gato456

Allez, si, une dernière info avant de quitter. Il reste sous c:\windows\system32 certaines dll qui était datée du 30/11, que j'avais trouvées suspectes (nom zarbi, n'existent pas sur d'autres XP SP2, dates, ...) et qui sont maintenant datées de mon dernier reboot, notemment : zuuefyb.dll, khffcyx.dll ou même ismini.exe. Je me demande s'il ne faudrait pas les supprimer ? 13/10/2006 13:36 64 000 BUILTIN\Administrateurs nwapi32.dll 13/10/2006 13:36 65 536 BUILTIN\Administrateurs nwwks.dll 13/10/2006 13:36 145 920 BUILTIN\Administrateurs nwprovau.dll 16/10/2006 11:40 121 856 KALAMANGA\esaubignac xpsp3res.dll 20/10/2006 11:50 8 406 KALAMANGA\esaubignac jupdate-1.4.2_12-b03.log 04/11/2006 14:14 1 245 696 KALAMANGA\esaubignac msxml4.dll 30/11/2006 15:28 72 704 KALAMANGA\esaubignac drvwak.dll 30/11/2006 15:28 70 656 KALAMANGA\esaubignac zuuefyb.dll 30/11/2006 16:07 88 340 KALAMANGA\esaubignac ctcnarbc.exe 30/11/2006 16:59 6 144 KALAMANGA\esaubignac ismini.exe 30/11/2006 17:24 <REP> KALAMANGA\esaubignac components 30/11/2006 19:48 <REP> KALAMANGA\esaubignac dustbin 01/12/2006 16:07 143 KALAMANGA\esaubignac mcrh.tmp 01/12/2006 16:59 <REP> BUILTIN\Administrateurs CatRoot2 01/12/2006 17:20 1 158 BUILTIN\Administrateurs wpa.dbl 01/12/2006 19:49 <REP> BUILTIN\Administrateurs drivers 01/12/2006 23:35 24 576 KALAMANGA\esaubignac VundoFixSVC.exe 01/12/2006 23:37 122 214 BUILTIN\Administrateurs ckpNotify.log 01/12/2006 23:41 951 770 BUILTIN\Administrateurs PerfStringBackup.INI 01/12/2006 23:41 53 098 BUILTIN\Administrateurs perfc009.dat 01/12/2006 23:41 64 052 BUILTIN\Administrateurs perfc00C.dat 01/12/2006 23:41 380 684 BUILTIN\Administrateurs perfh009.dat 01/12/2006 23:41 445 672 BUILTIN\Administrateurs perfh00C.dat Et comme par hasard ils appartiennent à mon compte. Dans components on trouve flx0.dll et flx7.dll. Qu'en pensez vous ? Encore merci à tous les 2 et à demain Eric

Et bien je vais faire pareil ... j'ai une 1/2 heure pour rentrer chez moi, je n'ai pas encore mangé, et les zeuilles commencent à fatiguer Je n'ai pas Internet chez moi : refus jusqu'à présent mais ça va changer à Noël pour ma fille, difficile de faire autrement Bref, j'ai donc prévenu un voisin chez qui j'irai me connecter demain vers Midi ou en fin d'AM. A demain donc, et un grand merci pour votre aide Eric "Just Do It"

Et pour terminer un nouveau Hijack This. En le survolant j'ai noté que mon fichier hosts a sauté. Pas bien grave je le referai, à moins qu'il ne soit en backup quelque part ? Logfile of HijackThis v1.99.1 Scan saved at 23:39:53, on 01/12/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Reflection\rtsserv.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe C:\Program Files\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe C:\Program Files\HPQ\SHARED\HPQWMI.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file) O2 - BHO: (no name) - {35F7813A-AF74-4474-B1DC-7EE6FB6C43C6} - C:\WINDOWS\system32\vexcmdxw.dll (file missing) O2 - BHO: (no name) - {4478BC11-4C04-46A5-FDF4-03264228416D} - C:\WINDOWS\system32\zuuefyb.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: (no name) - {67270207-b9ee-4d26-9270-860fdb060ca1} - C:\WINDOWS\system32\ixt0.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {9B6CF9EE-F082-44BC-8C4B-71C2661CF0A5} - C:\WINDOWS\system32\vturs.dll (file missing) O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [soundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe" O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe O4 - HKLM\..\Run: [ChangeResolution] C:\Documents and Settings\Administrateur\ChangeResolution.exe O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM O4 - HKLM\..\Run: [DELETED_zhognyj.dll] C:\WINDOWS\system32\rundll32_DELETED.exe C:\WINDOWS\system32\zhognyj_DELETED.dll,pnpxkgg O4 - HKLM\..\Run: [DELETED_Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon_DELETED.exe /Consumer O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [autoupdatev2] C:\WINDOWS\system32\autoupdatev2.exe O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O12 - Plugin for .rx: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll O12 - Plugin for .rxc: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com O15 - Trusted Zone: www.airfrance.fr O15 - Trusted Zone: www.certifyexpress.com O15 - Trusted Zone: learning1.americas.cpqcorp.net O15 - Trusted Zone: *.dell.com O15 - Trusted Zone: www.geoportail.fr O15 - Trusted Zone: http://www4.itrc.hp.com O15 - Trusted Zone: *.hp.com O15 - Trusted Zone: www.hpsmartlearning.com O15 - Trusted Zone: http://aiedownload.intel.com O15 - Trusted Zone: http://downloadfinder.intel.com O15 - Trusted Zone: *.prometric.com O15 - Trusted Zone: www.radiofrance.fr O15 - Trusted Zone: *.simcms O15 - Trusted Zone: *.smaj02afk351n O15 - Trusted Zone: http://www.sonyericsson.com O15 - Trusted Zone: *.vmhost1 O15 - Trusted Zone: *.vmhost2 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1161952101687 O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetup Control) - https://my.cdiscount.com/dana-cached/setup/JuniperSetup.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: ckpNotify - C:\WINDOWS\SYSTEM32\ckpNotify.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O20 - Winlogon Notify: winwly32 - winwly32.dll (file missing) O21 - SSODL: expatriates - {1a01a98c-4f25-42e1-971a-185cf63569b2} - C:\WINDOWS\system32\tpedvf.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe (file missing) O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe O23 - Service: Reflection TimeSync - WRQ, Inc. - C:\Program Files\Reflection\rtsserv.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing) O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe O23 - Service: WMI nPar Provider (WMINParProvider) - Unknown owner - C:\Program Files\Hewlett-Packard\WMINParProvider\WMINParProvider.exe" -service (file missing)

Voici celui de sdfix .... beaucoup plus hermétique à mon gout SDFix: Version 1.44 ******************** 01/12/2006 - 23:16:02,56 Microsoft Windows XP [version 5.1.2600] Running From: C:\SDFix Stage One - Safe Mode Checking Services... Service Name: MsaSvc File Path: C:\WINDOWS\system32\msasvc.exe MsaSvc Service Deleted... Starting Registry Repairs... Killing PID 164 'smss.exe' Killing PID 280 'winlogon.exe' Restoring Default Hosts File... Stage One Complete Rebooting... Stage Two - Normal Mode Checking For Malware: -------------------- C:\WINDOWS\system32\rpcc.dll C:\WINDOWS\Temp\win1.tmp C:\WINDOWS\Temp\win2.tmp C:\WINDOWS\Temp\win3.tmp C:\WINDOWS\Temp\win8.tmp C:\WINDOWS\Temp\winC.tmp C:\WINDOWS\Temp\winD.tmp C:\WINDOWS\Temp\winE.tmp C:\WINDOWS\Temp\winF.tmp Backing Up and Removing any Files Found... Final Check: Services: --------- Rootkit pe386 Present! Authorized Applications Export: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.exe REG_SZ C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.exe:*:Enabled:SecureClient Application C:\WINDOWS\system32\sessmgr.exe REG_SZ C:\WINDOWS\system32\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List %windir%\system32\sessmgr.exe REG_SZ %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 Files: ------ Backups Folder: - C:\SDFix\backups\backups.zip Checking for files with Hidden Attributes: C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP291\A0088070.dll C:\WINDOWS\system32\khffcyx.dll C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP291\A0083028.exe C:\WINDOWS\system32\cdplayer.exe.manifest C:\WINDOWS\system32\logonui.exe.manifest C:\hiberfil.sys C:\IO.SYS C:\MSDOS.SYS C:\pagefile.sys C:\Documents and Settings\Administrateur\Application Data\Microsoft\Word\~WRL1550.tmp C:\Documents and Settings\Administrateur\Application Data\Microsoft\Word\~WRL1922.tmp C:\Documents and Settings\Administrateur\Application Data\Microsoft\Word\~WRL1971.tmp C:\Documents and Settings\Administrateur\Application Data\Microsoft\Word\~WRL2864.tmp C:\Documents and Settings\Administrateur\Local Settings\Temp\$b17a2e8.tmp C:\WINDOWS\Temp\$_2341233.TMP C:\WINDOWS\Temp\$_2341235.TMP FINISHED!

Voici le rapport de vundofix ... on dirait que vturs.dll n'a pas résisté VundoFix V6.2.13 Checking Java version... Java version is 1.5.0.4 Java version is 1.5.0.6 Scan started at 23:30:32 01/12/2006 Listing files found while scanning.... C:\WINDOWS\system32\zhognyj.dll C:\WINDOWS\system32\vturs.dll C:\WINDOWS\system32\srutv.ini C:\WINDOWS\system32\srutv.bak1 C:\WINDOWS\system32\srutv.bak2 Beginning removal... Attempting to delete C:\WINDOWS\system32\zhognyj.dll C:\WINDOWS\system32\zhognyj.dll Has been deleted! Attempting to delete C:\WINDOWS\system32\vturs.dll C:\WINDOWS\system32\vturs.dll Has been deleted! Attempting to delete C:\WINDOWS\system32\srutv.ini C:\WINDOWS\system32\srutv.ini Has been deleted! Attempting to delete C:\WINDOWS\system32\srutv.bak1 C:\WINDOWS\system32\srutv.bak1 Has been deleted! Attempting to delete C:\WINDOWS\system32\srutv.bak2 C:\WINDOWS\system32\srutv.bak2 Has been deleted! Performing Repairs to the registry. Done!

Ok, je m'y mets tout de suite .... Eric

Je viens seulement de me souvenir, en regardant le rapport, que j'avais renommé deux clés dans HKLM\...\Run : les 2 DELETED_<quelque chose, c'est moi>

Sous c:\Program Files\toto\toto.exe (pas très imaginatif !) Logfile of HijackThis v1.99.1 Scan saved at 22:49:02, on 01/12/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Reflection\rtsserv.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\Explorer.EXE C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Program Files\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\HPQ\SHARED\HPQWMI.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\toto\toto.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: 172.30.31.31 rigel2 #Reseau Serveurs O1 - Hosts: 172.30.59.31 rigel2 #Reseau Bdb O1 - Hosts: 172.30.31.36 castor2 #Reseau Serveurs O1 - Hosts: 172.30.59.36 castor2 #Reseau Bdb O1 - Hosts: 172.30.31.52 titan2 #Reseau Seveurs O1 - Hosts: 172.30.59.52 titan2 #Reseau Bdb O1 - Hosts: 172.30.31.67 uranus2 #Reseau Serveurs O1 - Hosts: 172.30.59.67 uranus2 #Reseau Bdb O1 - Hosts: 172.30.31.35 vega2 #Reseau Serveurs O1 - Hosts: 172.30.59.35 vega2 #Reseau Bdb O1 - Hosts: 172.30.56.33 aigle #Reseau Serveurs O1 - Hosts: 172.30.60.33 aigle #Reseau Bdb O1 - Hosts: 172.30.56.30 andromed #Reseau Serveurs O1 - Hosts: 172.30.60.30 andromed #Reseau Bdb O1 - Hosts: 172.30.56.35 vega2s #Reseau Serveurs O1 - Hosts: 172.30.60.35 vega2s #Reseau Bdb O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file) O2 - BHO: (no name) - {35F7813A-AF74-4474-B1DC-7EE6FB6C43C6} - C:\WINDOWS\system32\vexcmdxw.dll (file missing) O2 - BHO: (no name) - {40C3BD06-16CD-4BDE-A28E-089DCCC1525D} - C:\WINDOWS\system32\vturs.dll O2 - BHO: (no name) - {4478BC11-4C04-46A5-FDF4-03264228416D} - C:\WINDOWS\system32\zuuefyb.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: (no name) - {67270207-b9ee-4d26-9270-860fdb060ca1} - C:\WINDOWS\system32\ixt0.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [soundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe" O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe O4 - HKLM\..\Run: [ChangeResolution] C:\Documents and Settings\Administrateur\ChangeResolution.exe O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM O4 - HKLM\..\Run: [DELETED_zhognyj.dll] C:\WINDOWS\system32\rundll32_DELETED.exe C:\WINDOWS\system32\zhognyj_DELETED.dll,pnpxkgg O4 - HKLM\..\Run: [DELETED_Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon_DELETED.exe /Consumer O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [autoupdatev2] C:\WINDOWS\system32\autoupdatev2.exe O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O12 - Plugin for .rx: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll O12 - Plugin for .rxc: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com O15 - Trusted Zone: www.airfrance.fr O15 - Trusted Zone: www.certifyexpress.com O15 - Trusted Zone: learning1.americas.cpqcorp.net O15 - Trusted Zone: *.dell.com O15 - Trusted Zone: www.geoportail.fr O15 - Trusted Zone: http://www4.itrc.hp.com O15 - Trusted Zone: *.hp.com O15 - Trusted Zone: www.hpsmartlearning.com O15 - Trusted Zone: http://aiedownload.intel.com O15 - Trusted Zone: http://downloadfinder.intel.com O15 - Trusted Zone: *.prometric.com O15 - Trusted Zone: www.radiofrance.fr O15 - Trusted Zone: *.simcms O15 - Trusted Zone: *.smaj02afk351n O15 - Trusted Zone: http://www.sonyericsson.com O15 - Trusted Zone: *.vmhost1 O15 - Trusted Zone: *.vmhost2 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1161952101687 O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetup Control) - https://my.cdiscount.com/dana-cached/setup/JuniperSetup.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: ckpNotify - C:\WINDOWS\SYSTEM32\ckpNotify.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll O20 - Winlogon Notify: vturs - C:\WINDOWS\system32\vturs.dll O20 - Winlogon Notify: winwly32 - winwly32.dll (file missing) O21 - SSODL: expatriates - {1a01a98c-4f25-42e1-971a-185cf63569b2} - C:\WINDOWS\system32\tpedvf.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe (file missing) O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing) O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe O23 - Service: Reflection TimeSync - WRQ, Inc. - C:\Program Files\Reflection\rtsserv.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing) O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe O23 - Service: WMI nPar Provider (WMINParProvider) - Unknown owner - C:\Program Files\Hewlett-Packard\WMINParProvider\WMINParProvider.exe" -service (file missing)

Le temps de rallumer la bestiole ...

Bonsoir à tous, Il fallait bien que ça arrive un jour. Bref un executable pas net, l'antivirus qui ne bronche pas (Norton 2005) et voila maintenant 36 heures que j'essaye de m'en tirer Il me semble bien que c'était virusblaster, mais honnetement après les kilomètres de discussions parcourus sur les forums, je ne sais même plus exactement ce que j'ai chopé ! En tout cas Norton automatiquement désinstallé (chapeau !), des dialers en italiens ou en espagnol, des warnings pour aller acheter je ne sais plus antispyware et summum le pare-feu de windows kaput !!! Cela étant pour ce dernier point j'ai un doute : c'est peut-être moi en voulant désinfecter mon poste qui a merdoyé. Bien sûr panique : téléchargement du 1er spyware semblant correspondre au pb (XoftSpySe), puis du crack correspondant (puisque je suis vérolé je prends le risque de l'être un peu plus), passage du spy, corrections mineurse mais ça continu. Localisation par la date, d'exécutables à la racine qui n'ont rien à y faire : suppression sauvage ! Localisation sous system32 de nouveaux programmes comme ishost.exe, ismini.exe, cool.exe. Envie de faire une suppression sauvage, mais je passe d'abord par BartPE et MacAfee qui confime pour certains programmes ... Bref je vais pas vous raconter ma vie car des choses j'en ai fait un paquet depuis hier et certainement pas des plus intelligentes ... Il reste que depuis, j'ai des ports http ouverts chez akamaitechnologies, chez 62.225.115.151 dès que je me ballade avec IE et que dès que j'essaye de faire un Windows Update avec l'install de IE7 et de sa "détection de logiciels malvaillants" c'est blue screen. Pas Glop Ce serait pas tout simplement IE6 qui est infesté ? Alors avant de lancer une réparation de XP (sujet que je ne maitrise pas vraiment, je suis plutot Unix) je me tourne vers vous ............ J'ai presque tout bien fait comme il faut, comme indiqué dans "Pré-Nettoyage d'un PC infecté, procédure pré-HijackThis-" sauf que j'ai oublié de désinstaller AntiVir. C'est grave par rapport à la procédure docteur ? Faut savoir que je n'avais plus d'antivirus d'installé : j'ai viré PC-Cillin que je venais d'installer avant de démarrer votre procédure. Donc pas de conflit ... Bon allez, tout d'abord le rapport d'AntiVir : J'ai placé en gras une détection que j'ai ignorée car c'est un module d'une appli professionnelle. Je vais faire un diff sous Unix pour vérifier son intégrité. Sinon j'ai toujours vturs.dll !!!! AntiVir PersonalEdition Classic Report file date: vendredi 1 décembre 2006 19:58 Scanning for 495093 virus strains and unwanted programs. Licensed to: Avira AntiVir PersonalEdition Classic Serial number: 0000149996-WURGE-0001 Platform: Windows XP Windows version: (Service Pack 2) [5.1.2600] Username: esaubignac Computer name: KALAMANGA Version information: AVSCAN.EXE : 7.0.0.47 196648 21/08/2006 11:06:49 AVSCAN.DLL : 7.0.0.45 41000 07/09/2006 11:51:50 LUKE.DLL : 7.0.0.47 110632 07/09/2006 11:32:29 LUKERES.DLL : 7.0.0.47 9256 07/09/2006 11:51:50 ANTIVIR0.VDF : 6.35.0.1 7371264 31/05/2006 11:35:11 ANTIVIR1.VDF : 6.36.0.9 1424384 06/09/2006 08:12:24 ANTIVIR2.VDF : 6.36.0.10 2048 06/09/2006 08:12:26 ANTIVIR3.VDF : 6.36.0.11 2048 06/09/2006 08:12:28 AVEWIN32.DLL : 7.2.0.14 1827328 04/09/2006 15:23:26 AVPREF.DLL : 7.0.0.2 17960 24/07/2006 13:35:36 AVREP.DLL : 6.36.0.3 544808 06/09/2006 09:04:18 AVRPBASE.DLL : 7.0.0.0 1544232 30/03/2006 09:42:44 AVPACK32.DLL : 7.2.0.0 360488 21/07/2006 07:00:28 AVREG.DLL : 6.31.0.90 25128 28/07/2005 11:06:11 NETNT.DLL : 6.32.0.0 6696 27/09/2005 08:56:45 NETNW.DLL : 7.0.0.0 9768 24/07/2006 13:35:38 RCIMAGE.DLL : 7.0.0.74 1642536 01/08/2006 12:22:50 RCTEXT.DLL : 7.0.0.107 77864 07/09/2006 11:51:49 Configuration settings for the scan: Jobname.......................: Manual Selection Configuration file............: C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic\PROFILES\folder.avp Boot sectors..................: C Scan memory...................: 1 Process scan..................: 1 Scan all files................: 1 Scan archives.................: 1 Recursion depth...............: 20 Smart extensions..............: 1 Skipped archive types.........: 1000,1001,1002,1003,1004,1005, Macro heuristic...............: 1 File heuristic................: 2 Primary action................: 1 Secondary action..............: 0 Start of the scan: vendredi 1 décembre 2006 19:58 The scan of running processes will be started 5 Processes were scanned Start scanning boot sectors: Boot sector 'C:\' [NOTE] No virus was found! Starting to scan the registry. The registry was scanned ( 30 files ). Starting the file scan: C:\pagefile.sys [WARNING] The file could not be opened! C:\Documents and Settings\Administrateur\NTUSER.DAT [WARNING] The file could not be opened! C:\Documents and Settings\Administrateur\ntuser.dat.LOG [WARNING] The file could not be opened! C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat [WARNING] The file could not be opened! C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG [WARNING] The file could not be opened! C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\CPYZ8PUB\srvsaf[1].exe [DETECTION] Contains suspicious code HEUR/Crypted [iNFO] The file was moved to 'a6e3f429.qua'! C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\IJ2QM5XP\35[1].exe [DETECTION] Contains signature of the dropper DR/Shelled.Gen [iNFO] The file was moved to 'a2a1d8f7.qua'! C:\Documents and Settings\NetworkService\NTUSER.DAT [WARNING] The file could not be opened! C:\Documents and Settings\NetworkService\ntuser.dat.LOG [WARNING] The file could not be opened! C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat [WARNING] The file could not be opened! C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG [WARNING] The file could not be opened! C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.dll [DETECTION] Is the Trojan horse TR/PSW.Sinowal.D.3 [iNFO] The file was moved to '75a0f10e.qua'! C:\Program Files\Reflection\rdocfra.dll [DETECTION] Contains suspicious code HEUR/Crypted [WARNING] The file was ignored! C:\System Volume Information\MountPointManagerRemoteDatabase [WARNING] The file could not be opened! C:\System Volume Information\tracking.log [WARNING] The file could not be opened! C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP291\A0086067.exe [DETECTION] Contains suspicious code HEUR/Crypted [iNFO] The file was moved to '7ba8beef.qua'! C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP291\A0088066.exe [DETECTION] Contains suspicious code HEUR/Crypted [iNFO] The file was moved to '7da8bef3.qua'! C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP291\A0088074.dll [DETECTION] Contains suspicious code HEUR/Malware [iNFO] The file was moved to '7da8bef8.qua'! C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP291\A0088075.dll [DETECTION] Contains suspicious code HEUR/Malware [iNFO] The file was moved to '7da8befc.qua'! C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP291\A0088081.dll [DETECTION] Contains suspicious code HEUR/Malware [iNFO] The file was moved to '7da8bf06.qua'! C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP291\A0088082.dll [DETECTION] Is the Trojan horse TR/Vundo.Gen [iNFO] The file was moved to '7da8bf0a.qua'! C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP291\A0088088.dll [DETECTION] Contains suspicious code HEUR/Malware [iNFO] The file was moved to '7da8bf0e.qua'! C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP291\A0088089.dll [DETECTION] Is the Trojan horse TR/Vundo.Gen [iNFO] The file was moved to '7da8bf13.qua'! C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP291\A0088091.exe [DETECTION] Is the Trojan horse TR/Qhost.N.1 [iNFO] The file was moved to '7da8bf16.qua'! C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP291\A0088094.exe [DETECTION] Is the Trojan horse TR/Qhost.N.1 [iNFO] The file was moved to '7da8bf23.qua'! C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP291\A0088095.exe [DETECTION] Is the Trojan horse TR/Qhost.N.1 [iNFO] The file was moved to '7da8bf25.qua'! C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP292\A0088203.EXE [DETECTION] Is the Trojan horse TR/Agent.aox [iNFO] The file was moved to '7da8bf36.qua'! C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP292\A0088204.EXE [DETECTION] Is the Trojan horse TR/Agent.aox [iNFO] The file was moved to '7da8bf39.qua'! C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP292\A0088210.EXE [DETECTION] Is the Trojan horse TR/Agent.aox [iNFO] The file was moved to '7da8bf41.qua'! C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP292\A0088212.EXE [DETECTION] Is the Trojan horse TR/Agent.aox [iNFO] The file was moved to '7da8bf44.qua'! C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP292\A0088213.exe [DETECTION] Contains a signature of the (dangerous) backdoor program BDS/HacDef.084 Backdoor server programs [iNFO] The file was moved to '7da8bf4c.qua'! C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP292\A0088214.EXE [DETECTION] Is the Trojan horse TR/Agent.aox [iNFO] The file was moved to '7da8bf54.qua'! C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP298\A0089772.dll [DETECTION] Contains suspicious code HEUR/Malware [iNFO] The file was moved to '7ea8bf8c.qua'! C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP307\A0099268.dll [DETECTION] Is the Trojan horse TR/PSW.Sinowal.D.3 [iNFO] The file was moved to '7ea9bfdf.qua'! C:\WINDOWS\system32\nxtdffek.dll [DETECTION] Is the Trojan horse TR/Vundo.Gen [iNFO] The file was moved to 'abd5080b.qua'! C:\WINDOWS\system32\rpcc.dll [WARNING] The file could not be opened! C:\WINDOWS\system32\vturs.dll [DETECTION] Contains suspicious code HEUR/Malware [WARNING] An error has occurred and the file was not deleted. ErrorID: 16003 [WARNING] The file could not be deleted! C:\WINDOWS\system32\config\default [WARNING] The file could not be opened! C:\WINDOWS\system32\config\default.LOG [WARNING] The file could not be opened! C:\WINDOWS\system32\config\SAM [WARNING] The file could not be opened! C:\WINDOWS\system32\config\SAM.LOG [WARNING] The file could not be opened! C:\WINDOWS\system32\config\SECURITY [WARNING] The file could not be opened! C:\WINDOWS\system32\config\SECURITY.LOG [WARNING] The file could not be opened! C:\WINDOWS\system32\config\software [WARNING] The file could not be opened! C:\WINDOWS\system32\config\software.LOG [WARNING] The file could not be opened! C:\WINDOWS\system32\config\system [WARNING] The file could not be opened! C:\WINDOWS\system32\config\system.LOG [WARNING] The file could not be opened! End of the scan: vendredi 1 décembre 2006 21:50 Used time: 1:51:55 min The scan has been done completely. 6033 Scanning directories 425630 Files were scanned 25 viruses and/or unwanted programs were found 0 files were deleted 0 files were repaired 23 files were moved to quarantine 0 files were renamed 9277 Archives were scanned 27 Warnings 12 Notes Et voici le rapport de Hijack This. Logfile of HijackThis v1.99.1 Scan saved at 22:01:35, on 01/12/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Reflection\rtsserv.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\Explorer.EXE C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Program Files\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe C:\Program Files\HPQ\SHARED\HPQWMI.exe C:\Program Files\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: 172.30.31.31 rigel2 #Reseau Serveurs O1 - Hosts: 172.30.59.31 rigel2 #Reseau Bdb O1 - Hosts: 172.30.31.36 castor2 #Reseau Serveurs O1 - Hosts: 172.30.59.36 castor2 #Reseau Bdb O1 - Hosts: 172.30.31.52 titan2 #Reseau Seveurs O1 - Hosts: 172.30.59.52 titan2 #Reseau Bdb O1 - Hosts: 172.30.31.67 uranus2 #Reseau Serveurs O1 - Hosts: 172.30.59.67 uranus2 #Reseau Bdb O1 - Hosts: 172.30.31.35 vega2 #Reseau Serveurs O1 - Hosts: 172.30.59.35 vega2 #Reseau Bdb O1 - Hosts: 172.30.56.33 aigle #Reseau Serveurs O1 - Hosts: 172.30.60.33 aigle #Reseau Bdb O1 - Hosts: 172.30.56.30 andromed #Reseau Serveurs O1 - Hosts: 172.30.60.30 andromed #Reseau Bdb O1 - Hosts: 172.30.56.35 vega2s #Reseau Serveurs O1 - Hosts: 172.30.60.35 vega2s #Reseau Bdb O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [soundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe" O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe O4 - HKLM\..\Run: [ChangeResolution] C:\Documents and Settings\Administrateur\ChangeResolution.exe O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM O4 - HKLM\..\Run: [DELETED_zhognyj.dll] C:\WINDOWS\system32\rundll32_DELETED.exe C:\WINDOWS\system32\zhognyj_DELETED.dll,pnpxkgg O4 - HKLM\..\Run: [DELETED_Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon_DELETED.exe /Consumer O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [autoupdatev2] C:\WINDOWS\system32\autoupdatev2.exe O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O12 - Plugin for .rx: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll O12 - Plugin for .rxc: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com O15 - Trusted Zone: www.airfrance.fr O15 - Trusted Zone: www.certifyexpress.com O15 - Trusted Zone: learning1.americas.cpqcorp.net O15 - Trusted Zone: *.dell.com O15 - Trusted Zone: www.geoportail.fr O15 - Trusted Zone: http://www4.itrc.hp.com O15 - Trusted Zone: *.hp.com O15 - Trusted Zone: www.hpsmartlearning.com O15 - Trusted Zone: http://aiedownload.intel.com O15 - Trusted Zone: http://downloadfinder.intel.com O15 - Trusted Zone: *.prometric.com O15 - Trusted Zone: www.radiofrance.fr O15 - Trusted Zone: *.simcms O15 - Trusted Zone: *.smaj02afk351n O15 - Trusted Zone: http://www.sonyericsson.com O15 - Trusted Zone: *.vmhost1 O15 - Trusted Zone: *.vmhost2 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1161952101687 O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetup Control) - https://my.cdiscount.com/dana-cached/setup/JuniperSetup.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O21 - SSODL: expatriates - {1a01a98c-4f25-42e1-971a-185cf63569b2} - C:\WINDOWS\system32\tpedvf.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe (file missing) O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing) O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe O23 - Service: Reflection TimeSync - WRQ, Inc. - C:\Program Files\Reflection\rtsserv.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing) O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe O23 - Service: WMI nPar Provider (WMINParProvider) - Unknown owner - C:\Program Files\Hewlett-Packard\WMINParProvider\WMINParProvider.exe" -service (file missing) Ne comptant pas trop sur une réponse dès ce soir (faut pas rêver il est 22h00) je reviendrais voir demain. Merci d'avance de votre aide. Eric "Just Do It"

Bonsoir à tous Question bête : quel provider choisir dans cette jungle ? Ca y est, pour Noël nous allons enfin prendre une ADSL. Bon d'accord, dans ma cambrousse je ne suis pas dégroupé et au mieux je peux espérer 1 Mb/s. Mais le problème n'est pas là ... C'est le choix du fournisseur qui pose problème On m'a déjà cité pour la région (Bourg sur Gironde) Alice, comme étant plutot sympa et surtour permettant de profiter gratuitement des nouvelles offres. En plus ils font aussi la téléphonie (je ne croyais pas que c'était possible si on est pas dégroupé ...) Votre avis sur la question ? Merci d'avance Eric "Just Do It"

Salut à tous, Bon soyons honnête : je n'ai pas lu toute la discussion. Je me suis arrêté à la page 5 ... pour sauter direct à la fin, car j'en ai plein les mirettes Je suis en train d'appliquer sur mon poste infecté "The Procédure" dont il est question. Bien sûr je vous écrit d'un autre Et que viens je de constater sur mon poste en cours d'analyse ? Que le screen saver habituel vient de se déclencher. Est-ce que ce genre de truc contient une partie exécutable qui pourrait être elle-même infectée et générer une faille dans cette logique "simple et efficace" qui est décrite dans la procédure ? Excusez mon ignorance, mais moi c'est plutot HP-UX, AIX & Co et je reste assez ignare sur Windows Bref, je suis en train de préparer mon rapport Hijack que je posterai bientot ... car bien sûr je me suis fait toper comme un c.n ! A très bientôt Eric "Just Do It"