gato456

Effectivement j'ai déjà entendu parler de ce problème de "bridage" de port en P2P. Un workaround serait de passer en SSL, il parait que c'est possible avec Emule. Bref ... Au diable les varices, je vais retenir FT, cambrousse oblige. Merci de vos avis éclairés A bientot pour d'autres topics A+ Eric

Merci à tous d'avoir pris un peu de temps pour me répondre ... et bonne année à tous Après avoir fouillé un plus le Oueb, j'abandonne Alice. Entre autres parce que les problèmes téléphoniques semblent être un problème récurent chez eux Pour ce qui est des testeurs de ligne, je recommande fortement d'utiliser 123adsl en plus de degrouptest. Ce site m'a permis de restreindre mon choix à Free et Club-Internet ... avec FT oeuf corse Des histoires de compatibilité de ma ligne avec les FAI en cas de dégroupage. Pas de point fort particulier pour Club-Internet, à ma connaissance, je laisse tomber également Je conserve donc Free dans les choix possibles, d'une part pour le fait qu'ils ont toujours une longueur d'avance coté technos , d'autre part pour les possibilités de leur offre qui shunte l'abonnement téléphonique, même en zone non dégroupée : 29€90 tout compris avec "Freebox only". Des problèmes au début, surtout pour conserver malgré tout son ancien n° FT, mais ça semble s'arranger. Par contre le problème ça reste la réputation exécrable de ce FAI : hotline au ras des paquerettes, cout du divorce, facturation zarbi, etc ... Je vous laisse découvrir ce forum sur FreeKs, c'est édifiant ! Par contre coté techno c'est top moumoutte et ils ont toujours un peu d'avance. Par exemple avec l'offre téléphonie je récupère un service de répondeur que j'avais déjà chez FT ... En plus je peux laisser la Freebox en mode bridge car j'ai prévu d'ajouter un routeur d'accès type Linksys ou Asus pour paramétrer comme je veux mon réseau, par exemple un accès VPN. Avec la Livebox je ne sais pas si c'est possible C'est sûr que coté FT, ça reste plus clean, plus serein, et ça c'est important. Par contre bonjour le prix ... : Internet 24€90, Livebox 3€, Téléphonie illimitée 10€, abonnement télephonique 15€, répondeur ... j'ai oublié. Total : 52,90€. Quoiqu'ils viennent de sortir une offre limitée qui reviendrait à 32€90 avec la livebox ... plus bien sûr l'abonnement FT. Le tout reste quand même à 47€90 ... Entre les deux mon coeur balance, ce sera Free ou FT ... à moins que l'un d'entre vous ne vienne démolir mon raisonnement A+ Eric

Salut Mark/Qc001 Bonne année à toi et tes proches et plein de beaux virus, spyware et autres à traquer pour toi ! 2006 est mort, que 2007 tienne toutes ses promesses J'ai enfin pu finir la procédure Windows Update sans blue screen ... super content Ca c'était une bonne fin d'année 2006. Comme quoi c'était bien une saloperie qui provoquait mes problèmes et pas un simple bug système. Le travail effectué avec toi a été d'une efficacité redoutable et je t'en remercie encore Je vais maintenant faire régulièrement des HijackThis pour les comparer au dernier qui correspond à une situation saine ... et tout ce qui me paraitra suspect je m'en occuperai radicalement, avec votre aide si je ne comprends pas de quoi il s'agit. A moins que tu ne veuilles voir encore quelque chose de mon portable j'ai le sentiment que nous sommes arrivés au bout de ce dossier. Si j'ai bien compris il faut maintenant que je clôture en marquant résolu en tête de mon 1er message, yes ? Encore une fois, merci de ton aide efficace Si, si je le pense vraiment. Peut-être à une prochaine fois Eric

Salut Mark Je suis très faché par le retard ... non allez, je déconne Du Québec ? Tiens donc, je n'avais pas entendu ton accent En ce qui concerne Windows Update, immédiatement après mon infection, j'ai tenté de mettre à jour Windows XP et en particulier Internet Explorer. Sur ce dernier point je partais systématiquement en blue screen J'ai mis ça sur le compte des véroles que j'avais attrapées alors je suis impatient de re tester maintenant que le système est un peu plus propre Bon, ca y est je l'ai installé ZA pro. Pour la licence on verra plus tard. Par contre qu'est ce que ça a changé !!! Effectivement c'est un produit complet. Je vais essayer de me le customiser, mais ça proprement quelques heures de boulot Voici le dernier HijackThis, et ce que j'ai pu constaté avec un diff par rapport au précédent : C:\WINDOWS\System32\svchost.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe --> Seule interrogation : c'est quoi ce svchost.exe ? Pour le reste ZA, c'est OK. O1 - Hosts: 172.16.16.251 anrcs O1 - Hosts: 172.16.16.252 anb --> Normal je viens d'installer 2 nouveaux HP-UX chez un client qui tardait à les mettre dans son DNS. Je vais les virer. O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" --> ZA, normal ! O15 - Trusted IP range: 172.16.16.* --> Toujours pour le même client et j'avais besoin d'un accès IE sans limite sur les pétoires en cours d'install. Je vais le virer. O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe --> ZA, normal ! Et pour terminer, voici l'ensemble du rapport HijackThis. En attendant je te souhaite de passer bonnes fêtes de Noël à toi et à tous tes proches A+ Eric Logfile of HijackThis v1.99.1 Scan saved at 16:31:59, on 22/12/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Reflection\rtsserv.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe C:\Program Files\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\HPQ\SHARED\HPQWMI.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: 172.16.16.251 anrcs O1 - Hosts: 172.16.16.252 anb O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [soundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe" O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe O4 - HKLM\..\Run: [ChangeResolution] C:\Documents and Settings\Administrateur\ChangeResolution.exe O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O12 - Plugin for .rx: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll O12 - Plugin for .rxc: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com O15 - Trusted Zone: http://www.bison-fute.equipement.gouv.fr O15 - Trusted Zone: *.hp.com O15 - Trusted IP range: 172.16.16.* O15 - Trusted IP range: 192.168.0.213 O15 - Trusted IP range: 62.160.191.118 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1161952101687 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetup Control) - https://my.cdiscount.com/dana-cached/setup/JuniperSetup.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: ckpNotify - C:\WINDOWS\SYSTEM32\ckpNotify.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe O23 - Service: Reflection TimeSync - WRQ, Inc. - C:\Program Files\Reflection\rtsserv.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: WMI nPar Provider (WMINParProvider) - Unknown owner - C:\Program Files\Hewlett-Packard\WMINParProvider\WMINParProvider.exe" -service (file missing)

Bonsoir Mark, Désolé pour ce retard, mais je suis un peu débordé par le boulot en ce moment Voici le dernier HijackThis. Tu noteras que je n'ai pas encore installé de Firewall autre que celui de Windows : pas eu vraiment le temps J'ai comparé par rapport aux précédents : rien en moins, rien en plus. Penses-tu que je puisse continuer maintenant sur la phase WindowsUpdate qui se vautrait ? Je ne m'eternise pas ... boulot encore Bonne soirée à toi A+ Eric Logfile of HijackThis v1.99.1 Scan saved at 19:41:57, on 18/12/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe C:\Program Files\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Reflection\rtsserv.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\HPQ\SHARED\HPQWMI.exe C:\Program Files\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [soundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe" O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe O4 - HKLM\..\Run: [ChangeResolution] C:\Documents and Settings\Administrateur\ChangeResolution.exe O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O12 - Plugin for .rx: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll O12 - Plugin for .rxc: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com O15 - Trusted Zone: http://www.bison-fute.equipement.gouv.fr O15 - Trusted Zone: *.hp.com O15 - Trusted IP range: 192.168.0.213 O15 - Trusted IP range: 62.160.191.118 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1161952101687 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetup Control) - https://my.cdiscount.com/dana-cached/setup/JuniperSetup.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: ckpNotify - C:\WINDOWS\SYSTEM32\ckpNotify.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe O23 - Service: Reflection TimeSync - WRQ, Inc. - C:\Program Files\Reflection\rtsserv.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe O23 - Service: WMI nPar Provider (WMINParProvider) - Unknown owner - C:\Program Files\Hewlett-Packard\WMINParProvider\WMINParProvider.exe" -service (file missing)

Bonsoir Mark, non, la semaine ne se passe pas si bien que ça à PAU : lundi soir fin tardive, mardi soir fin du boulot à 1h30 et ce soir au vu de l'heure qu'il est ça risque bien d'être 3h00 du mat ! Je rêve d'un bon Et demain soir je risque de remettre ça .... Journées bien chargées donc qui ne laissent pas trop le temps de continuer à investiguer sur mon poste. Cela étant j'ai bien noté ton message : je te posterai un rapport HijackThis! ce WE, en espérant qu'il ne montre pas de nouvelles anomalies ... A prioiri, pas de raison, tout se passe bien en ce moment et en plus je bosse pour une société bien à l'abri derrière ses pare-feux, antiviraux, antimachins, etc ... Bon, le temps de ce message j'espère que ce que j'avais sur le feu est enfin cuit à point et que je vais pouvoir cloturer la séance de cette nuit. Bonne fin de semaine à toi A+ Eric

Bonsoir à tous les deux, Je ne m'éternise pas non plus, pressé ce soir : je pars pour une semaine à PAU. RAS sur le desinstaller Norton si ce n'est qu'il fonctionne à merveille. J'ai juste eu à faire un petit nettoyage manuel de répertoires trainant dans les "Documents and Settings/*/Application Data" de chacun des utilisateurs. Mon coté maniaque ... Bref, il faut que je file, alors voici le dernier HijackThis. Logfile of HijackThis v1.99.1 Scan saved at 20:30:36, on 10/12/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Reflection\rtsserv.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe C:\WINDOWS\system32\igfxsrvc.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe C:\Program Files\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\HPQ\SHARED\HPQWMI.exe C:\Program Files\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [soundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe" O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe O4 - HKLM\..\Run: [ChangeResolution] C:\Documents and Settings\Administrateur\ChangeResolution.exe O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O12 - Plugin for .rx: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll O12 - Plugin for .rxc: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com O15 - Trusted Zone: http://www.bison-fute.equipement.gouv.fr O15 - Trusted Zone: *.hp.com O15 - Trusted IP range: 192.168.0.213 O15 - Trusted IP range: 62.160.191.118 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1161952101687 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetup Control) - https://my.cdiscount.com/dana-cached/setup/JuniperSetup.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: ckpNotify - C:\WINDOWS\SYSTEM32\ckpNotify.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe O23 - Service: Reflection TimeSync - WRQ, Inc. - C:\Program Files\Reflection\rtsserv.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe O23 - Service: WMI nPar Provider (WMINParProvider) - Unknown owner - C:\Program Files\Hewlett-Packard\WMINParProvider\WMINParProvider.exe" -service (file missing) A bientot A+ Eric

Oups ! J'avions zoublié le HijackThis! Voici qui est réparé ... Logfile of HijackThis v1.99.1 Scan saved at 18:18:18, on 08/12/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Reflection\rtsserv.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe C:\Program Files\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\HPQ\SHARED\HPQWMI.exe C:\Program Files\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [soundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe" O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe O4 - HKLM\..\Run: [ChangeResolution] C:\Documents and Settings\Administrateur\ChangeResolution.exe O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O12 - Plugin for .rx: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll O12 - Plugin for .rxc: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com O15 - Trusted Zone: http://www.bison-fute.equipement.gouv.fr O15 - Trusted Zone: *.hp.com O15 - Trusted IP range: 192.168.0.213 O15 - Trusted IP range: 62.160.191.118 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1161952101687 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetup Control) - https://my.cdiscount.com/dana-cached/setup/JuniperSetup.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: ckpNotify - C:\WINDOWS\SYSTEM32\ckpNotify.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe (file missing) O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe O23 - Service: Reflection TimeSync - WRQ, Inc. - C:\Program Files\Reflection\rtsserv.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing) O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe O23 - Service: WMI nPar Provider (WMINParProvider) - Unknown owner - C:\Program Files\Hewlett-Packard\WMINParProvider\WMINParProvider.exe" -service (file missing)

Bonjour à tous les 2, Pas de problème Mykerinos . D'ailleurs j'ai récupéré "Active Ports" : il ne lui manque que l'historisation. Sinon pouvoir enfin associer un port TCP/UDP ouvert et l'exécutable qui le gère, quel soulagement . Merci donc pour cette suggestion. Je vais aller jeter un oeil à cet URL pour nettoyer Symantec ... et l'utiliserai à moins que le maester n'y voie un inconvénient ? Mark voici le résultat du boulot de ce Midi. drvwak.dll : kaput VSToolBar : J'ai lancée la commande de désinstallation dans une boite CMD pour voir s'il y avait un affichage particulier, Nada : il ne se passe rien de particulier ni de notable dans le comportement d'IE. Le répertoire est toujours présent par contre les 2 fichiers textes qui sont dedans (PageHistory.txt et WebHistory.txt) sont vides et n'ont pas bougés depuis le 30/11. Je vais donc renommer ce répertoire en attendant de le supprimer définitivement. Peut-etre que j'ai fait sauter cette toolbar le jeudi ou le vendredi : je viens de me rappeler que j'ai installé et utilisé temporairement XoftSpySE, c'est peut-être lui qui a fait le nettoyage ? system.dll et son répertoire en forme de CLSID : miam eMule : radical, plus aucun exécutable, juste beaucoup de documentations et quelques mp3 Java, désinstallation de : J2SE Runtime Environment 5.0 Update 6 J2SE Runtime Environment 5.0 Update 4 Mais aussi de J2SE Runtime Environment 5.0 Java 2 Runtime Environment, SE v1.4.2_12 Il ne me reste plus que l'update 9. J'ai pas été trop loin en extrapolant que je pouvais faire ce nettoyage ? A prioiri non, j'ai fait un test avec http://www.java.com/en/download/help/testvm.xml RAZ Restauration système faite. Note : j'ai 2 partitions C: et D: Sur D: "System Volume Information" n'autorise que "SYSTEM" alors que sur C: il autorisait quasiment tout le monde. J'ai reconfiguré celui de C: sur le modèle de D:, à savoir "SYSTEM" seul. Toutefois le groupe administrateurs reste propriétaire. A priori, tu n'as rien oublié. Eventuellement si tu as des infos pour pegasus ? sur le port 5989 en écoute pour du protocole HTTPS Je viens de fouiller un peu le net et j'ai l'impression que c'est lié à des outils de déploiements et de surveillance Hewlett-Packard livrés en standard sur PC préinstallé et rattaché à une console HP SIM. Je pense que je n'aurais pas du latter pegasus en 1er, mais d'abord les outils s'appuyant sur cette couche. Tant pis, le mal est fait, et de toute manière je n'aime pas trop l'idée d'avoir un port en écoute sans mon accord Par contre j'aurais une dernière question : est-ce qu'il existe des virus, trojean, etc ... connus autour de Macromedia ShockWave ? Je poste un nouvel HijackThis! après ce post. C'est tout pour le moment, j'attends juste ton feu vert pour tester la désinstallation Symantec. A+ Eric

Voici le rapport HijackThis! Logfile of HijackThis v1.99.1 Scan saved at 17:59:24, on 07/12/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Reflection\rtsserv.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe C:\Program Files\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe C:\Program Files\HPQ\SHARED\HPQWMI.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [soundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe" O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe O4 - HKLM\..\Run: [ChangeResolution] C:\Documents and Settings\Administrateur\ChangeResolution.exe O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O12 - Plugin for .rx: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll O12 - Plugin for .rxc: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com O15 - Trusted Zone: http://www.bison-fute.equipement.gouv.fr O15 - Trusted Zone: *.hp.com O15 - Trusted IP range: 192.168.0.213 O15 - Trusted IP range: 62.160.191.118 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1161952101687 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetup Control) - https://my.cdiscount.com/dana-cached/setup/JuniperSetup.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: ckpNotify - C:\WINDOWS\SYSTEM32\ckpNotify.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe (file missing) O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe O23 - Service: Reflection TimeSync - WRQ, Inc. - C:\Program Files\Reflection\rtsserv.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing) O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe O23 - Service: WMI nPar Provider (WMINParProvider) - Unknown owner - C:\Program Files\Hewlett-Packard\WMINParProvider\WMINParProvider.exe" -service (file missing) ... et pour terminer le tout premier rapport de McAfee : Je viens de le relire en le postant et je viens de trouver une bonne raison pour latter le system.dll dont je t'ai parlé dans le précédent post !!! McAfee VirusScan for Win32 v5.10.0 Copyright © 1992-2006 McAfee, Inc. All rights reserved. (408) 988-3832 LICENSED COPY - May 26 2006 Scan engine v5.1.00 for Win32. Virus data file v4908 created Nov 30 2006 Scanning for 219284 viruses, trojans and variants. 11/30/2006 21:07:47 Options: "C:\" /CLEAN /SUB /ALL /RPTCOR /RPTERR /REPORT B:\SCAN.TXT /MOVE C:\QUARANTINE Scanning C: [] Scanning C:\*.* C:\A\msasvc.exe ... Found the PWS-JA trojan !!! C:\A\msasvc.exe ... Repair failed - write access denied. C:\A\tpedvf.dll ... Found the Spywarestrike.dldr trojan !!! C:\A\tpedvf.dll ... Repair failed - write access denied. C:\A\winwly32.dll ... Found the BackDoor-CVT trojan !!! C:\A\winwly32.dll ... Repair failed - write access denied. C:\A\xebybfjg.dll ... Found the Vundo trojan !!! C:\A\xebybfjg.dll ... Repair failed - write access denied. C:\Program Files\Fichiers communs\{7EAB2C22-06C5-1036-0916-0516050021}\Update.exe ... Found the Generic Downloader.k trojan !!! C:\Program Files\Fichiers communs\{7EAB2C22-06C5-1036-0916-0516050021}\Update.exe ... Repair failed - write access denied. C:\quarantine ... file could not be opened. C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP291\A0083027.exe\A0083027.exe ... Found the Downloader-EV trojan !!! C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP291\A0083027.exe\A0083027.exe ... Repair failed - write access denied. C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP291\A0083029.exe\A0083029.exe\0001d510.EXE\0001d510.EXE ... Found the Downloader-EV trojan !!! C:\WINDOWS\system32\install.ini ... Found the HackerDefender.ini trojan !!! The file has been deleted. C:\WINDOWS\system32\msasvc.exe ... Found the PWS-JA trojan !!! C:\WINDOWS\system32\msasvc.exe ... Repair failed - write access denied. C:\WINDOWS\system32\tpedvf.dll ... Found the Spywarestrike.dldr trojan !!! C:\WINDOWS\system32\tpedvf.dll ... Repair failed - write access denied. C:\WINDOWS\system32\winwly32.dll ... Found the BackDoor-CVT trojan !!! C:\WINDOWS\system32\winwly32.dll ... Repair failed - write access denied. C:\WINDOWS\system32\xebybfjg.dll ... Found the Vundo trojan !!! C:\WINDOWS\system32\xebybfjg.dll ... Repair failed - write access denied. Summary report on C:\*.* File(s) Total files: ........... 82423 Clean: ................. 82411 Possibly Infected: ..... 12 Cleaned: ............... 0 Moved: ................. 0 Deleted: ............... 1 Time: 00:33.53 A+ Eric

Bonjour Mark, Aujourd'hui ça va beaucoup mieux quoique un peu pâle encore aujourd'hui J'ai passé au killbox ctcnarbc.exe et khffcyx.dll. Pas de problème ils ont bien disparu En ce qui concerne EMul, j'ai fait un nettoyage radical !!!! Pour les autres fichiers, ce sont des tests blancs. Avant de les supprimer définitivement je vais les mettre dans ma zone de quarantaine personnelle et les faire passer par d'autres antivirus : Antivir ne détecte rien et ça m'ennuierait beaucoup de m'en séparer ! Enfin tu noteras que j'ai aussi épuré la "trusted zone". Le problème c'est que j'ai fait des réglages IE très stricts (ce qui n'a pas suffi d'ailleurs !) et que je suis obligé de valider 50000 boites de dialogue pour chaque page chargée. D'où la zone de sécurité .. Par contre en travaillant ma propre liste de fichiers "suspects" je suis tombé sur c:\windows\system32\drvwak.dll infesté d'après antivir par "SPR/Hoax.Renos.GI". La date de la modification correspond avec celle de début de mon problème ... Qu'en penses-tu J'ai pu le mettre assez facilement en quarantaine dans un coin ... Toujours d'après mes propres analyses : - fichier autoexec.bat modifié en date du 7 Septembre 2006. Rien de probant dedans, mais je ne me souviens pas d'y avoir touché depuis bien plus longtemps que ça ! - dans un reste de fichier log de PC-Cillin, installé dans la panique puis désinstallé depuis, j'ai trouvé ce log : 164726|15|0|0|6|2|62.160.86.137|4317|192.168.0.92|139||MS06-040_Server_Service_Buffer_Overrun_Exploit . 62.160.86.136 correspondrait à la Chambre de Commerce et d'Industrie de Lille - Toujours des traces de symantec bien que je sois sûr d'avoir tout désinstallé dans c:\Documents and Settings\Administrateur\Application Data\Symantec\Shared, c:\Documents and Settings\All Users\Application Data\Symantec, c:\Program Files\Fichiers communs\Symantec Shared. Là je crois que je vais y aller à la mimine en mettant en quarantaine ces répertoires . Le problème c'est qu'il faudrait probablement faire la même chose sur le registre et cà, c'est une autre paire de manches ! - Un c:\Documents and Settings\Administrateur\Application Data\SearchToolbarCorp\Toolbar Vision. Impossible de savoir d'où ça vient - Un truc qui ne me plait vraiment pas : c:\Program Files\Fichiers communs\{7EAB2C22-06C5-1036-0916-0516050021}\system.dll. Impossible de trouver l'identifiant hexa dans la base de registre ? Rien qu'à cause du nom, j'ai envie de le cramer - Un autre du même genre c:\WINDOWS\Installer\{37477865-A3F1-4772-AD43-AAFC6BCFF99F}\icon.exe. Et bien sûr aucune icone dans ce programme ! Par contre l'identifiant hexa me renvoie par la base de registre à un c:\WINDOWS\Installer\dcd0c.msi et à un http://support.microsoft.com/kb/927978. Comme effectivement j'ai tenté des windows update (qui ce terminaient en blue screen d'ailleurs) je pense que je vais laisser passer celui-là - ha, un autre pas mal non plus, pegasus !!! Voici un petit extrait du log que j'ai trouvé dans C:\Program Files\The Open Group\WMI Mapper\logs\PegasusStandard.log (plus rien à partir de vendredi jour où je l'avais désinstallé avant de placer un SOS sur le forum). Noter au passage le "CIMServer" qui devient "cimserver", on se demande bien pourquoi ? : 11/30/06-20:05:23 INFO wmiserver: Started CIM Server version 2.4. 11/30/06-20:05:24 INFO CIMServer: Listening on HTTPS port 5989. 11/30/06-20:14:19 INFO wmiserver: Started CIM Server version 2.4. 11/30/06-20:14:23 INFO CIMServer: Listening on HTTPS port 5989. 11/30/06-22:16:58 INFO wmiserver: Started CIM Server version 2.4. 11/30/06-22:17:03 INFO CIMServer: Listening on HTTPS port 5989. 12/01/06-09:54:27 INFO wmiserver: Started CIM Server version 2.4. 12/01/06-09:54:29 INFO CIMServer: Listening on HTTPS port 5989. 12/01/06-13:02:58 INFO cimserver: Listening on HTTPS port 5989. 12/01/06-13:02:58 INFO cimserver: Started CIM Server version 2.4. Bon, c'est a peu près tout ce que j'ai retenu d'inquiétant ou d'inexpliqué. Rassures toi, je ne te demande pas ton avis sur tout ce que j'ai noté , sauf ce qui est en rouge. Le reste, c'est juste au cas où quelque chose ferait sonner une alarme dans ta tête ! Je place dans un autre post le dernier rapport HiJack Et juste après je placerai le scan de McAfee que j'avais réalisé avant d'appeler au secours avec un CD BartPE. Bonne lecture A+ Eric

Salut Qc001, As-tu déjà entendu parler d'un virus qui passe de l'ordinateur à l'humain ? Non ? Et bien ca y est, c'est fait. Hier mardi matin 39°5, 40° en fin de journée ... Vraiment bien fait ces virus en tout cas ça a été toute la journée. Ce matin ça va un peu mieux, mais c'est pas encore ça Pour ce qui est du rapport de Active Scan, je te l'avais posté le Dimance 03 décembre 2006 à 17h12 ... Ce n'est pas celui que tu attendais Effectivement je l'ai un peu remanié pour supprimer pas mal de lignes redondantes. AVant de refaire un scan je préfererais que tu me confirmes si ce rapport est celui que tu attends car je suis à la maison connecté en RTC et ça risque de prendre un max de temps J'essaierai de me reconnecter en fin d'am ... si je suis en état de le faire Danke Mykerinos, je télécharge ça dès que j'aurai une ligne digne de ce nom ! Bonne journée à tous les deux Eric

Anne, ma soeur Anne, ne vois tu rien venir ? Je ne vois rien que le soleil qui poudroie et l'herbe qui verdoie Bref, pas de nouvelle de Panda aujourd'hui Pour info, j'ai bien été obligé aujourd'hui de sortir mon portable de la quarantaine ... et tout va pour le mieux dans le meilleur des mondes, tout au moins en apparence Bonne soirée à toi A demain Eric

Bonjour Mark, je me reconnecte un peu tard ce matin : 1h30 de bouchon pour 1/2 heure de trajet en temps normal et pas mal de choses à traiter en suspend depuis que tout s'est déclenché Bref, c'est "le vit" comme disait un ami iranien qui ne parlait pas très bien le français. Je n'ose plus trop me connecter sur ma messagerie privée depuis l'incident. Je m'y suis quand même décidé tout à l'heure. Pour le moment, pas de news de Panda, juste un accusé de réception pour les fichiers que j'ai envoyés. Dès que j'aurai du nouveau je te le forwarderai. Quant à être rassuré pas la nature de akamai, en partie seulement car ce qu'il font est officiel, mais sur le fond ça ne me rassure pas du tout. On peut ainsi te renvoyer à l'insu de ton plein gréé à peu près vers n'importe quoi D'ailleurs je surveille maintenant un peu plus qu'avant les connections TCP ouvertes et je suis effaré : non seulement akamai, mais aussi ovh, xiti, yahoo ... parmi ceux que j'ai pris le temps d'indentifier ce matin ! Et bien sûr pas une seule fois je n'ai essayé de me connecter sur un de ces sites. J'ai une nette sensation de viol, de me faire dans les grandes largeurs et j'ai de grosses envies de Ce qui me surpend un peu c'est que je n'avais pas l'impression qu'avant le 29/11 il y avait autant de connections non voulus ouvertes Il faut dire que je ne surveillais pas autant que ce matin. Connais tu un petit utilitaire graphique qui permettrait de voir en temps réel les connections tcp ouverte ? C'est vrai que netstat dans une fenêtre DOS, on ne pense pas à le faire souvent. Si en prime un tel utilitaire pouvait donner le programme responsable de l'ouverture des connexions et/ou historiser les connections, ce serait top. Ha le bon vieux temps où le net était un outil de travail, loins de l'utilisation mercantile d'aujourd'hui ! Bon assez pleuré, au boulot. Je te tiens au courant dès que j'ai du nouveau de la part de PANDA. Ha si, une dernière question : penses-tu que je puisse m'adresser au forum OS pour le problème de pare-feu Windows dès maintenant, ou bien vaut-il mieux attendre que mon problème soit reglé avant d'attaquer cette partie ? A bientot Eric

Danke schön pour tes réponse pas seulement pseudo-intelligentes, mais aussi basées sur la compréhension et une expérience bien réelle de toutes ces vacheries ... Effectivement 2 en 1 ne me semble pas une bonne approche, car si un des deux est kaput du coup on peut se poser des questions sur le second . Je vais voir .... Par contre méa-culpa pour antivir : je viens de le mettre à jour et cette fois-ci il fait bien la quand il inspecte le fichier zhognyj.dll. Tout compte fait je vais peut-être le garder ce qui impliquera de repartir sur Zone Alarme ... version Pro. Pour ce soir je vais m'arrêter là : j'ai assez squatté mon voisin et néanmoins copain (c'est pas toujours le cas ) et je vais allez finir de faire le point sur cette fameuse liste personnelle de fichiers "suspects" Une dernière constatation : c'est bien en utilisant IE que des connexions http "cachées" sont ouvertes vers akamai ... cette fois-ci l'IP était 80.67.85.72. Tu penses que ça peut servir à quelquechose de leur signaler ou bien ça va juste les faire rigoler ? Il y a un organisme auprès duquel porter le pet ? Lorsque j'utilise un autre programme que IE pour ouvrir une connexion vers le port http, il n'y a rien de tel. Enfin pour remettre propre la partie OS et le pare-feu, même si je ne vais plus m'en servir , je vais allez voir tes copains en OS. En attendant demain passe une excellente soirée et chapeau pour le boulot A+ Eric

Et voici the latest HijackThis! : Logfile of HijackThis v1.99.1 Scan saved at 16:44:18, on 03/12/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Reflection\rtsserv.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxsrvc.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe C:\Program Files\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\HPQ\SHARED\HPQWMI.exe C:\Program Files\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [soundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe" O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe O4 - HKLM\..\Run: [ChangeResolution] C:\Documents and Settings\Administrateur\ChangeResolution.exe O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O12 - Plugin for .rx: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll O12 - Plugin for .rxc: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com O15 - Trusted Zone: www.airfrance.fr O15 - Trusted Zone: www.certifyexpress.com O15 - Trusted Zone: learning1.americas.cpqcorp.net O15 - Trusted Zone: *.dell.com O15 - Trusted Zone: www.geoportail.fr O15 - Trusted Zone: http://www4.itrc.hp.com O15 - Trusted Zone: *.hp.com O15 - Trusted Zone: www.hpsmartlearning.com O15 - Trusted Zone: http://aiedownload.intel.com O15 - Trusted Zone: http://downloadfinder.intel.com O15 - Trusted Zone: www.pandasoftware.com O15 - Trusted Zone: *.prometric.com O15 - Trusted Zone: www.radiofrance.fr O15 - Trusted Zone: *.simcms O15 - Trusted Zone: *.smaj02afk351n O15 - Trusted Zone: http://www.sonyericsson.com O15 - Trusted Zone: *.vmhost1 O15 - Trusted Zone: *.vmhost2 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1161952101687 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetup Control) - https://my.cdiscount.com/dana-cached/setup/JuniperSetup.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: ckpNotify - C:\WINDOWS\SYSTEM32\ckpNotify.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe (file missing) O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe O23 - Service: Reflection TimeSync - WRQ, Inc. - C:\Program Files\Reflection\rtsserv.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing) O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe O23 - Service: WMI nPar Provider (WMINParProvider) - Unknown owner - C:\Program Files\Hewlett-Packard\WMINParProvider\WMINParProvider.exe" -service (file missing)

Bon, ca y est, voici le rapport de Active Scan. Je l'ai un peu trituré : environ 200 fichiers du même acabit et des lignes paddées systématiquement avec des blancs inutiles. Je me rend compte que j'ai oublié le dernier HijackThis! Je vais le chercher ... Incident Status Location Virus:trj/torpig.a Disinfected Operating system Potentially unwanted tool:Application/Processor Not Disinfected C:\Documents and Settings\Administrateur\Bureau\SDFix.exe[sDFix\apps\Process.exe] Potentially unwanted tool:Application/Processor Not Disinfected C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\Process.exe Potentially unwanted tool:Application/Processor Not Disinfected C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix.zip[smitfraudFix/Process.exe] Spyware:Cookie/Tradedoubler Not Disinfected C:\Documents and Settings\Administrateur\Cookies\esaubignac@tradedoubler[2].txt Spyware:Cookie/Xiti Not Disinfected C:\Documents and Settings\Administrateur\Cookies\esaubignac@xiti[1].txt Potentially unwanted tool:Application/Processor Not Disinfected C:\SDFix\apps\Process.exe Potentially unwanted tool:Application/VSToolbar Not Disinfected C:\WINDOWS\system32\ctcnarbc.exe Spyware:Spyware/Virtumonde Not Disinfected C:\WINDOWS\system32\khffcyx.dll Virus:Bck/Assasin.Q Not Disinfected D:\Emul\incoming\Avs Video Converter 4.1 Crack(2).rar[crack.exe] Virus:Bck/Assasin.Q Not Disinfected D:\Emul\incoming\Avs Video Converter 4.1 Crack(4).rar[AVS Video Converter 4.1 crack\crack.exe] Adware:Adware/IST.ISTBar Not Disinfected D:\Emul\incoming\Avs Video Converter 4.2 Keygen(2).zip[setup.exe] Adware:Adware/IST.ISTBar Not Disinfected D:\Emul\incoming\avs video converter 4.2 keygen(3).zip[setup.exe] Adware:Adware/IST.ISTBar Not Disinfected D:\Emul\incoming\KeyGen Avs Video Converter 4.1.exe Adware:Adware/Bitamobar Not Disinfected D:\Emul\incoming\WinAVI Video Converter v7.1_crack.zip[crack-inf.exe][autoupdatev2.exe] Possible Virus. Not Disinfected D:\Esaubignac\PERSO\Formations & certifs\A Traiter\642-871.zip[642-871.exe] Possible Virus. Not Disinfected D:\Esaubignac\PERSO\Formations & certifs\A Traiter\642-871.zip[642-871en.exe] Possible Virus. Not Disinfected D:\Esaubignac\PERSO\Formations & certifs\HP\CSA HP-UX\HP0-091.zip[HP0-091.exe] Possible Virus. Not Disinfected D:\Esaubignac\PERSO\Formations & certifs\HP\CSA HP-UX\HP0-091.zip[HP0-091en.exe] -------------------------------------------------- Possible Virus. Not Disinfected D:\Esaubignac\PERSO\Formations & certifs\HP\Tests en vrac\000-237.zip[000-237.exe] Possible Virus. Not Disinfected D:\Esaubignac\PERSO\Formations & certifs\HP\Tests en vrac\000-237.zip[000-237en.exe] .../... Au total 28 Fichiers du même type .../... Possible Virus. Not Disinfected D:\Esaubignac\PERSO\Formations & certifs\HP\Tests en vrac\NS0-170.zip[NS0-170.exe] Possible Virus. Not Disinfected D:\Esaubignac\PERSO\Formations & certifs\HP\Tests en vrac\NS0-170.zip[NS0-170en.exe] -------------------------------------------------- Possible Virus. Not Disinfected D:\Esaubignac\PERSO\Formations & certifs\HP\Tests examworx\HP0-087-2.zip[HP0-087.exe] Possible Virus. Not Disinfected D:\Esaubignac\PERSO\Formations & certifs\HP\Tests examworx\HP0-087-2.zip[HP0-087en.exe] .../... Au total 170 Fichiers du même type .../... Possible Virus. Not Disinfected D:\Esaubignac\PERSO\Formations & certifs\HP\Tests examworx\HP2-005.zip[HP2-005.exe] Possible Virus. Not Disinfected D:\Esaubignac\PERSO\Formations & certifs\HP\Tests examworx\HP2-005.zip[HP2-005en.exe] -------------------------------------------------- Virus:Trj/Multidropper.BHU Not Disinfected D:\Esaubignac\Fournisseurs & constructeurs (docs)\Exam Collection\Visual.CertExam.Suite.v1.9.815.WinAll.Cracked-IND.ZIP.rar[crack-inf.exe] Virus:Bck/Hacdef.ED Not Disinfected D:\Esaubignac\Fournisseurs & constructeurs (docs)\Exam Collection\Visual.CertExam.Suite.v1.9.815.WinAll.Cracked-IND.ZIP.rar[crack-inf.exe][ZCheckUpdate.exe] Virus:Trj/Downloader.INZ Not Disinfected D:\Esaubignac\Fournisseurs & constructeurs (docs)\Exam Collection\Visual.CertExam.Suite.v1.9.815.WinAll.Cracked-IND.ZIP.rar[crack-inf.exe][ZAdobeGammaLoader.exe] Possible Virus. Not Disinfected D:\Esaubignac\Fournisseurs & constructeurs (Downloads)\Sécurité\Spyware\XoftSpySE\patch.exe Possible Virus. Not Disinfected D:\Esaubignac\Fournisseurs & constructeurs (Downloads)\Sécurité\Spyware\XoftSpySE\XoftSpySE-Patch.rar[patch.exe]

Le scan est en cours : déja 1 virus/ corrigé, 2 spyware / non corrigés, 3 hacking tools and rootkits / non corrigés. PS : j'ai refait un netstat tout à l'heure. J'y ai trouvé un 213.200.111.17 qui correspond à Akamai Technologies déja cité au du début du mail vrai saloperie ce truc ! Voici le rapport de SmitFraudFix SmitFraudFix v2.126 Rapport fait à 12:46:42,29, 03/12/2006 Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT Fix executé en mode sans echec »»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{1a01a98c-4f25-42e1-971a-185cf63569b2}"="expatriates" »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés C:\WINDOWS\system32\ismini.exe supprimé C:\WINDOWS\system32\components\flx?.dll supprimé »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre Nettoyage terminé. »»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Fin

Bonjour Les 100000 ne sont plus que 700 ... il me reste encore à travailler pour affiner tout ça : je ne vais garder que ce qui me parait suspect tant pis si j'en laisse passer je préfère que ça reste digeste pour celui qui y jettera un oeil plutot que lassant !!! Fond d'écran effectivement je n'en ai plus, des fausses alertes par contre à la pelle (plus du tout depuis que nous travaillons ensemble mais tout ça remonte à la date du 29/11/2006. Donc pas trop de dégats coté keylogger j'espère, peut être mes boites aux lettres, car je ne me suis pas connecté chez mes clients depuis "l'incident". Je viens de m'apercevoir que même le fond d'écran que j'avais pour se logguer sur le poste a disparu ... saloperie J'ai par contre eu un petit pépin coté fond d'écran, vers le 20 Octobre. Par contre c'était suit à l'installtion de "dektop manager", un powertoy de Microsoft. Comme c'est du multi bureau, avec gestion indépendante des fonds d'écran de chaque fenêtre, je pense que l'incident que j'ai eu était vraiment lié à ce produit. Bref je vais quand même faire le nécessaire pour réinitialiser tout les mots de passe ... Pour ce qui est du coté des anti-virus, firewall, anti spy, etc ... je pensais te demander conseil Je ne pense pas garder Antivir, tout simplement parcequ'il n'a pas détecté quoi que ce soit dans zhognyj.dll lorsque j'ai tenté de l'uploader hier depuis mon portable. Bon d'accord, je n'ai pas fait de mise à jour, mais la signature date du 06/09/2006, donc pas trop vieille. Je referai un test une fois la mise à jour faite. Pour revenir aux choix à faire, je pensais installer PC-Cillin de Trend qui à l'avantage d'intégrer un firewall et pour lequel nous avons des licenses. Qu'en penses tu ? Adaware, Spybot pour les nettoyages et SpywareBlaster pour le temps réel. Si tu as des suggestions dans un sens ou l'autre n'hésites pas, ... Pour ce qui est du Firewall inexistant, c'est normal. A ma grande honte j'utilisais le pare-feu intégré de Windows XP depuis que j'ai changé de portable : esentiellement flemme de réinstaller, pas de problème depuis, etc ... Avant j'utilisais zoneAlarm . Bref depuis l'incident du 29/11, même le pare-feu de Windows à sauté !!! J'ai trouvé une procédure pour le réinstaller, à base d'un registre à importer avec regedit. Le problème c'est que je l'ai maintenant en breton et qu'il ya quelque part un problème de connexion à un handle. Donc c'est probablement très mal réinstallé, d'où ta remarque. As tu une procédure pour refaire ça plus propre ? Même si je compte utiliser PC-Cillin, voire revenir à ZoneAlarm, je préfereais que l'install soit propre Bon assez causé, au boulot maintenant Je ne sais pas quand je posterai les rapports : le scan d'après ce que tu dis semble assez long. Je vais donc laisser le portable chez mon copain et ne reviendrai faire le point qu'en fin d'AM ... pour éviter de trop m'incruster. Bonne journée à toi A+ Eric

Bon après un petiy whisky je n'ai pas trop avancé sur l'analyse des fichiers modifiés récemmment Alors à demain ... si vous le voulez bien !

Je viens d'essayer d'envoyer la dll sur http://www.uploadmalware.com depuis mon portable : impossible. Quand je jette un oeil sur mes connexion tcp ouvertes j'en vois beaucoup plus que ce à quoi je m'attend TCP kalamanga:1068 fk-in-f104.google.com:http ESTABLISHED TCP kalamanga:1070 logv7.xiti.com:http TIME_WAIT TCP kalamanga:1081 72.14.209.99:http ESTABLISHED TCP kalamanga:1085 logv7.xiti.com:http TIME_WAIT TCP kalamanga:1091 frmdvip1.doubleclick.net:http TIME_WAIT TCP kalamanga:1095 frmdvip1.doubleclick.net:http TIME_WAIT TCP kalamanga:1097 217.212.240.173:http TIME_WAIT TCP kalamanga:1099 logv7.xiti.com:http TIME_WAIT TCP kalamanga:1101 ip-208-109-17-89.ip.secureserver.net:http ESTABLISHED Il semblerait qu'il reste encore du boulot non ? Pour ce qui est de la DLL je l'ai finalement envoyée depuis le PC du copain en désactivant quelques secondes l'antivirus. Bon je retourne analyser la liste de mes fichiers Eric

Bonne journée ? Pour moi ce fut à la maison, à coté du feu de cheminée à passer les outils demandés sur le portable. J'ai également commencé à préparer une liste des derniers fichiers modifiés sur l'ordi, mais presque 100 000 à trier ça prend du temps. Heureusement que j'ai vi ! Je te livrerai le résultat de mes cogitations dans un autre post. En attendant, voici le rapport : Phase HijackThis! : RAS Phase nettoyage manuel : juste trouvé un ibm00002.dll ATF Cleaner : RAS Rapport SmitFraudFix SmitFraudFix v2.126 Rapport fait à 16:23:25,32, 02/12/2006 Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT Fix executé en mode normal »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 C:\WINDOWS\system32\ismini.exe PRESENT ! C:\WINDOWS\system32\components\flx?.dll PRESENT ! C:\WINDOWS\system32\components\flx??.dll PRESENT ! C:\WINDOWS\system32\components\flx???.dll PRESENT ! »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris »»»»»»»»»»»»»»»»»»»»»»»» Bureau »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Ma page d'accueil" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{1a01a98c-4f25-42e1-971a-185cf63569b2}"="expatriates" »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32 »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll »»»»»»»»»»»»»»»»»»»»»»»» Fin Nouvel HijackThis! Logfile of HijackThis v1.99.1 Scan saved at 16:28:00, on 02/12/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe C:\WINDOWS\Explorer.EXE C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Reflection\rtsserv.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe C:\Program Files\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\system32\igfxsrvc.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\HPQ\SHARED\HPQWMI.exe C:\Program Files\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [soundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe" O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe O4 - HKLM\..\Run: [ChangeResolution] C:\Documents and Settings\Administrateur\ChangeResolution.exe O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O12 - Plugin for .rx: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll O12 - Plugin for .rxc: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com O15 - Trusted Zone: www.airfrance.fr O15 - Trusted Zone: www.certifyexpress.com O15 - Trusted Zone: learning1.americas.cpqcorp.net O15 - Trusted Zone: *.dell.com O15 - Trusted Zone: www.geoportail.fr O15 - Trusted Zone: http://www4.itrc.hp.com O15 - Trusted Zone: *.hp.com O15 - Trusted Zone: www.hpsmartlearning.com O15 - Trusted Zone: http://aiedownload.intel.com O15 - Trusted Zone: http://downloadfinder.intel.com O15 - Trusted Zone: *.prometric.com O15 - Trusted Zone: www.radiofrance.fr O15 - Trusted Zone: *.simcms O15 - Trusted Zone: *.smaj02afk351n O15 - Trusted Zone: http://www.sonyericsson.com O15 - Trusted Zone: *.vmhost1 O15 - Trusted Zone: *.vmhost2 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1161952101687 O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetup Control) - https://my.cdiscount.com/dana-cached/setup/JuniperSetup.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: ckpNotify - C:\WINDOWS\SYSTEM32\ckpNotify.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe (file missing) O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe O23 - Service: Reflection TimeSync - WRQ, Inc. - C:\Program Files\Reflection\rtsserv.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing) O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe O23 - Service: WMI nPar Provider (WMINParProvider) - Unknown owner - C:\Program Files\Hewlett-Packard\WMINParProvider\WMINParProvider.exe" -service (file missing) Eric

Bonjour Qc001 ... ou Mark ?, Merci de ton post. Je ne m'éternise pas non plus : je sqatte la liaison d'un copain qui ne va tarder à s'en aller. Je reviendrai donc ce soir poster les résultats Pour l'envoi du fichier, je viens d'essayer directement avec le portable qui est infecté mais ça ne fonctionne pas, même en désactivant l'antivirus. Je réessaierai ce soir ... J'ai bien tenté de l'expédier depuis le poste du copain avec une clé USB mais son anti-virus, Norton lui-aussi, le détecte en Trojan.Busky. Comme j'avais moi aussi Norton avant tout ce patacaisse, je reste perplexe : comment est-il entré ce truc ? En ce qui concerne les "mauvaises nouvelles" je n'ai que peu d'activité financière sur le Net : 4 paypal seulement depuis Mai dernier. La seule fois où j'ai donné les référence de ma CB c'était en Mai lorsque j'ai créé mon compte. Ca craint ? Pour le reste pas de gestion de compte en ligne, rien de tel. Par contre j'ai pas mal de connexion RTC, VPN, ou autres de différentes sortes pour me connecter chez mes clients. Et là un keylogger ça craint. Je présume qu'il faut que je leur fasse changer tous mes accès ? Bon après-midi et à ce soir Eric

.... bon appétit donc Je te poste les derniers results puis je me sauve pour de bon, manger également mais aussi prendre une bonne et faire un gros Avenger.txt Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\cvs^xndm ******************* Script file located at: \??\C:\Documents and Settings\unjscdte.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Driver PE386 unloaded successfully. Program C:\Rustbfix\2run.bat successfully set up to run once on reboot. Completed script processing. ******************* Finished! Terminate. pelog.txt ************************* Rustock.b-fix -- By ejvindh ************************* 02/12/2006 0:43:32,40 ******************* Pre-run Status of system ******************* Rootkit driver PE386 is found. Starting the unload-procedure.... Examine the Avenger-logfile in order to assess the success of the unload-procedure Rustock.b-ADS attached to the System32-folder: :lzx32.sys 70504 Total size: 70504 bytes. Attempting to remove ADS... system32: deleted 70504 bytes in 1 streams. ******************* Post-run Status of system ******************* Rustock.b-driver on the system: NONE! Rustock.b-ADS attached to the System32-folder: No streams found. ******************************* End of Logfile ******************************** et pour terminer Hijack This Logfile of HijackThis v1.99.1 Scan saved at 00:51:33, on 02/12/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Reflection\rtsserv.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe C:\WINDOWS\NOTEPAD.EXE C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe C:\Program Files\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe C:\WINDOWS\system32\notepad.exe C:\Program Files\HPQ\SHARED\HPQWMI.exe C:\Program Files\HijackThis\HijackThis.exe \?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file) O2 - BHO: (no name) - {35F7813A-AF74-4474-B1DC-7EE6FB6C43C6} - C:\WINDOWS\system32\vexcmdxw.dll (file missing) O2 - BHO: (no name) - {4478BC11-4C04-46A5-FDF4-03264228416D} - C:\WINDOWS\system32\zuuefyb.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: (no name) - {67270207-b9ee-4d26-9270-860fdb060ca1} - C:\WINDOWS\system32\ixt0.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {9B6CF9EE-F082-44BC-8C4B-71C2661CF0A5} - C:\WINDOWS\system32\vturs.dll (file missing) O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [soundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe" O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe O4 - HKLM\..\Run: [ChangeResolution] C:\Documents and Settings\Administrateur\ChangeResolution.exe O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM O4 - HKLM\..\Run: [DELETED_zhognyj.dll] C:\WINDOWS\system32\rundll32_DELETED.exe C:\WINDOWS\system32\zhognyj_DELETED.dll,pnpxkgg O4 - HKLM\..\Run: [DELETED_Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon_DELETED.exe /Consumer O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [autoupdatev2] C:\WINDOWS\system32\autoupdatev2.exe O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O12 - Plugin for .rx: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll O12 - Plugin for .rxc: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com O15 - Trusted Zone: www.airfrance.fr O15 - Trusted Zone: www.certifyexpress.com O15 - Trusted Zone: learning1.americas.cpqcorp.net O15 - Trusted Zone: *.dell.com O15 - Trusted Zone: www.geoportail.fr O15 - Trusted Zone: http://www4.itrc.hp.com O15 - Trusted Zone: *.hp.com O15 - Trusted Zone: www.hpsmartlearning.com O15 - Trusted Zone: http://aiedownload.intel.com O15 - Trusted Zone: http://downloadfinder.intel.com O15 - Trusted Zone: *.prometric.com O15 - Trusted Zone: www.radiofrance.fr O15 - Trusted Zone: *.simcms O15 - Trusted Zone: *.smaj02afk351n O15 - Trusted Zone: http://www.sonyericsson.com O15 - Trusted Zone: *.vmhost1 O15 - Trusted Zone: *.vmhost2 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1161952101687 O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetup Control) - https://my.cdiscount.com/dana-cached/setup/JuniperSetup.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: ckpNotify - C:\WINDOWS\SYSTEM32\ckpNotify.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O20 - Winlogon Notify: winwly32 - winwly32.dll (file missing) O21 - SSODL: expatriates - {1a01a98c-4f25-42e1-971a-185cf63569b2} - C:\WINDOWS\system32\tpedvf.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe (file missing) O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe O23 - Service: Reflection TimeSync - WRQ, Inc. - C:\Program Files\Reflection\rtsserv.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing) O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe O23 - Service: WMI nPar Provider (WMINParProvider) - Unknown owner - C:\Program Files\Hewlett-Packard\WMINParProvider\WMINParProvider.exe" -service (file missing) A demain Eric

... j'avais pas vu ta réponse ... j'ai mis trop de temps à préparer mon précédent post. Bon je télécharge et j'exécute. Par contre faut-il exécuter en mode sans échec ou bien en mode "normal" ?