MSCDEX.EXE c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\Net.exe c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\OHCI.EXE c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\PROTMAN.EXE c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\UHCI.EXE c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\Xircom CBE10-100BTX\Cbendis.exe c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\Xircom Ethernet 10-100 + Modem\Cbendis.exe c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\Xircom Ethernet II PS\Xpsndis.exe c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\Xircom PE3-10Bx\Pe3ndis.exe c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\Xircom Re-100Btx + Ce3B-100Btx\Ce3ndis.exe c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\Xircom RE10BT\Ce3ndis.exe c:\Documents and Settings\xcfgdxfgxf\Application Data\Nikon\Message Center\DOWNLOAD_LOG\12397\S-P2____-164WU-EURFR.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\antivir_workstation_win7u_en_h.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\ComboFix.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\HJTInstall.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\rustbfix.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\SDFix.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\catchme.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\diff.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\dumphive.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\FilesInfoCmd.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\find2.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\Fport.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\grep.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\gzip.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\KProcCheck.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\LFiles.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\LISTDLLS.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\md5sums.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\pslist.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\sigcheck.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\streams.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\swreg.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\tar.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\OpenOffice.org 2.2 Installation Files\instmsia.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\OpenOffice.org 2.2 Installation Files\instmsiw.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\OpenOffice.org 2.2 Installation Files\setup.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\AUTOSET.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\DOS4GW.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\SETUP.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\DOSSETUP\DOS4GW.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\DOSSETUP\SETUP.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\DOSSETUP\SOUND\SETSOUND.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\HOSP\DOS4GW.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\HOSP\HOSPITAL.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\HOSP\WINMAIN.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\HOSP\SOUND\DOS4GW.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\HOSP\SOUND\MSSW95.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\HOSP\SOUND\SETSOUND.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\HOSP\SOUND\MIDI\MIDIFORM.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\REDIST\INSTDX.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\REDIST\DIRECTX\DDHELP.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\REDIST\DIRECTX\DXSETUP.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\REDIST\DIRECTX\DRVSNEC\DISPLAY\BIN\NECGMMUT.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\_ISDEL.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\SETUP.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\ENGLISH\_ISDEL.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\ENGLISH\SETUP.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\ENGLISH\UNINST.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\FRENCH\_ISDEL.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\FRENCH\SETUP.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\FRENCH\UNINST.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\GERMAN\_ISDEL.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\GERMAN\SETUP.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\GERMAN\UNINST.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\ITALIAN\_ISDEL.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\ITALIAN\SETUP.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\ITALIAN\UNINST.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\SPANISH\_ISDEL.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\SPANISH\UNINST.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\SWEDISH\_ISDEL.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\SWEDISH\SETUP.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\SWEDISH\UNINST.EXE c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll ****** Fin du rapport DiagHelp Veuillez svp envoyer le fichier C:\upload_moi_YDXTGXDX-D945ED.tar.gz a l'adresse http://upload.malekal.com

Pas de doc "Avenger"... mais un Avenger.exe Concernant les executables poker, ils ne sont pas venus à travers des malwares. Winamax et Everestpoker sont des sites officiels de poker... Ci-dessous, les trois rapports. Rapport SDFix ************************* Rustock.b-fix v. 1.01 -- By ejvindh ************************* jeu. 06/12/2007 0:10:54,01 No Rustock.b-rootkits found ******************************* End of Logfile ******************************** Rapport SDFix SDFix: Version 1.117 Run by xcfgdxfgxf on jeu. 06/12/2007 at 00:28 Microsoft Windows XP [version 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Name: kcp Path: \??\C:\WINDOWS\system32\drivers\kcp.sys kcp - Deleted Infected Winlogon.exe Found! Winlogon File Locations: "C:\WINDOWS\system32\winlogon.exe" 506880 03/12/2007 22:17 "C:\WINDOWS\system32\dllcache\winlogon.exe" 506880 03/12/2007 22:17 Modified Files Are Listed Below: C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\dllcache\winlogon.exe Note: SDFix Does Not Repair This File! Restoring Windows Registry Values Restoring Windows Default Hosts File Rapport Combofix ComboFix 07-12-02.6 - xcfgdxfgxf 2007-12-06 0:35:48.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.77 [GMT 1:00] Running from: C:\Documents and Settings\xcfgdxfgxf\Bureau\ComboFix.exe * Created a new restore point . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\6_exception.nls C:\WINDOWS\system32\drivers\runtime2.sys C:\wsusupd.exe . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_RUNTIME -------\LEGACY_RUNTIME2 -------\poof ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-05 to 2007-12-05 )))))))))))))))))))))))))))))))))))) . 2007-12-06 00:27 . 2007-12-06 00:27 <REP> d-------- C:\WINDOWS\ERUNT 2007-12-06 00:20 . 2007-12-06 00:31 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2007-12-06 00:20 . 2007-12-06 00:20 1,409 --a------ C:\WINDOWS\QTFont.for 2007-12-06 00:03 . 2007-12-06 00:11 <REP> d-------- C:\Rustbfix 2007-12-05 00:45 . 2007-12-05 00:45 <REP> d--h----- C:\WINDOWS\$hf_mig$ 2007-12-05 00:45 . 2005-02-25 04:35 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe 2007-12-05 00:35 . 2007-12-05 00:35 1,774,110 --a------ C:\upload_moi_YDXTGXDX-D945ED.tar.gz 2007-12-04 21:41 . 2007-12-04 21:41 <REP> d-------- C:\Program Files\Trend Micro 2007-12-03 22:24 . 2007-12-04 19:47 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira 2007-11-27 00:17 . 2007-11-27 00:17 <REP> d-------- C:\Downloads 2007-11-27 00:17 . 2007-11-27 23:44 <REP> d-------- C:\Documents and Settings\xcfgdxfgxf\Application Data\GetRightToGo 2007-11-21 18:17 . 2007-11-21 18:17 153 --a------ C:\WINDOWS\system32\delFSF.bat 2007-11-21 14:44 . 2007-11-21 14:44 58,368 --a------ C:\dbtmuceo.exe 2007-11-21 14:44 . 2007-11-21 14:44 53,248 --a------ C:\WINDOWS\system32\oleauth32.dll 2007-11-21 14:44 . 2007-11-21 14:44 53,248 --a------ C:\WINDOWS\system32\mstscex.dll 2007-11-21 14:44 . 2007-11-21 14:44 27,947 --a------ C:\cgqftqvj.exe 2007-11-21 14:44 . 2007-11-21 14:44 20,992 --a------ C:\jstnq.exe 2007-11-21 14:44 . 2007-11-21 14:45 2 --a------ C:\1478739929 2007-11-16 23:09 . 2007-11-16 23:13 39 --a------ C:\WINDOWS\BELOTEXP.INI 2007-11-16 23:06 . 2007-11-16 23:08 <REP> d-------- C:\Program Files\Ludiclub 2007-11-16 23:06 . 2004-03-08 23:00 260,880 --a------ C:\WINDOWS\system32\MSFLXGRD.OCX 2007-11-16 23:06 . 2004-03-08 23:00 212,240 --a------ C:\WINDOWS\system32\RICHTX32.OCX 2007-11-16 23:06 . 1998-12-02 08:11 143,360 --a------ C:\WINDOWS\system32\fsuz.dll 2007-11-16 23:06 . 2004-03-08 23:00 132,880 --a------ C:\WINDOWS\system32\MSINET.OCX 2007-11-16 23:06 . 2003-09-25 09:00 107,560 --a------ C:\WINDOWS\system32\CSWSK32.OCX 2007-11-16 23:06 . 1996-08-05 11:00 92,160 -ra------ C:\WINDOWS\system32\grid32.ocx 2007-11-16 23:06 . 2006-10-22 14:25 81,920 --a------ C:\WINDOWS\system32\GkSui20.EXE 2007-11-16 23:06 . 2002-03-13 15:46 53,248 --a------ C:\WINDOWS\system32\zlib.dll 2007-11-05 19:51 . 2007-11-17 23:09 <REP> d-------- C:\Program Files\WinamaxPoker . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-04 23:52 --------- d-----w C:\Program Files\Norton Utilities 2007-11-27 18:27 --------- d-----w C:\Program Files\eMule 2007-11-21 13:44 --------- d-----w C:\Program Files\Winamp 2007-11-10 15:15 20 ---h--w C:\Documents and Settings\All Users\Application Data\PKP_DLec.DAT 2007-11-02 23:23 --------- d-----w C:\Program Files\Everest Poker 2007-11-01 15:40 --------- d-----w C:\Program Files\OpenOffice.org 2.2 2007-11-01 15:39 --------- d-----w C:\Documents and Settings\xcfgdxfgxf\Application Data\OpenOffice.org2 2007-10-12 20:32 --------- d-----w C:\Documents and Settings\xcfgdxfgxf\Application Data\Samsung 2007-10-12 20:22 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-10-12 20:14 --------- d-----w C:\Program Files\Samsung . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:54] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Smapp"="C:\Program Files\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 07:57] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50] "RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 19:24] "CloneCDElbyCDFL"="C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" [2001-12-06 13:09] "GhostStartTrayApp"="C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe" [2002-08-19 10:58] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 05:24] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-09-26 13:42] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{ED0ACB58-556F-21DA-DDFE-6D20F3F61111}"= C:\WINDOWS\system32\kb1ss1p.dll [2007-11-02 15:11 40960] R1 GhPciScan;GhostPciScanner;\??\C:\Program Files\Symantec\Norton Ghost 2003\ghpciscan.sys R3 NPDriver;Norton Unerase Protection Driver;\??\C:\WINDOWS\system32\Drivers\NPDRIVER.SYS S1 kcp;kcp;\??\C:\WINDOWS\system32\drivers\kcp.sys S3 USBAAPL;Apple Mobile USB Driver;C:\WINDOWS\system32\Drivers\usbaapl.sys . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2007-10-15 19:48:50 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1041618681.job" . ************************************************************************** catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-06 00:38:07 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-12-06 0:38:56 - machine was rebooted . --- E O F ---

Rapport HJT Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 0:15:48, on 5/12/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Analog Devices\SoundMAX\SMTray.exe C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Norton Utilities\NPROTECT.EXE C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\Program Files\Speed Disk\nopdb.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Program Files\Nikon\PictureProject\NkbMonitor.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\WINDOWS\system32\services.exe C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypix.com/importer/ImageUploader4.cab O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton Utilities\NPROTECT.EXE O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Pacsptisvr.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\Program Files\Speed Disk\nopdb.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Sptisrv.exe -- End of file - 4895 bytes Rapport DiagHelp DiagHelp version v1.4 - http://www.malekal.com excute le mer. 05/12/2007 à 0:33:14,51 Liste des derniers fichies modifies/crees dans windir\system32 et prefetch C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->5/12/2007 0:33:05 C:\WINDOWS\prefetch\CHCP.COM-18156052.pf -->5/12/2007 0:33:02 C:\WINDOWS\prefetch\NOTEPAD.EXE-336351A9.pf -->5/12/2007 0:32:49 C:\WINDOWS\prefetch\QTTASK.EXE-342507FB.pf -->5/12/2007 0:29:49 C:\WINDOWS\prefetch\IEXPLORE.EXE-27122324.pf -->5/12/2007 0:23:53 C:\WINDOWS\prefetch\NTVDM.EXE-1A10A423.pf -->5/12/2007 0:23:09 C:\WINDOWS\prefetch\GZIP.EXE-116653D3.pf -->5/12/2007 0:23:00 C:\WINDOWS\prefetch\SORT.EXE-194AE83C.pf -->5/12/2007 0:22:58 C:\WINDOWS\prefetch\REG.EXE-0D2A95F7.pf -->5/12/2007 0:22:56 C:\WINDOWS\prefetch\KPROCCHECK.EXE-0AD48A9E.pf -->5/12/2007 0:22:56 C:\WINDOWS\System32\drivers\usbaapl.sys -->4/09/2007 18:04:34 C:\WINDOWS\System32\drivers\GEARAspiWDM.sys -->19/09/2006 13:44:04 C:\WINDOWS\System32\drivers\StarOpen.sys -->24/07/2006 15:05:00 C:\WINDOWS\System32\drivers\ssm_mdm.sys -->30/08/2005 0:49:38 C:\WINDOWS\System32\drivers\ssm_mdfl.sys -->30/08/2005 0:49:34 C:\WINDOWS\System32\drivers\ssm_cmnt.sys -->30/08/2005 0:49:28 C:\WINDOWS\System32\drivers\ssm_cm.sys -->30/08/2005 0:49:28 C:\WINDOWS\System32\winlogon.exe -->3/12/2007 22:17:42 C:\WINDOWS\System32\wpa.dbl -->3/12/2007 13:33:37 C:\WINDOWS\System32\xpdx.sys -->27/11/2007 9:57:26 C:\WINDOWS\System32\delFSF.bat -->21/11/2007 18:17:15 C:\WINDOWS\System32\6_exception.nls -->21/11/2007 14:44:55 C:\WINDOWS\System32\mstscex.dll -->21/11/2007 14:44:36 C:\WINDOWS\System32\oleauth32.dll -->21/11/2007 14:44:34 C:\WINDOWS\System32\kb1ss1p.dll -->2/11/2007 15:11:24 C:\WINDOWS\System32\kb1ss1p.sys -->2/11/2007 15:11:21 C:\WINDOWS\System32\FNTCACHE.DAT -->2/11/2007 11:41:33 C:\WINDOWS\System32\perfh00C.dat -->28/10/2007 12:58:05 C:\WINDOWS\System32\perfh009.dat -->28/10/2007 12:58:05 C:\WINDOWS\System32\perfc00C.dat -->28/10/2007 12:58:05 C:\WINDOWS\System32\perfc009.dat -->28/10/2007 12:58:05 C:\WINDOWS\System32\PerfStringBackup.INI -->28/10/2007 12:58:04 C:\WINDOWS\System32\rsbo.exe -->24/10/2007 9:42:09 C:\WINDOWS\System32\wuaucpl.cpl.mui -->30/07/2007 19:20:06 C:\WINDOWS\System32\wuapi.dll.mui -->30/07/2007 19:19:52 C:\WINDOWS\System32\wuaueng.dll -->30/07/2007 19:19:42 C:\WINDOWS\System32\wuapi.dll -->30/07/2007 19:19:36 C:\WINDOWS\System32\wucltui.dll -->30/07/2007 19:19:32 C:\WINDOWS\System32\wuweb.dll -->30/07/2007 19:19:28 C:\WINDOWS\System32\wuaucpl.cpl -->30/07/2007 19:19:28 C:\WINDOWS\System32\cdm.dll -->30/07/2007 19:19:20 C:\WINDOWS\System32\wuauclt.exe -->30/07/2007 19:19:16 C:\WINDOWS\WindowsUpdate.log -->5/12/2007 0:31:56 C:\WINDOWS\setupapi.log -->4/12/2007 19:55:40 C:\WINDOWS\wiadebug.log -->4/12/2007 19:51:30 C:\WINDOWS.log -->4/12/2007 19:48:40 C:\WINDOWS\wiaservc.log -->4/12/2007 19:47:31 C:\WINDOWS\bootstat.dat -->4/12/2007 19:47:09 C:\WINDOWS\ntbtlog.txt -->4/12/2007 19:46:43 C:\WINDOWS\SchedLgU.Txt -->4/12/2007 19:13:43 C:\WINDOWS\winamp.ini -->4/12/2007 18:05:45 C:\WINDOWS\setupact.log -->4/12/2007 0:07:49 C:\WINDOWS\NeroDigital.ini -->26/11/2007 19:37:23 C:\WINDOWS\BELOTEXP.INI -->16/11/2007 23:13:36 C:\WINDOWS\IE4 Error Log.txt -->30/10/2007 11:47:07 C:\WINDOWS\wmsetup.log -->12/10/2007 21:15:30 C:\WINDOWS\WMSysPr9.prx -->12/10/2007 21:15:29 winlogon.exe Verified: Unsigned svchost.exe Verified: Signed ws2_32.dll Verified: Signed user32.dll Verified: Signed tcpip.sys Verified: Signed ndis.sys Verified: Signed null.sys Verified: Signed ListDLLs v2.25 - DLL lister for Win9x/NT Copyright © 1997-2004 Mark Russinovich Sysinternals - www.sysinternals.com ------------------------------------------------------------------------------ explorer.exe pid: 1636 Command line: C:\WINDOWS\Explorer.EXE Base Size Version Path 0x6bd00000 0xd000 0.01.0002.0003 C:\WINDOWS\system32\SYNCOR11.DLL 0x76f80000 0x7f000 2001.12.4414.0258 C:\WINDOWS\system32\CLBCATQ.DLL 0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll 0x10000000 0x1b000 C:\WINDOWS\system32\kb1ss1p.dll 0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL 0x7d200000 0x2b2000 3.00.3790.2180 C:\WINDOWS\system32\msi.dll 0x01d00000 0x5b000 8.01.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll 0x78130000 0x9b000 8.00.50727.0762 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\MSVCR80.dll 0x01fa0000 0x4c000 8.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA 0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll 0x01d60000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll 0x01de0000 0x2b000 C:\Program Files\WinRAR\rarext.dll 0x00b60000 0x10000 8.00.0000.0456 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll 0x325c0000 0x12000 11.00.5510.0000 C:\Program Files\Microsoft Office\OFFICE11\msohev.dll ListDLLs v2.25 - DLL lister for Win9x/NT Copyright © 1997-2004 Mark Russinovich Sysinternals - www.sysinternals.com ------------------------------------------------------------------------------ winlogon.exe pid: 640 Command line: winlogon.exe Base Size Version Path 0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe 0x10000000 0xe000 C:\WINDOWS\system32\mstscex.dll 0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll 0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll 0x6bd00000 0xd000 0.01.0002.0003 C:\WINDOWS\system32\SYNCOR11.DLL 0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll 0x76f80000 0x7f000 2001.12.4414.0258 C:\WINDOWS\system32\CLBCATQ.DLL 0x76010000 0x65000 6.02.3104.0000 C:\WINDOWS\system32\MSVCP60.dll Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 5823-C7D9 Répertoire de C:\WINDOWS\temp 04/12/2007 19:47 20.480 startdrv.exe 1 fichier(s) 20.480 octets 0 Rép(s) 7.304.171.520 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 5823-C7D9 Répertoire de C:\WINDOWS\system 14/08/2002 14:03 4.672 WOWPOST.EXE 1 fichier(s) 4.672 octets 0 Rép(s) 7.304.171.520 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 5823-C7D9 Répertoire de C:\WINDOWS\system32 03/08/2004 23:54 6.144 csrss.exe 1 fichier(s) 6.144 octets 0 Rép(s) 7.304.171.520 octets libres Contenu de Downloaded Program Files Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 5823-C7D9 Répertoire de C:\WINDOWS\Downloaded Program Files 10/11/2007 16:45 <REP> . 10/11/2007 16:45 <REP> .. 14/07/2005 08:54 65 desktop.ini 23/03/2007 12:17 1.292 erma.inf 12/09/2007 14:14 378 ImageUploader4.inf 12/09/2007 14:16 2.635.312 ImageUploader4.ocx 14/02/2007 15:30 144 setup.inf 11/06/2007 12:21 5.021 swflash.inf 6 fichier(s) 2.642.212 octets Total des fichiers listés : 6 fichier(s) 2.642.212 octets 2 Rép(s) 7.304.171.520 octets libres Recherche de rootkit! (Merci S!Ri) Runtime2 présent! Possible infection Trojan.Keylogger.iOpus.A/Troj/SpyAge-B/Win32/Cutwail.M, l'utilisation de SDFix est recommande C:\WINDOWS\temp\startdrv.exe existe : possible précense rootkit runtime.sys/runtime2.sys Recherche d'infections connues Export des clefs sensibles.. Liste des fichiers en exception sur le pare-feu XP SP2 "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger" "C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule" "C:\\Program Files\\Microsoft Office\\OFFICE11\\WINWORD.EXE"="C:\\Program Files\\Microsoft Office\\OFFICE11\\WINWORD.EXE:*:Enabled:Microsoft Office Word" "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" "C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes" "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1" "C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" Export de la clef SharedTaskScheduler [sharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant" exports des policies REGEDIT4 [system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 Export des clefs sensibles.. Rechercher adresses sensibles dans le fichier HOSTS... catchme 0.3.1319 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-05 00:34:28 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\runtime2.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\runtime2.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\runtime2] "ImagePath"="\SystemRoot\system32\drivers\runtime2.sys" "Type"=dword:00000001 "ErrorControl"=dword:00000001 "Start"=dword:00000001 "DependOnGroup"="File System" @="" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\runtime2.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\runtime2.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\runtime2] "ImagePath"="\SystemRoot\system32\drivers\runtime2.sys" "Type"=dword:00000001 "ErrorControl"=dword:00000001 "Start"=dword:00000001 "DependOnGroup"="File System" scanning hidden registry entries ... [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "startdrv"="C:\WINDOWS\Temp\startdrv.exe" scanning hidden files ... C:\WINDOWS\system32\drivers\runtime2.sys 34816 bytes executable scan completed successfully hidden services: 1 hidden files: 1 KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg) Process list by traversal of KiWaitListHead 4 - System 584 - ctfmon.exe 616 - csrss.exe 640 - winlogon.exe 688 - services.exe 700 - lsass.exe 868 - svchost.exe 936 - svchost.exe 972 - hpohmr08.exe 1032 - svchost.exe 1172 - svchost.exe 1220 - NkbMonitor.exe 1244 - svchost.exe 1492 - IEXPLORE.EXE 1636 - explorer.exe 1880 - AppleMobileDevi 1984 - MDM.EXE 2008 - NPROTECT.EXE 2236 - hpoevm08.exe 3600 - services.exe 4820 - IEXPLORE.EXE 5948 - cmd.exe Total number of processes = 22 NOTE: Under WinXP, this will not show all processes. KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg) Driver/Module list by traversal of PsLoadedModuleList 804D7000 - \WINDOWS\system32\ntoskrnl.exe 806EC000 - \WINDOWS\system32\hal.dll F9F32000 - \WINDOWS\system32\KDCOM.DLL F9E42000 - \WINDOWS\system32\BOOTVID.dll F99E2000 - ACPI.sys F9F34000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS F99D1000 - pci.sys F9A32000 - isapnp.sys F9F36000 - viaide.sys F9CB2000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS F9A42000 - MountMgr.sys F99B2000 - ftdisk.sys F9F38000 - dmload.sys F998C000 - dmio.sys F9CBA000 - PartMgr.sys F9A52000 - VolSnap.sys F9974000 - atapi.sys F9A62000 - disk.sys F9A72000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS F9955000 - fltMgr.sys F9943000 - sr.sys F992C000 - KSecDD.sys F989F000 - Ntfs.sys F9872000 - NDIS.sys F9A82000 - uagp35.sys F9CC2000 - viaagp1.sys F9857000 - Mup.sys F9BE2000 - \SystemRoot\system32\DRIVERS\amdk7.sys F953E000 - \SystemRoot\system32\DRIVERS\ati2mtag.sys F952A000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS F9D6A000 - \SystemRoot\system32\DRIVERS\usbuhci.sys F9507000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS F9D72000 - \SystemRoot\system32\DRIVERS\usbehci.sys F9BF2000 - \SystemRoot\system32\DRIVERS\imapi.sys F9C02000 - \SystemRoot\System32\Drivers\AFS2K.SYS FA15D000 - \SystemRoot\System32\Drivers\ElbyDelay.sys F9F48000 - \SystemRoot\System32\Drivers\ElbyCDFL.sys F9C12000 - \SystemRoot\system32\DRIVERS\cdrom.sys F9C22000 - \SystemRoot\system32\DRIVERS\redbook.sys F94E4000 - \SystemRoot\system32\DRIVERS\ks.sys F9D7A000 - \SystemRoot\System32\Drivers\GEARAspiWDM.sys F9456000 - \SystemRoot\system32\drivers\smwdm.sys F9432000 - \SystemRoot\system32\drivers\portcls.sys F9C32000 - \SystemRoot\system32\drivers\drmk.sys F9F4A000 - \SystemRoot\system32\drivers\aeaudio.sys F9C42000 - \SystemRoot\system32\DRIVERS\fetnd5b.sys F9D82000 - \SystemRoot\system32\DRIVERS\fdc.sys F9421000 - \SystemRoot\system32\DRIVERS\serial.sys F9EC6000 - \SystemRoot\system32\DRIVERS\serenum.sys F940D000 - \SystemRoot\system32\DRIVERS\parport.sys F9C52000 - \SystemRoot\system32\DRIVERS\i8042prt.sys F9D8A000 - \SystemRoot\system32\DRIVERS\mouclass.sys F9D92000 - \SystemRoot\system32\DRIVERS\kbdclass.sys F9ECA000 - \SystemRoot\system32\DRIVERS\gameenum.sys FA160000 - \SystemRoot\system32\DRIVERS\audstub.sys F9C62000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys F9ECE000 - \SystemRoot\system32\DRIVERS\ndistapi.sys F93F6000 - \SystemRoot\system32\DRIVERS\ndiswan.sys F9C72000 - \SystemRoot\system32\DRIVERS\raspppoe.sys F9C82000 - \SystemRoot\system32\DRIVERS\raspptp.sys F9D9A000 - \SystemRoot\system32\DRIVERS\TDI.SYS F93E5000 - \SystemRoot\system32\DRIVERS\psched.sys F9C92000 - \SystemRoot\system32\DRIVERS\msgpc.sys F9DA2000 - \SystemRoot\system32\DRIVERS\ptilink.sys F9DAA000 - \SystemRoot\system32\DRIVERS\raspti.sys F93B4000 - \SystemRoot\system32\DRIVERS\rdpdr.sys F9CA2000 - \SystemRoot\system32\DRIVERS\termdd.sys F9F4C000 - \SystemRoot\system32\DRIVERS\swenum.sys F92E0000 - \SystemRoot\system32\DRIVERS\update.sys F9EEA000 - \SystemRoot\system32\DRIVERS\mssmbios.sys F9AD2000 - \SystemRoot\System32\Drivers\NDProxy.SYS F9AE2000 - \SystemRoot\system32\DRIVERS\usbhub.sys F9F4E000 - \SystemRoot\system32\DRIVERS\USBD.SYS F9DB2000 - \SystemRoot\system32\DRIVERS\flpydisk.sys F9F50000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS FA17F000 - \SystemRoot\System32\Drivers\Null.SYS F9F52000 - \SystemRoot\System32\Drivers\Beep.SYS F9DCA000 - \??\C:\Program Files\Symantec\Norton Ghost 2003\ghpciscan.sys F9B02000 - \??\C:\WINDOWS\system32\xpdx.sys F9DD2000 - \SystemRoot\System32\drivers\vga.sys F9F54000 - \SystemRoot\System32\Drivers\mnmdd.SYS F9F56000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys F9DDA000 - \SystemRoot\System32\Drivers\Msfs.SYS F9DE2000 - \SystemRoot\System32\Drivers\Npfs.SYS F9F22000 - \SystemRoot\system32\DRIVERS\rasacd.sys B6F7D000 - \SystemRoot\system32\DRIVERS\ipsec.sys B6F25000 - \SystemRoot\system32\DRIVERS\tcpip.sys B6EFD000 - \SystemRoot\system32\DRIVERS\netbt.sys B6EDB000 - \SystemRoot\System32\drivers\afd.sys F9B12000 - \SystemRoot\system32\DRIVERS\netbios.sys F9DEA000 - \SystemRoot\System32\Drivers\StarOpen.SYS F9B22000 - \SystemRoot\system32\drivers\runtime2.sys B6EAF000 - \SystemRoot\system32\DRIVERS\rdbss.sys B6E40000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys F9B32000 - \SystemRoot\System32\Drivers\Fips.SYS B6E1F000 - \SystemRoot\system32\DRIVERS\ipnat.sys F9B42000 - \SystemRoot\system32\DRIVERS\wanarp.sys F9B62000 - \SystemRoot\System32\Drivers\Cdfs.SYS B6D3F000 - \SystemRoot\System32\Drivers\dump_atapi.sys F9F5A000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS BF800000 - \SystemRoot\System32\win32k.sys F9E2A000 - \SystemRoot\System32\watchdog.sys B6FE4000 - \SystemRoot\System32\drivers\Dxapi.sys BF9C1000 - \SystemRoot\System32\drivers\dxg.sys FA09A000 - \SystemRoot\System32\drivers\dxgthk.sys BF9D3000 - \SystemRoot\System32\ati2dvag.dll BFA09000 - \SystemRoot\System32\ati2cqag.dll BFA41000 - \SystemRoot\System32\ati3duag.dll BFC0F000 - \SystemRoot\System32\ativvaxx.dll B6C2B000 - \SystemRoot\system32\DRIVERS\ndisuio.sys B68F2000 - \SystemRoot\system32\drivers\wdmaud.sys B6D8F000 - \SystemRoot\system32\drivers\sysaudio.sys B6708000 - \SystemRoot\system32\DRIVERS\mrxdav.sys F9FD2000 - \SystemRoot\System32\Drivers\ParVdm.SYS B69EB000 - \SystemRoot\System32\Drivers\Aspi32.SYS B69E7000 - \SystemRoot\System32\Drivers\ElbyCDIO.sys B659D000 - \SystemRoot\system32\DRIVERS\srv.sys BFFA0000 - \SystemRoot\System32\ATMFD.DLL B637D000 - \??\C:\Program Files\Symantec\SYMEVENT.SYS B65F0000 - \??\C:\WINDOWS\system32\Drivers\NPDRIVER.SYS B60FC000 - \SystemRoot\System32\Drivers\HTTP.sys FA09D000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys B5E76000 - \SystemRoot\system32\drivers\kmixer.sys Total number of drivers = 123 Liste des programmes installes -(/'|'\)- DivX 5.0.5 Pro Video Codec -(/'|'\)- -(/'|'\)- DivX Codec 3.11a Codec -(/'|'\)- 3ivx D4 4.0.4 (remove only) ACDSee (version d’évaluation) Adobe Photoshop CS Adobe Reader 8.1.1 - Français Adobe Shockwave Player Apple Mobile Device Support Apple Software Update Archiveur WinRAR ArcSoft Panorama Maker 3 BMW M3 Challenge CloneCD CloneDVD2 Disque de souvenirs HP DVD Shrink 3.1.7 eMule Everest Poker (Remove Only) HijackThis 2.0.2 hp psc 1100 series igLoader InterActual Player iTunes LiveReg (Symantec Corporation) LiveUpdate 1.80 (Symantec Corporation) Ludiclub.com Microsoft Office Professional Edition 2003 MSXML 4.0 SP2 Parser and SDK Nero 6 Enterprise Edition Nikon FotoShare Nikon Message Center Norton Ghost Norton Speed Disk 6.0 pour Windows NT Norton Utilities 2002 pour Windows OpenMG Limited Patch 3.4-04-17-06-01 OpenMG Secure Module 3.4.01 Photo et imagerie HP 2.0 - All-in-One Photo et imagerie HP 2.0 - All-in-One Pilote Photo et imagerie HP 2.0 - hp psc 1100 series PictureProject PowerDVD QuickTime SAMSUNG CDMA Modem Driver Set SAMSUNG Mobile Composite Device Software Samsung Mobile phone USB driver Software SAMSUNG Mobile USB Modem 1.0 Software SAMSUNG Mobile USB Modem Software Samsung PC Studio 3 Samsung PC Studio 3 Samsung PC Studio 3 USB Driver Installer Samsung Samples Installer SonicStage 2.0.06 SoundMAX Theme Hospital WebFldrs XP Winamax Poker (remove only) Winamp (remove only) Windows Live Messenger Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 5823-C7D9 Répertoire de C:\Program Files 05/12/2007 00:20 <REP> . 05/12/2007 00:20 <REP> .. 14/07/2005 07:08 <REP> 3ivx 14/07/2005 07:04 <REP> ACD Systems 11/08/2007 11:32 <REP> Adobe 14/07/2005 07:06 <REP> Ahead 14/07/2005 06:11 <REP> Analog Devices 01/10/2007 15:13 <REP> Apple Software Update 17/09/2007 22:02 <REP> ArcSoft 18/09/2007 19:50 <REP> Bullfrog 14/07/2005 05:46 <REP> ComPlus Applications 14/07/2005 07:12 <REP> CyberLink 14/07/2005 07:05 <REP> DVD Shrink 14/07/2005 07:28 <REP> Elaborate Bytes 27/11/2007 19:27 <REP> eMule 03/11/2007 00:23 <REP> Everest Poker 17/09/2007 22:03 <REP> Fichiers communs 01/10/2007 11:23 <REP> Google 03/01/2003 19:29 <REP> Hewlett-Packard 08/09/2007 08:28 <REP> InterActual 14/07/2005 05:49 <REP> Internet Explorer 01/10/2007 20:52 <REP> iPod 01/10/2007 20:52 <REP> iTunes 16/11/2007 23:08 <REP> Ludiclub 14/07/2005 08:52 <REP> Messenger 14/07/2005 05:50 <REP> microsoft frontpage 14/07/2005 07:41 <REP> Microsoft Office 14/07/2005 07:41 <REP> Microsoft Visual Studio 14/07/2005 07:41 <REP> Microsoft Works 14/07/2005 07:42 <REP> Microsoft.NET 14/07/2005 05:47 <REP> Movie Maker 14/07/2005 05:45 <REP> MSN 14/07/2005 05:46 <REP> MSN Gaming Zone 13/08/2007 20:47 <REP> MSN Messenger 18/09/2007 22:23 <REP> MSXML 4.0 14/07/2005 07:05 <REP> MUSK Codec Pack v3 14/07/2005 05:48 <REP> NetMeeting 17/09/2007 22:03 <REP> Nikon 25/11/2007 23:12 <REP> Norton Utilities 14/07/2005 05:46 <REP> Online Services 01/11/2007 16:40 <REP> OpenOffice.org 2.2 14/07/2005 05:48 <REP> Outlook Express 11/08/2007 11:28 <REP> PDF Editeur 2 13/08/2007 21:11 <REP> QuickTime 12/10/2007 21:14 <REP> Samsung 14/07/2005 05:48 <REP> Services en ligne 04/09/2007 07:35 <REP> Sony 04/09/2007 07:35 <REP> Sony Corporation 14/07/2005 06:06 <REP> Speed Disk 14/07/2005 07:30 <REP> Symantec 04/12/2007 21:41 <REP> Trend Micro 17/11/2007 23:09 <REP> WinamaxPoker 21/11/2007 14:44 <REP> Winamp 17/08/2007 21:07 <REP> WinAVI MP4 Converter 14/07/2005 05:50 <REP> Windows Media Player 14/07/2005 05:46 <REP> Windows NT 14/07/2005 06:04 <REP> WinRAR 14/07/2005 05:50 <REP> xerox 0 fichier(s) 0 octets 58 Rép(s) 7.299.293.184 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 5823-C7D9 Répertoire de C:\Program Files\fichiers communs 17/09/2007 22:03 <REP> . 17/09/2007 22:03 <REP> .. 11/08/2007 11:32 <REP> Adobe 14/07/2005 07:06 <REP> Ahead 13/08/2007 21:09 <REP> Apple 14/07/2005 07:41 <REP> DESIGNER 03/01/2003 19:27 <REP> Hewlett-Packard 14/07/2005 07:09 <REP> InstallShield 13/08/2007 21:52 <REP> Microsoft Shared 14/07/2005 05:48 <REP> MSSoap 17/09/2007 22:03 <REP> muvee Technologies 18/09/2007 22:14 <REP> Nikon 14/07/2005 07:34 <REP> ODBC 21/08/2003 02:58 <REP> Real 14/07/2005 05:48 <REP> Services 04/09/2007 07:35 <REP> Sony Shared 14/07/2005 07:34 <REP> SpeechEngines 14/07/2005 07:30 <REP> Symantec Shared 14/07/2005 07:41 <REP> System 14/07/2005 07:10 <REP> Vbox 0 fichier(s) 0 octets 20 Rép(s) 7.299.293.184 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 5823-C7D9 Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders 14/07/2005 07:41 <REP> . 14/07/2005 07:41 <REP> .. 14/07/2005 07:41 <REP> 1033 14/07/2005 07:41 <REP> 1036 11/07/2003 09:15 1.292.872 MSONSEXT.DLL 15/07/2003 05:52 35.896 MSOSV.DLL 03/06/1999 11:09 122.937 MSOWS409.DLL 07/03/2001 06:00 127.033 MSOWS40c.DLL 11/07/2003 01:25 80.448 PKMWS.DLL 5 fichier(s) 1.659.186 octets 4 Rép(s) 7.299.293.184 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 5823-C7D9 Répertoire de C:\ 21/11/2007 14:44 27.947 cgqftqvj.exe 21/11/2007 14:44 58.368 dbtmuceo.exe 21/11/2007 14:44 20.992 jstnq.exe 3 fichier(s) 107.307 octets 0 Rép(s) 7.299.289.088 octets libres Le volume dans le lecteur C n'a pas de nom. Le numéro de série du volume est 5823-C7D9 Répertoire de C:\ c:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 7.4.3.1\iTunesSetupAdmin.exe c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\aspiinst.exe c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\CMDS.EXE c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\CMDS16.EXE c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\E.EXE c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\GUEST.EXE c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\MSCDEX.EXE c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\Net.exe c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\OHCI.EXE c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\PROTMAN.EXE c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\common\UHCI.EXE c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\Xircom CBE10-100BTX\Cbendis.exe c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\Xircom Ethernet 10-100 + Modem\Cbendis.exe c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\Xircom Ethernet II PS\Xpsndis.exe c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\Xircom PE3-10Bx\Pe3ndis.exe c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\Xircom Re-100Btx + Ce3B-100Btx\Ce3ndis.exe c:\Documents and Settings\All Users\Application Data\Symantec\Ghost\Template\Xircom RE10BT\Ce3ndis.exe c:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\74OUVM6U\iTunesSetupAdmin[1].exe c:\Documents and Settings\xcfgdxfgxf\Application Data\Nikon\Message Center\DOWNLOAD_LOG\12397\S-P2____-164WU-EURFR.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\antivir_workstation_win7u_en_h.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\HJTInstall.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\catchme.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\diff.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\dumphive.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\FilesInfoCmd.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\find2.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\Fport.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\grep.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\gzip.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\KProcCheck.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\LFiles.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\LISTDLLS.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\md5sums.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\pslist.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\sigcheck.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\streams.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\swreg.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\DiagHelp\tar.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\OpenOffice.org 2.2 Installation Files\instmsia.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\OpenOffice.org 2.2 Installation Files\instmsiw.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\OpenOffice.org 2.2 Installation Files\setup.exe c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\AUTOSET.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\DOS4GW.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\SETUP.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\DOSSETUP\DOS4GW.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\DOSSETUP\SETUP.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\DOSSETUP\SOUND\SETSOUND.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\HOSP\DOS4GW.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\HOSP\HOSPITAL.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\HOSP\WINMAIN.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\HOSP\SOUND\DOS4GW.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\HOSP\SOUND\MSSW95.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\HOSP\SOUND\SETSOUND.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\HOSP\SOUND\MIDI\MIDIFORM.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\REDIST\INSTDX.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\REDIST\DIRECTX\DDHELP.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\REDIST\DIRECTX\DXSETUP.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\REDIST\DIRECTX\DRVSNEC\DISPLAY\BIN\NECGMMUT.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\_ISDEL.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\SETUP.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\ENGLISH\_ISDEL.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\ENGLISH\SETUP.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\ENGLISH\UNINST.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\FRENCH\_ISDEL.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\FRENCH\SETUP.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\FRENCH\UNINST.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\GERMAN\_ISDEL.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\GERMAN\SETUP.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\GERMAN\UNINST.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\ITALIAN\_ISDEL.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\ITALIAN\SETUP.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\ITALIAN\UNINST.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\SPANISH\_ISDEL.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\SPANISH\UNINST.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\SWEDISH\_ISDEL.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\SWEDISH\SETUP.EXE c:\Documents and Settings\xcfgdxfgxf\Bureau\theme\WINSETUP\SWEDISH\UNINST.EXE c:\Documents and Settings\xcfgdxfgxf\Local Settings\Temp\141353.exe c:\Documents and Settings\xcfgdxfgxf\Local Settings\Temp\bye85.tmp\Disk1\setup.exe c:\Documents and Settings\xcfgdxfgxf\Local Settings\Temp\Nikon\MessageCenter\mca_setup_10.exe c:\Documents and Settings\xcfgdxfgxf\Local Settings\Temp\pftB~tmp\_ISDel.exe c:\Documents and Settings\xcfgdxfgxf\Local Settings\Temp\pftB~tmp\Setup.exe c:\Documents and Settings\xcfgdxfgxf\Local Settings\Temp\pftB~tmp\Via4in1.exe c:\Documents and Settings\xcfgdxfgxf\Local Settings\Temp\RarSFX1\basic\preupd.exe c:\Documents and Settings\xcfgdxfgxf\Local Settings\Temp\RarSFX1\basic\sched.exe c:\Documents and Settings\xcfgdxfgxf\Local Settings\Temp\RarSFX1\basic\setup.exe c:\Documents and Settings\xcfgdxfgxf\Local Settings\Temp\RarSFX1\basic\update.exe c:\Documents and Settings\xcfgdxfgxf\Local Settings\Temp\RarSFX1\basic\wsctool.exe c:\Documents and Settings\xcfgdxfgxf\Local Settings\Temp\_ISTMP1.DIR\_ISTMP0.DIR\IsUninst.Exe c:\Documents and Settings\xcfgdxfgxf\Local Settings\Temporary Internet Files\Content.IE5\SJX3UURH\HJTInstall[1].exe c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll ****** Fin du rapport DiagHelp Veuillez svp envoyer le fichier C:\upload_moi_YDXTGXDX-D945ED.tar.gz a l'adresse http://upload.malekal.com Je reste en attente. Bonne soirée, nuit ou journée.

Voici le rapport HJT... En remerciant d'avance pour l'aide. En attente des instructions... Symptômes : IE très lent, ordi très lent aussi, bug au démarrage, réenclenchement bios en cours de démarrage. Logfile of HijackThis v1.99.1 Scan saved at 20:02:32, on 4/12/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Analog Devices\SoundMAX\SMTray.exe C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Norton Utilities\NPROTECT.EXE C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\Program Files\Speed Disk\nopdb.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Program Files\Nikon\PictureProject\NkbMonitor.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\WINDOWS\system32\services.exe C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE C:\WINDOWS\system32\wuauclt.exe C:\Program Files\HiJackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypix.com/importer/ImageUploader4.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton Utilities\NPROTECT.EXE O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Pacsptisvr.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\Program Files\Speed Disk\nopdb.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\Sptisrv.exe

TADAAAAAAAAAAAAAAAAAAAA KASPERSKY ON-LINE SCANNER REPORT Friday, May 11, 2007 10:04:40 PM Système d'exploitation : Microsoft Windows XP Professional, Service Pack 1 (Build 2600) Kaspersky On-line Scanner version : 5.0.83.0 Dernière mise à jour de la base antivirus Kaspersky : 11/05/2007 Enregistrements dans la base antivirus Kaspersky : 298515 Paramètres d'analyse Analyser avec la base antivirus suivante standard Analyser les archives vrai Analyser les bases de messagerie vrai Cible de l'analyse Poste de travail A:\ C:\ D:\ E:\ F:\ G:\ H:\ Statistiques de l'analyse Total d'objets analysés 40898 Nombre de virus trouvés 8 Nombre d'objets infectés 11 / 0 Nombre d'objets suspects 0 Durée de l'analyse 00:34:23 Nom de l'objet infecté Nom du virus Dernière action C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SYSTEM L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SOFTWARE L'objet est verrouillé ignoré C:\WINDOWS\system32\config\DEFAULT L'objet est verrouillé ignoré C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré C:\Documents and Settings\Michel\NTUSER.DAT L'objet est verrouillé ignoré C:\Documents and Settings\Michel\Local Settings\Temp\~DFC778.tmp L'objet est verrouillé ignoré C:\Documents and Settings\Michel\Local Settings\Temp\~DFC783.tmp L'objet est verrouillé ignoré C:\Documents and Settings\Michel\Local Settings\Temp\Acr16C3.tmp L'objet est verrouillé ignoré C:\Documents and Settings\Michel\Local Settings\Temp\~DF3CB1.tmp L'objet est verrouillé ignoré C:\Documents and Settings\Michel\Local Settings\Temp\~DF3CE6.tmp L'objet est verrouillé ignoré C:\Documents and Settings\Michel\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\Michel\Local Settings\Historique\History.IE5\MSHist012007051120070512\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\Michel\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\Michel\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré C:\Documents and Settings\Michel\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré C:\Documents and Settings\Michel\Local Settings\Application Data\Microsoft\Windows Live Contacts\neosapri@hotmail.com\real\members.stg L'objet est verrouillé ignoré C:\Documents and Settings\Michel\Local Settings\Application Data\Microsoft\Windows Live Contacts\neosapri@hotmail.com\shadow\members.stg L'objet est verrouillé ignoré C:\Documents and Settings\Michel\Local Settings\Application Data\SupportSoft\Belgacom\Michel\state\logs\sprtcmd.log L'objet est verrouillé ignoré C:\Documents and Settings\Michel\Cookies\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\Michel\Application Data\Adobe\Acrobat\7.0\Updater\udlog.txt L'objet est verrouillé ignoré C:\Documents and Settings\Michel\Application Data\Shareaza\Data\TigerTree.dat L'objet est verrouillé ignoré C:\Documents and Settings\Michel\ntuser.dat.LOG L'objet est verrouillé ignoré C:\Program Files\Eset\logs\virlog.dat L'objet est verrouillé ignoré C:\Program Files\Eset\logs\warnlog.dat L'objet est verrouillé ignoré C:\Program Files\Eset\cache\CACHE.NDB L'objet est verrouillé ignoré C:\Program Files\Eset\infected\X3EA4PBA.NQF Infecté : P2P-Worm.Win32.VB.dw ignoré C:\Program Files\Eset\infected\GD1UA5BA.NQF Infecté : Trojan-PSW.Win32.Sinowal.bv ignoré C:\Program Files\Eset\infected\RWS3LQBA.NQF Infecté : Trojan-PSW.Win32.Sinowal.bv ignoré C:\Program Files\Eset\infected\XRARGACA.NQF Infecté : Rootkit.Win32.Agent.dp ignoré C:\Program Files\Eset\infected\NBG3ANAA.NQF Infecté : Trojan.Win32.Agent.ady ignoré C:\Program Files\Eset\infected\1R0SHYCA.NQF Infecté : Trojan.Win32.Agent.ady ignoré C:\Program Files\Eset\infected\W5HUHUCA.NQF Infecté : Trojan-Dropper.Win32.VB.lu ignoré C:\Program Files\Eset\infected\J1NTE3CA.NQF Infecté : Virus.Win32.Sality.q ignoré C:\Program Files\Sunbelt Software\Personal Firewall\logs\debug.log L'objet est verrouillé ignoré C:\Program Files\Sunbelt Software\Personal Firewall\logs\debug.log.idx L'objet est verrouillé ignoré C:\Program Files\Sunbelt Software\Personal Firewall\logs\error.log L'objet est verrouillé ignoré C:\Program Files\Sunbelt Software\Personal Firewall\logs\error.log.idx L'objet est verrouillé ignoré C:\Program Files\Sunbelt Software\Personal Firewall\logs\hips.log L'objet est verrouillé ignoré C:\Program Files\Sunbelt Software\Personal Firewall\logs\hips.log.idx L'objet est verrouillé ignoré C:\Program Files\Sunbelt Software\Personal Firewall\logs\ids.log L'objet est verrouillé ignoré C:\Program Files\Sunbelt Software\Personal Firewall\logs\ids.log.idx L'objet est verrouillé ignoré C:\Program Files\Sunbelt Software\Personal Firewall\logs\network.log L'objet est verrouillé ignoré C:\Program Files\Sunbelt Software\Personal Firewall\logs\network.log.idx L'objet est verrouillé ignoré C:\Program Files\Sunbelt Software\Personal Firewall\logs\system.log L'objet est verrouillé ignoré C:\Program Files\Sunbelt Software\Personal Firewall\logs\system.log.idx L'objet est verrouillé ignoré C:\Program Files\Sunbelt Software\Personal Firewall\logs\warning.log L'objet est verrouillé ignoré C:\Program Files\Sunbelt Software\Personal Firewall\logs\warning.log.idx L'objet est verrouillé ignoré C:\Program Files\Sunbelt Software\Personal Firewall\logs\web.log L'objet est verrouillé ignoré C:\Program Files\Sunbelt Software\Personal Firewall\logs\web.log.idx L'objet est verrouillé ignoré C:\System Volume Information\_restore{0C279CF4-A9C2-4668-A089-5B7018ECD2AD}\RP228\change.log L'objet est verrouillé ignoré C:\System Volume Information\_restore{0C279CF4-A9C2-4668-A089-5B7018ECD2AD}\RP228\A0020614.exe Infecté : Trojan-PSW.Win32.LdPinch.bta ignoré C:\Recycled\Dc1\backups\backups.zip/backups/xpupdate.exe Infecté : not-virus:Hoax.Win32.Renos.fi ignoré C:\Recycled\Dc1\backups\backups.zip ZIP: infecté - 1 ignoré Analyse terminée. So, what's next?

Et un rapport tout chaud, un... KASPERSKY ON-LINE SCANNER REPORT Tuesday, May 08, 2007 9:31:27 PM Système d'exploitation : Microsoft Windows XP Professional, Service Pack 1 (Build 2600) Kaspersky On-line Scanner version : 5.0.83.0 Dernière mise à jour de la base antivirus Kaspersky : 8/05/2007 Enregistrements dans la base antivirus Kaspersky : 296595 Paramètres d'analyse Analyser avec la base antivirus suivante standard Analyser les archives vrai Analyser les bases de messagerie vrai Cible de l'analyse Poste de travail A:\ C:\ D:\ E:\ F:\ G:\ H:\ Statistiques de l'analyse Total d'objets analysés 36448 Nombre de virus trouvés 8 Nombre d'objets infectés 11 / 0 Nombre d'objets suspects 0 Durée de l'analyse 00:38:41 Nom de l'objet infecté Nom du virus Dernière action C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SYSTEM L'objet est verrouillé ignoré C:\WINDOWS\system32\config\SOFTWARE L'objet est verrouillé ignoré C:\WINDOWS\system32\config\DEFAULT L'objet est verrouillé ignoré C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré C:\winusgu.exe Infecté : Trojan-PSW.Win32.LdPinch.bta ignoré C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré C:\Documents and Settings\Michel\NTUSER.DAT L'objet est verrouillé ignoré C:\Documents and Settings\Michel\Local Settings\Temp\~DFE97.tmp L'objet est verrouillé ignoré C:\Documents and Settings\Michel\Local Settings\Temp\~DFEA2.tmp L'objet est verrouillé ignoré C:\Documents and Settings\Michel\Local Settings\Temp\~DF2159.tmp L'objet est verrouillé ignoré C:\Documents and Settings\Michel\Local Settings\Temp\~DF21BF.tmp L'objet est verrouillé ignoré C:\Documents and Settings\Michel\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\Michel\Local Settings\Historique\History.IE5\MSHist012007050820070509\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\Michel\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\Michel\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré C:\Documents and Settings\Michel\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré C:\Documents and Settings\Michel\Local Settings\Application Data\Microsoft\Windows Live Contacts\catherinel87@hotmail.com\real\members.stg L'objet est verrouillé ignoré C:\Documents and Settings\Michel\Local Settings\Application Data\Microsoft\Windows Live Contacts\catherinel87@hotmail.com\shadow\members.stg L'objet est verrouillé ignoré C:\Documents and Settings\Michel\Local Settings\Application Data\SupportSoft\Belgacom\Michel\state\logs\sprtcmd.log L'objet est verrouillé ignoré C:\Documents and Settings\Michel\Bureau\SDFix\backups\backups.zip/backups/xpupdate.exe Infecté : not-virus:Hoax.Win32.Renos.fi ignoré C:\Documents and Settings\Michel\Bureau\SDFix\backups\backups.zip ZIP: infecté - 1 ignoré C:\Documents and Settings\Michel\Cookies\index.dat L'objet est verrouillé ignoré C:\Documents and Settings\Michel\Application Data\Shareaza\Data\TigerTree.dat L'objet est verrouillé ignoré C:\Documents and Settings\Michel\ntuser.dat.LOG L'objet est verrouillé ignoré C:\Program Files\Eset\logs\virlog.dat L'objet est verrouillé ignoré C:\Program Files\Eset\logs\warnlog.dat L'objet est verrouillé ignoré C:\Program Files\Eset\cache\CACHE.NDB L'objet est verrouillé ignoré C:\Program Files\Eset\infected\X3EA4PBA.NQF Infecté : P2P-Worm.Win32.VB.dw ignoré C:\Program Files\Eset\infected\GD1UA5BA.NQF Infecté : Trojan-PSW.Win32.Sinowal.bv ignoré C:\Program Files\Eset\infected\RWS3LQBA.NQF Infecté : Trojan-PSW.Win32.Sinowal.bv ignoré C:\Program Files\Eset\infected\XRARGACA.NQF Infecté : Rootkit.Win32.Agent.dp ignoré C:\Program Files\Eset\infected\NBG3ANAA.NQF Infecté : Trojan.Win32.Agent.ady ignoré C:\Program Files\Eset\infected\1R0SHYCA.NQF Infecté : Trojan.Win32.Agent.ady ignoré C:\Program Files\Eset\infected\W5HUHUCA.NQF Infecté : Trojan-Dropper.Win32.VB.lu ignoré C:\Program Files\Eset\infected\J1NTE3CA.NQF Infecté : Virus.Win32.Sality.q ignoré C:\Program Files\Sunbelt Software\Personal Firewall\logs\debug.log L'objet est verrouillé ignoré C:\Program Files\Sunbelt Software\Personal Firewall\logs\debug.log.idx L'objet est verrouillé ignoré C:\Program Files\Sunbelt Software\Personal Firewall\logs\error.log L'objet est verrouillé ignoré C:\Program Files\Sunbelt Software\Personal Firewall\logs\error.log.idx L'objet est verrouillé ignoré C:\Program Files\Sunbelt Software\Personal Firewall\logs\hips.log L'objet est verrouillé ignoré C:\Program Files\Sunbelt Software\Personal Firewall\logs\hips.log.idx L'objet est verrouillé ignoré C:\Program Files\Sunbelt Software\Personal Firewall\logs\ids.log L'objet est verrouillé ignoré C:\Program Files\Sunbelt Software\Personal Firewall\logs\ids.log.idx L'objet est verrouillé ignoré C:\Program Files\Sunbelt Software\Personal Firewall\logs\network.log L'objet est verrouillé ignoré C:\Program Files\Sunbelt Software\Personal Firewall\logs\network.log.idx L'objet est verrouillé ignoré C:\Program Files\Sunbelt Software\Personal Firewall\logs\system.log L'objet est verrouillé ignoré C:\Program Files\Sunbelt Software\Personal Firewall\logs\system.log.idx L'objet est verrouillé ignoré C:\Program Files\Sunbelt Software\Personal Firewall\logs\warning.log L'objet est verrouillé ignoré C:\Program Files\Sunbelt Software\Personal Firewall\logs\warning.log.idx L'objet est verrouillé ignoré C:\Program Files\Sunbelt Software\Personal Firewall\logs\web.log L'objet est verrouillé ignoré C:\Program Files\Sunbelt Software\Personal Firewall\logs\web.log.idx L'objet est verrouillé ignoré C:\System Volume Information\_restore{0C279CF4-A9C2-4668-A089-5B7018ECD2AD}\RP226\change.log L'objet est verrouillé ignoré Analyse terminée. Le pizzaiolo est en attente de la prochaine commande

Voici le rapport demandé... SmitFraudFix v2.174 Rapport fait à 16:44:30,34, sam. 05/05/2007 Executé à partir de C:\Documents and Settings\Michel\Bureau\SmitfraudFix OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT Le type du système de fichiers est FAT32 Fix executé en mode normal »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Eset\nod32kui.exe C:\WINDOWS\System32\rundll32.exe C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe D:\Program\winamp\Winampa.exe C:\Program Files\Belgacom\bin\sprtcmd.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\System32\ctfmon.exe D:\Program\lime wire\Shareaza\Shareaza.exe C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\WINDOWS\System32\NotifyPhoneBook.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe C:\Program Files\Eset\nod32krn.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Java\jre1.5.0_09\bin\jucheck.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\system32\cmd.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Michel »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Michel\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MICHEL\FAVORIS »»»»»»»»»»»»»»»»»»»»»»»» Bureau »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Ma page d'accueil" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32 »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: Carte Fast Ethernet compatible VIA - Miniport d'ordonnancement de paquets DNS Server Search Order: 192.168.1.1 HKLM\SYSTEM\CCS\Services\Tcpip\..\{92ED5722-4653-4929-B9E5-620998FBDC99}: DhcpNameServer=192.168.1.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{92ED5722-4653-4929-B9E5-620998FBDC99}: DhcpNameServer=192.168.1.1 HKLM\SYSTEM\CS2\Services\Tcpip\..\{92ED5722-4653-4929-B9E5-620998FBDC99}: DhcpNameServer=192.168.1.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll »»»»»»»»»»»»»»»»»»»»»»»» Fin Bonne lecture et merci

Autant pour moi... me suis trompé... --------------------------------------------------------- AVG Anti-Spyware - Rapport d'analyse --------------------------------------------------------- + Créé à: 22:03:03 4/05/2007 + Résultat de l'analyse: C:\Program Files\BraveSentry -> Adware.Bravesentry : Nettoyé et sauvegardé (mise en quarantaine). C:\Program Files\BraveSentry\BraveSentry.exe -> Adware.Bravesentry : Nettoyé et sauvegardé (mise en quarantaine). C:\Program Files\BraveSentry\BraveSentry.lic -> Adware.Bravesentry : Nettoyé et sauvegardé (mise en quarantaine). C:\Program Files\BraveSentry\BraveSentry0.bs -> Adware.Bravesentry : Nettoyé et sauvegardé (mise en quarantaine). C:\Program Files\BraveSentry\BraveSentry1.bs -> Adware.Bravesentry : Nettoyé et sauvegardé (mise en quarantaine). C:\Program Files\BraveSentry\Uninstall.exe -> Adware.Bravesentry : Nettoyé et sauvegardé (mise en quarantaine). C:\Documents and Settings\Michel\Local Settings\Temporary Internet Files\Content.IE5\BD34C4BN\test[1].htm -> Downloader.Agent.bk : Nettoyé et sauvegardé (mise en quarantaine). C:\Program Files\Eset\infectedC4XA3CA.NQF -> Dropper.Delf.vt : Nettoyé et sauvegardé (mise en quarantaine). Fin du rapport

Voilà, toutes les étapes se sont déroulées sans aucun problème... Merci beaucoup. Comme demandé voici les rapports AVGAS et HiJackThis... RAPPORT AVGAS SDFix: Version 1.82 Run by Michel - ven. 04/05/2007 - 22:05:32,57 Microsoft Windows XP [version 5.1.2600] Running From: C:\DOCUME~1\Michel\Bureau\SDFix Safe Mode: Checking Services: Name: Runtime ImagePath: \??\C:\WINDOWS\System32\drivers\runtime.sys Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting... Normal Mode: Checking Files: Below files will be copied to Backups folder then removed: C:\Documents and Settings\Michel\Application Data\Install.dat - Deleted C:\WINDOWS\system32\5_exception.nls - Deleted C:\WINDOWS\xpupdate.exe - Deleted Removing Temp Files ADS Check: Checking if ADS is attached to system32 Folder C:\WINDOWS\system32 No streams found. Checking if ADS is attached to svchost.exe C:\WINDOWS\system32\svchost.exe No streams found. Final Check: Remaining Services: ------------------ Remaining Files: --------------- Backups Folder: - C:\DOCUME~1\Michel\Bureau\SDFix\backups\backups.zip Checking For Files with Hidden Attributes: C:\Program Files\Fichiers communs\Adobe\ESD\DLMCleanup.exe Finished RAPPORT HIJACKTHIS Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 22:18:16, on 4/05/2007 Platform: Windows XP SP1 (WinNT 5.01.2600) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\alg.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Eset\nod32krn.exe C:\Program Files\Spyware Doctor\swdsvc.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Spyware Doctor\SDTrayApp.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\system32\notepad.exe C:\Program Files\Eset\nod32kui.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\rundll32.exe C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe C:\WINDOWS\System32\NotifyPhoneBook.exe D:\Program\winamp\Winampa.exe C:\Program Files\Belgacom\bin\sprtcmd.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\System32\ctfmon.exe D:\Program\lime wire\Shareaza\Shareaza.exe C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Michel\Bureau\HiJackThis_v2.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Copernic Desktop Search 2 - {968631B6-4729-440D-9BF4-251F5593EC9A} - C:\Program Files\Copernic Desktop Search 2\DesktopSearchBand2526.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\System32\Utility.exe \1008 O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] "D:\Program\winamp\Winampa.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [belgacom] "C:\Program Files\Belgacom\bin\sprtcmd.exe" /P Belgacom O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [shareaza] "D:\Program\lime wire\Shareaza\Shareaza.exe" -tray O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1163617548488 O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypix.com/importer/ImageUploader4.cab O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\System32\tlntsvr.exe O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe -- End of file - 7804 bytes Voilà, j'attends les nouvelles instructions... Merci d'avance

Voici le rapport Hijackthis pour cette infection Merci d'avance... Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 20:59:18, on 2/05/2007 Platform: Windows XP SP1 (WinNT 5.01.2600) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\alg.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Eset\nod32kui.exe C:\WINDOWS\System32\rundll32.exe C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe D:\Program\winamp\Winampa.exe C:\Program Files\Belgacom\bin\sprtcmd.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\NotifyPhoneBook.exe C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Spyware Doctor\sdtrayapp.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Michel\Local Settings\Temporary Internet Files\Content.IE5\LNBVH9WE\HiJackThis_v2[1].exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Copernic Desktop Search 2 - {968631B6-4729-440D-9BF4-251F5593EC9A} - C:\Program Files\Copernic Desktop Search 2\DesktopSearchBand2526.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [CloseDNF] C:\WINDOWS\System32\Utility.exe \1008 O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] "D:\Program\winamp\Winampa.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [belgacom] "C:\Program Files\Belgacom\bin\sprtcmd.exe" /P Belgacom O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [shareaza] "D:\Program\lime wire\Shareaza\Shareaza.exe" -tray O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1163617548488 O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.mypix.com/importer/ImageUploader4.cab O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe -- End of file - 7764 bytes

Bon voilà, le nettoyage est fait... Après le nettoyage il m'a demandé si je voulais qu'il affiche de nouveau les failles de sécurités. Les noms ont changé depuis la fois passée. Il y a 43 failles. Je veux bien te les lister toutes, mais il faut que je les tape et ça risque d'être long... Y avait pas de rapport disponible après. Dis moi si tu as besoin que je te liste l'ensemble des failles de sécurité. Sinon tu veux un nouveau log HijackThis? Qu'est-ce que je dois faire ensuite sinon? ++

Voilà les accès : MALWARES Troj_DLOADER.BYU (2 infections) c:\documents and settings\...\Local\Settings\temporary Internet... Files\Content.IE5\KDYVWXEF\keyboard[1].exe c:\keyboard.exe Troj_DLOADER.BUJ (1) c:\documents and settings\...\Local\Settings\temporary Internet... Files\Content.IE5\KDYVWXEF\launcher[1].exe Troj_AGENT.AWA (2) c:\documents and settings\...\Local\Settings\temporary Internet... Files\Content.IE5\078RATUV\mc-110-12-0000228[1].exe c:\mc-110-12-0000228.exe Troj_CLICKER.IC (2) c:\documents and settings\...\Local\Settings\temporary Internet... Files\Content.IE5\078RATUV\mousepad[1].exe c:\mousepad.exe Troj_DLOADER.CCO (1) c:\documents and settings\...\Local\Settings\temporary Internet... Files\Content.IE5\YRWLS3KN\gimmysmileyx[1].exe Troj_SMALL.BGX (1) c:\DR21206.exe GRAYWARES ADW_COMMAD.C (2) c:\documents and settings\...\Local\Settings\Temp\cmdinst.exe c:\documents and settings\...\Local\Settings\temporary Internet... Files\Content.IE5\KDYVWXEF\installer[1].exe ADW_SOFTOMATE.G (2) c:\documents and settings\...\Local\Settings\temporary Internet... Files\Content.IE5\YRWLS3KN\freeprodtb[1].exe c:\RECYCLER\5-1-5-21-1659004503-1078145449-854245398-1003\Dc1.exe ADW_TARGETSAV.C (1) c:\Program Files\Fichiers Communs\iiri\iirid\iiric.dll Toujours OK pour supprimer?

MALWARES Troj_DLOADER.BYU (2 infections) .BUJ (1) AGENT.AWA (2) CLICKER.IC (2) DLOADER.CCO (1) SMALL.BGX (1) GRAYWARES ADW_COMMAD.C (2) _SOFTOMATE.G (2) _TARGETSAV.C (1) FAILLES DE SECURITE MS04-038 -043 -044 MS05- 001 004 007 008 011 012 013 014 015 016 018 019 020 025 026 027 032 033 036 037 038 039 040 041 042 043 045 046 047 048 049 050 051 052 053 054 MS06- 001 002 005 006 007 008 Voilà la liste Faut faire "Nettoyer" via le site ou pas? J'attends impatiemmment

et voilà... "Silent Runners.vbs", revision 43, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "msnmsgr" = ""C:\Program Files\MSN Messenger\msnmsgr.exe" /background" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "RemoteControl" = ""C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"" ["Cyberlink Corp."] "CloneCDElbyCDFL" = ""C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL" ["Elaborate Bytes"] "GhostStartTrayApp" = "C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe" ["Symantec Corporation"] "SunJavaUpdateSched" = "C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."] "WinampAgent" = "C:\Program Files\Winamp\winampa.exe" [null data] "HP Software Update" = ""C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"" ["Hewlett-Packard Company"] "HP Component Manager" = ""C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"" ["Hewlett-Packard Company"] "MessengerPlus3" = ""C:\Program Files\MessengerPlus! 3\MsgPlus.exe"" ["Patchou"] "QuickTime Task" = ""C:\Program Files\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."] "IpNetwork" = "C:\Program Files\Network\ipnetwork.exe" [file not found] "WinPatrol" = "C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe" ["BillP Studios"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] "{57C51AF9-DEF7-11D3-A801-00C04F163490}" = "Ghost Shell Extension" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Symantec\Norton Ghost 2003\GhoShExt.dll" ["Symantec Corporation"] "{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ INFECTION WARNING! "AppInit_DLLs" = "MsgPlusLoader.dll" ["Patchou"] HKLM\Software\Classes\PROTOCOLS\Filter\ INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is enabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Microsoft\Wallpaper1.bmp" Active Desktop web content: HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\ "FriendlyName" = "" "Source" = "C:\WINDOWS\system32\ad.html" "SubscribedURL" = "" Startup items in "xcfgdxfgxf" & "All Users" startup folders: ------------------------------------------------------------ C:\Documents and Settings\xcfgdxfgxf\Menu Démarrer\Programmes\Démarrage "RegFreeze" -> shortcut to: "C:\Program Files\RegFreeze\regfreeze.exe" ["ActualResearch.com"] C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage "Adobe Gamma Loader" -> shortcut to: "C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."] "Démarrage rapide du logiciel HP Image Zone" -> shortcut to: "C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqthb08.exe -s" [null data] "HP Digital Imaging Monitor" -> shortcut to: "C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe" ["Hewlett-Packard Co."] "hp psc 1000 series" -> shortcut to: "C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe" ["Hewlett-Packard Co."] "hpoddt01.exe" -> shortcut to: "C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" ["Hewlett-Packard"] "Lancement rapide d'Adobe Reader" -> shortcut to: "C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"] Enabled Scheduled Tasks: ------------------------ "FRU Task #Hewlett-Packard#hp psc 1100 series#1122125453" -> launches: "C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe -I "#Hewlett-Packard#hp psc 1100 series#1122125453"" [empty string] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Console Java (Sun)" "CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}" -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."] {92780B25-18CC-41C8-B9BE-3C9C571A8263}\ "ButtonText" = "Recherche" Miscellaneous IE Hijack Points ------------------------------ C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings") Added lines (compared with English-language version): [strings]: SAFESITE_VALUE="http://home.microsoft.com/intl/fr/" Missing lines (compared with English-language version): [strings]: 1 line Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ ewido security suite control, ewido security suite control, "C:\Program Files\ewido anti-malware\ewidoctrl.exe" ["ewido networks"] GhostStartService, GhostStartService, "C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe" ["Symantec Corporation"] Machine Debug Manager, MDM, ""C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS] Norton Unerase Protection, NProtectService, "C:\Program Files\Norton Utilities\NPROTECT.EXE" ["Symantec Corporation"] Pml Driver HPZ12, Pml Driver HPZ12, "C:\WINDOWS\system32\HPZipm12.exe" ["HP"] SoundMAX Agent Service, SoundMAX Agent Service (default), "C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe" ["Analog Devices, Inc."] Speed Disk service, Speed Disk service, "C:\Program Files\Speed Disk\nopdb.exe" ["Symantec Corporation"] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ hpzsnt07\Driver = "hpzsnt07.dll" ["HP"] Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 37 seconds, including 18 seconds for message boxes)

Voilà ce qu'il y a sur la page que tu m'as donnée... 'Silent Runners.vbs -- find out what programs start up with Windows! ' 'DO NOT REMOVE THIS HEADER! ' 'Copyright Andrew ARONOFF 09 January 2006, http://www.silentrunners.org/ 'This script is provided without any warranty, either expressed or implied 'It may not be copied or distributed without permission ' '** YOU RUN THIS SCRIPT AT YOUR OWN RISK! ** 'HEADER ENDS HERE Option Explicit Dim strRevNo : strRevNo = "43" Public flagTest : flagTest = False 'True if testing 'flagTest = True 'Uncomment to test 'This script is divided into 27 sections. 'malware launch points: ' registry keys (I-XII, XV) ' INI/INF-files (XVI-XVIII) ' folders (XIX) ' enabled scheduled tasks (XX) ' Winsock2 service provider DLLs (XXI) ' IE toolbars, explorer bars, extensions (XXII) ' started services (XXVI) ' keyboard driver filters (XXVII) 'hijack points: ' System/Group Policies (XIV) ' prefixes for IE URLs (XXIII) ' misc IE points (XXIV) ' HOSTS file (XXV) 'Output is suppressed if deemed normal unless the -all parameter is used 'Sections XVIII & XXII-dormant Explorer Bars are skipped unless the -supp/-all ' parameters are used or the first message box is answered "No" ' I. HKCU/HKLM... Run/RunOnce/RunOnce\Setup ' HKLM... RunOnceEx/RunServices/RunServicesOnce ' HKCU/HKLM... Policies\Explorer\Run ' II. HKLM... Active Setup\Installed Components\ ' HKCU... Active Setup\Installed Components\ ' (StubPath <> "" And HKLM version # > HKCU version #) ' III. HKLM... Explorer\Browser Helper Objects\ ' IV. HKLM... Shell Extensions\Approved\ ' V. HKLM... Explorer\SharedTaskScheduler/ShellExecuteHooks ' VI. HKCU/HKLM... ShellServiceObjectDelayLoad\ ' VII. HKCU... Command Processor\AutoRun ((default) <> "") ' HKCU... Policies\System\Shell (W2K & WXP only) ' HKCU... Windows\load & run ((default) <> "") ' HKCU... Command Processor\AutoRun ((default) <> "") ' HKLM... Windows\AppInit_DLLs ((default) <> "") ' HKLM... Winlogon\Shell/Userinit/System/Ginadll/Taskman ' ((default) <> explorer.exe, userinit.exe, "", "", "") ' HKLM... Control\SafeBoot\Option\UseAlternateShell ' HKLM... Control\Session Manager\BootExecute ' VIII. HKLM... Winlogon\Notify\ (subkey names/DLLName values <> O/S-specific dictionary data) ' IX. HKLM... Image File Execution Options\ (subkeys with name = "Debugger") ' X. HKCU/HKLM... Policies... Startup/Shutdown, Logon/Logoff ' XI. HKCR Protocols\Filter ' XII. Context menu shell extensions ' XIII. HKCR executable file type (bat/cmd/com/exe/hta/pif/scr) ' (shell\open\command data <> "%1" %*; hta <> mshta.exe "%1" %*; scr <> "%1" /S) ' XIV. System/Group Policies ' XV. Enabled Wallpaper & Screen Saver ' XVI. WIN.INI (load/run <> ""), SYSTEM.INI (shell <> explorer.exe, scrnsave.exe), WINSTART.BAT ' XVII. AUTORUN.INF in root of fixed drive ( ... ... et caetera etc