Nusso

Bon, tout a l'air de fonctionner normalement, donc pour moi c'est résolu. :P et encore merci beaucoup.

Oui, tout fonctionne bien. ComboFix s'est bien lancé (sans besoin de le renommer), a fait sa mise à jour directement en ligne, a installé la console de récupération après l'avoir téléchargée directement sur le site Microsoft, puis fait le scan. Ci joint le rapport : ComboFix 09-03-28.06 - Arnaud 2009-03-29 19:23:14.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.3327.2775 [GMT 2:00] Lancé depuis: c:\documents and settings\Arnaud\Bureau\ComboFix.exe AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) * Un nouveau point de restauration a été créé . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\tmp.reg . ((((((((((((((((((((((((((((( Fichiers créés du 2009-02-28 au 2009-03-29 )))))))))))))))))))))))))))))))))))) . 2009-03-29 19:23 . 2009-03-29 19:23 53,248 --a------ c:\temp\catchme.dll 2009-03-29 18:39 . 2009-03-29 18:39 <REP> d-------- c:\temp\sv3i0.tmp 2009-03-29 18:37 . 2009-03-29 18:37 <REP> d-------- C:\_OTMoveIt 2009-03-27 12:05 . 2009-03-27 12:05 <REP> d-------- c:\program files\Avira 2009-03-27 12:05 . 2009-03-27 12:05 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira 2009-03-27 11:05 . 2009-02-13 12:31 55,640 --a------ c:\windows\system32\drivers\avgntflt.sys 2009-03-26 10:14 . 2009-03-26 10:14 <REP> d-------- c:\program files\IKEA HomePlanner 2009-03-26 10:14 . 2009-03-26 10:14 <REP> d-------- c:\program files\Fichiers communs\Wise Installation Wizard 2009-03-20 20:10 . 2001-08-17 23:07 101,888 --a------ c:\windows\system32\drivers\adpu160m.sys 2009-03-17 10:20 . 2008-02-28 14:02 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau 2009-03-17 10:20 . 2008-02-28 14:02 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression 2009-03-17 10:20 . 2008-02-28 14:10 <REP> d--h----- c:\documents and settings\Administrateur\Modèles 2009-03-17 10:20 . 2008-02-28 14:02 <REP> d-------- c:\documents and settings\Administrateur\Mes documents 2009-03-17 10:20 . 2008-02-28 14:02 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer 2009-03-17 10:20 . 2008-02-28 14:02 <REP> d-------- c:\documents and settings\Administrateur\Favoris 2009-03-17 10:20 . 2009-03-28 10:17 <REP> d-------- c:\documents and settings\Administrateur\Bureau 2009-03-17 10:20 . 2009-03-17 10:20 <REP> d-------- c:\documents and settings\Administrateur 2009-03-02 16:18 . 2009-03-02 16:18 <REP> d-------- c:\program files\Linksys 2009-03-02 16:18 . 2004-04-16 12:24 61,440 --a------ c:\windows\system32\ISUSPM.cpl . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-03-29 16:50 --------- d-----w c:\program files\Mozilla Thunderbird 2009-03-29 16:39 --------- d-----w c:\documents and settings\Arnaud\Application Data\skypePM 2009-03-29 16:39 --------- d-----w c:\documents and settings\All Users\Application Data\Babylon 2009-03-29 16:34 --------- d-----w c:\documents and settings\Arnaud\Application Data\Skype 2009-03-29 12:24 --------- d-----w c:\program files\Paint Shop Pro 5 2009-03-26 20:51 --------- d-----w c:\documents and settings\Arnaud\Application Data\Babylon 2009-03-26 10:09 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP 2009-03-16 21:48 --------- d-----w c:\program files\Winamp 2009-03-02 14:18 --------- d--h--w c:\program files\InstallShield Installation Information 2009-03-02 14:18 --------- d-----w c:\program files\Fichiers communs\InstallShield 2009-02-26 09:12 --------- d-----w c:\documents and settings\Arnaud\Application Data\FileZilla 2009-02-23 09:52 --------- d-----w c:\documents and settings\Arnaud\Application Data\XnView 2009-02-23 09:31 --------- d-----w c:\program files\FileZilla FTP Client 2006-06-23 22:48 32,768 ----a-r c:\windows\inf\UpdateUSB.exe 2008-05-05 13:10 27,976 ----a-w c:\program files\mozilla firefox\plugins\atgpcdec.dll 2008-05-05 13:10 125,848 ----a-w c:\program files\mozilla firefox\plugins\atgpcext.dll 2008-10-27 14:38 46,408 ----a-w c:\program files\mozilla firefox\plugins\atmccli.dll 2008-05-05 13:10 98,712 ----a-w c:\program files\mozilla firefox\plugins\ieatgpc.dll 2008-03-17 14:00 150,966 --sh--w c:\windows\Resources\Themes\DameK UltraBlue\irunin.dat . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DirSync"="c:\progra~1\DirSync\DirSync.exe" [2007-04-15 2689024] "Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-04-30 22058792] "amsn"="c:\program files\aMSN\amsn.exe" [2006-11-24 32768] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Babylon Client"="c:\program files\Babylon\Babylon-Pro\Babylon.exe" [2008-03-11 3551456] "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360] c:\documents and settings\Arnaud\Menu D‚marrer\Programmes\D‚marrage\ OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-09-12 384000] Rainlendar.lnk - c:\program files\Rainlendar\Rainlendar.exe [2006-01-21 118784] Stardock ObjectDock.lnk - c:\program files\Stardock\ObjectDock\ObjectDock.exe [2008-02-28 3450608] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ autocheck autochk /p \??\J:\0autocheck autochk * [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "avast! Web Scanner"=3 (0x3) "avast! Mail Scanner"=3 (0x3) "avast! Antivirus"=2 (0x2) "aswUpdSv"=2 (0x2) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\aMSN\\bin\\wish.exe"= "c:\\Program Files\\Messenger\\msmsgs.exe"= "c:\\Program Files\\Skype\\Phone\\Skype.exe"= R1 dk2drv;DK2 WindowsNT Driver;c:\windows\system32\drivers\dk2drv.sys [2008-02-28 49720] R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [2008-06-13 6016] R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\drivers\atl01_xp.sys [2008-02-28 38656] R3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys [2008-02-28 84992] R3 DK2USB;DK2usb Driver;c:\windows\system32\drivers\DK2USB.sys [2008-02-28 18360] . . ------- Examen supplémentaire ------- . mWindow Title = IE: Translate with &Babylon - c:\program files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab FF - ProfilePath - c:\documents and settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\n2l38rp0.default\ FF - component: c:\documents and settings\Arnaud\Application Data\Mozilla\Firefox\Profiles\n2l38rp0.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll FF - plugin: c:\program files\Mozilla Firefox\plugins\npatgpc.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-29 19:23:53 Windows 5.1.2600 Service Pack 2 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(736) c:\windows\system32\Ati2evxx.dll . Heure de fin: 2009-03-29 19:24:43 ComboFix-quarantined-files.txt 2009-03-29 17:24:42 Avant-CF: 34 672 914 432 octets libres Après-CF: 34,665,529,344 octets libres WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn 135 Tout le reste a l'air de fonctionner normalement : - plus de fichier parasite dans C:\ - Regedit fonctionne normalement - les liens internet se lancent depuis le bureau sans problème - accès possible au site de bleepingcomputer.com - Antivir à pu se mettre à jour - les fichiers batch fonctionnent - etc Par contre les fenêtres DOS sont toujours en Qwerty, mais ça n'a peut être rien à voir (???) Après avoir remplacé Avast par Antivir, il reste bien sur plein de clé Alwil dans le registre Quel nettoyeur de registre me conseillerez vous ? Avast n'a rien fait face à cette infection, mais antivir la détecte t il ou en protège t il ? Merci beaucoup pour votre patience et votre aide.

voici le log de OTMoveIt : ========== PROCESSES ========== Process explorer.exe killed successfully. ========== SERVICES/DRIVERS ========== ========== FILES ========== c:\Temp\..\mkgwima.pqo moved successfully. ========== REGISTRY ========== Registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\\aux deleted successfully. Registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\\aux1 deleted successfully. Registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\\aux2 deleted successfully. ========== COMMANDS ========== User's Temp folder emptied. User's Temporary Internet Files folder emptied. User's Internet Explorer cache folder emptied. Local Service Temp folder emptied. Local Service Temporary Internet Files folder emptied. Windows Temp folder emptied. Java cache emptied. FireFox cache emptied. Temp folders emptied. Explorer started successfully OTMoveIt3 by OldTimer - Version 1.0.9.0 log created on 03292009_183719 ATFCleaner passé Pour l'instant le fichier mkgwima.pqo qui apparaissait dans la racine de C: n'apparait plus après effacement. La désinfection est elle terminée ? Il serait peut être utile que je passe XP en SP3 maintenant ou y'a t'il une autre opération à faire auparavant ?

C'est bien ce que je craignais : le batch appelle un .exe puis le bloc note et ça ne fonctionne pas J'ai fait une capture d'écran de la clé de registre mentionnée. J'espère que c'est bien cela qui vous intéresse. En tout cas on retrouve le nom du fichier qui apparait dans la racine (encadré en jaune)

Bonjour, J'ai renommé regedit.exe en edit-reg.exe et ça fonctionne très bien. Merci pour le lien Vilma. Cet éditeur a l'air intéressant Pour revenir au problème de lancement de ComboFix, y'a t'il une possibilité de le lancer après avoir redémarré en mode invite de commande ? Si j'ai bien compris, ComboFix est constitué de plein de petits programmes appelés via des batch et c'est cela qui n'a pas l'air de fonctionner sur mon PC. Seul le premier exe est lancé (ComboFix.exe), mais ensuite l'appel d'un programme par un autre n'a pas l'air de fonctionner.

TCleaner n'a pas trouvé ComboFix ou ses différentes variantes renommées ci-joint le rapport : [ Rapport ToolsCleaner version 2.3.2 (par A.Rothstein & dj QUIOU) ] -->- Recherche: C:\Rsit: trouvé ! C:\Documents and Settings\Arnaud\Bureau\désinfection\HijackThis: trouvé ! C:\Documents and Settings\Arnaud\Bureau\désinfection\Rsit: trouvé ! C:\Documents and Settings\Arnaud\Bureau\désinfection\HiJackThis\HijackThis.exe: trouvé ! C:\Documents and Settings\Arnaud\Bureau\désinfection\HiJackThis\hijackthis.log: trouvé ! C:\Documents and Settings\Arnaud\Bureau\désinfection\RSIT\Rsit.exe: trouvé ! C:\Documents and Settings\Arnaud\Recent\HijackThis.lnk: trouvé ! --------------------------------- -->- Suppression: C:\Documents and Settings\Arnaud\Bureau\désinfection\HiJackThis\HijackThis.exe: supprimé ! C:\Documents and Settings\Arnaud\Recent\HijackThis.lnk: supprimé ! C:\Documents and Settings\Arnaud\Bureau\désinfection\HiJackThis\hijackthis.log: supprimé ! C:\Documents and Settings\Arnaud\Bureau\désinfection\RSIT\Rsit.exe: supprimé ! C:\Rsit: supprimé ! C:\Documents and Settings\Arnaud\Bureau\désinfection\HijackThis: supprimé ! C:\Documents and Settings\Arnaud\Bureau\désinfection\Rsit: supprimé ! Fichiers temporaires nettoyés ! Corbeille vidée! Autre chose : si je lance regedit, ça marche, mais seulement une vingtaine de seconde, puis l'éditeur de registre se ferme. Si je renomme regedit.exe en autre chose, ça marche sans limitation de temps ....

La désinstallation ne marche pas. Une barre de progression apparait puis plus rien. J'ai essayé - en utilisant Démarrer > Exécuter ->combofix.exe /u (avec le chemin complet, sinon il me dit fichier non trouvé) - en passant le paramètres /u via un raccourci - en lançant la commande combofix.exe /u via une fenêtre DOS. (au passage la fenetre DOS fonctionne avec clavier QWERTY ???????) Rien y fait. En fait le paramètre /u n'a pas l'air d'être passé au programme. Si j'efface au préalable le répertoire dans lequel s'est mis Combofix (c:\32788R22FWJFW), lorsque je lance combofix.exe /u , ça le réinstalle

Bonjour, Rien à faire, je ne peux pas faire fonctionner le programme 1 - impossible d'installer la console de récupération. Je glisse le fichier sur l'icone de ComboFix et rien ne se passe (que Combofix soit appelé par son nom normal ou renommé) 2 - Si j'essaie de lancer malgré tout ComboFix sans console de récupération, un barre de progression apparait quelques instants puis plus rien. (Un répertoire avec plein de programmes est simplement créé dans la racine de C:) 3 - Idem en mode sans échec, en tant que administrateur autres infos peut être utiles : - j'ai mis un raccourci vers ce post sur le bureau. Si je fais un double clic dessus, les icones du bureau disparaissent un instant puis reviennent mais le navigateur n'est pas lancé. Je dois d'abord lancer manuellement le navigateur, puis double cliquer le raccourci pour que ça fonctionne. - pou visualiser un fichier texte : Clic droit > "envoyer vers le bloc notes" ne fonctionne pas : disparition momentanée des icones du bureau puis plus rien. Alors que glisser le fichier dans lafenetre du bloc note déjà ouvert fonctionne bien. - si j'essaie d'accéder au site bleepingcomputer depuis le PC infecté, FF se ferme brutalement ....

Merci, je fais cela demain A suivre ....

c'est fini Voici le rapport : GMER 1.0.15.14966 - http://www.gmer.net Rootkit scan 2009-03-27 19:36:20 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.15 ---- SSDT BA7B3B74 ZwCreateThread SSDT BA7B3B60 ZwOpenProcess SSDT BA7B3B65 ZwOpenThread SSDT BA7B3B6F ZwTerminateProcess SSDT BA7B3B6A ZwWriteVirtualMemory ---- User code sections - GMER 1.0.15 ---- .text C:\WINDOWS\System32\CTFMON.EXE[412] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100033D8 .text C:\WINDOWS\System32\CTFMON.EXE[412] ws2_32.dll!connect 719F406A 5 Bytes JMP 10003320 .text C:\WINDOWS\System32\CTFMON.EXE[412] ws2_32.dll!send 719F428A 5 Bytes JMP 10002C04 .text C:\WINDOWS\System32\CTFMON.EXE[412] ws2_32.dll!WSARecv 719F4318 5 Bytes JMP 10002438 .text C:\WINDOWS\System32\CTFMON.EXE[412] ws2_32.dll!recv 719F615A 5 Bytes JMP 100023BC .text C:\WINDOWS\System32\CTFMON.EXE[412] ws2_32.dll!WSASend 719F6233 5 Bytes JMP 100032D4 .text C:\WINDOWS\system32\winlogon.exe[736] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100033D8 .text C:\WINDOWS\system32\winlogon.exe[736] WS2_32.dll!connect 719F406A 5 Bytes JMP 10003320 .text C:\WINDOWS\system32\winlogon.exe[736] WS2_32.dll!send 719F428A 5 Bytes JMP 10002C04 .text C:\WINDOWS\system32\winlogon.exe[736] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 10002438 .text C:\WINDOWS\system32\winlogon.exe[736] WS2_32.dll!recv 719F615A 5 Bytes JMP 100023BC .text C:\WINDOWS\system32\winlogon.exe[736] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 100032D4 .text C:\WINDOWS\system32\services.exe[780] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100033D8 .text C:\WINDOWS\system32\services.exe[780] ws2_32.dll!connect 719F406A 5 Bytes JMP 10003320 .text C:\WINDOWS\system32\services.exe[780] ws2_32.dll!send 719F428A 5 Bytes JMP 10002C04 .text C:\WINDOWS\system32\services.exe[780] ws2_32.dll!WSARecv 719F4318 5 Bytes JMP 10002438 .text C:\WINDOWS\system32\services.exe[780] ws2_32.dll!recv 719F615A 5 Bytes JMP 100023BC .text C:\WINDOWS\system32\services.exe[780] ws2_32.dll!WSASend 719F6233 5 Bytes JMP 100032D4 .text C:\WINDOWS\system32\lsass.exe[792] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100033D8 .text C:\WINDOWS\system32\lsass.exe[792] WS2_32.dll!connect 719F406A 5 Bytes JMP 10003320 .text C:\WINDOWS\system32\lsass.exe[792] WS2_32.dll!send 719F428A 5 Bytes JMP 10002C04 .text C:\WINDOWS\system32\lsass.exe[792] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 10002438 .text C:\WINDOWS\system32\lsass.exe[792] WS2_32.dll!recv 719F615A 5 Bytes JMP 100023BC .text C:\WINDOWS\system32\lsass.exe[792] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 100032D4 .text C:\WINDOWS\system32\svchost.exe[992] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100033D8 .text C:\WINDOWS\system32\svchost.exe[992] ws2_32.dll!connect 719F406A 5 Bytes JMP 10003320 .text C:\WINDOWS\system32\svchost.exe[992] ws2_32.dll!send 719F428A 5 Bytes JMP 10002C04 .text C:\WINDOWS\system32\svchost.exe[992] ws2_32.dll!WSARecv 719F4318 5 Bytes JMP 10002438 .text C:\WINDOWS\system32\svchost.exe[992] ws2_32.dll!recv 719F615A 5 Bytes JMP 100023BC .text C:\WINDOWS\system32\svchost.exe[992] ws2_32.dll!WSASend 719F6233 5 Bytes JMP 100032D4 .text C:\WINDOWS\system32\svchost.exe[1064] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100033D8 .text C:\WINDOWS\system32\svchost.exe[1064] ws2_32.dll!connect 719F406A 5 Bytes JMP 10003320 .text C:\WINDOWS\system32\svchost.exe[1064] ws2_32.dll!send 719F428A 5 Bytes JMP 10002C04 .text C:\WINDOWS\system32\svchost.exe[1064] ws2_32.dll!WSARecv 719F4318 5 Bytes JMP 10002438 .text C:\WINDOWS\system32\svchost.exe[1064] ws2_32.dll!recv 719F615A 5 Bytes JMP 100023BC .text C:\WINDOWS\system32\svchost.exe[1064] ws2_32.dll!WSASend 719F6233 5 Bytes JMP 100032D4 .text C:\WINDOWS\System32\svchost.exe[1140] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100033D8 .text C:\WINDOWS\System32\svchost.exe[1140] ws2_32.dll!connect 719F406A 5 Bytes JMP 10003320 .text C:\WINDOWS\System32\svchost.exe[1140] ws2_32.dll!send 719F428A 5 Bytes JMP 10002C04 .text C:\WINDOWS\System32\svchost.exe[1140] ws2_32.dll!WSARecv 719F4318 5 Bytes JMP 10002438 .text C:\WINDOWS\System32\svchost.exe[1140] ws2_32.dll!recv 719F615A 5 Bytes JMP 100023BC .text C:\WINDOWS\System32\svchost.exe[1140] ws2_32.dll!WSASend 719F6233 5 Bytes JMP 100032D4 .text C:\WINDOWS\System32\svchost.exe[1180] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100033D8 .text C:\WINDOWS\System32\svchost.exe[1180] ws2_32.dll!connect 719F406A 5 Bytes JMP 10003320 .text C:\WINDOWS\System32\svchost.exe[1180] ws2_32.dll!send 719F428A 5 Bytes JMP 10002C04 .text C:\WINDOWS\System32\svchost.exe[1180] ws2_32.dll!WSARecv 719F4318 5 Bytes JMP 10002438 .text C:\WINDOWS\System32\svchost.exe[1180] ws2_32.dll!recv 719F615A 5 Bytes JMP 100023BC .text C:\WINDOWS\System32\svchost.exe[1180] ws2_32.dll!WSASend 719F6233 5 Bytes JMP 100032D4 .text C:\WINDOWS\System32\alg.exe[1260] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100033D8 .text C:\WINDOWS\System32\alg.exe[1260] WS2_32.dll!connect 719F406A 5 Bytes JMP 10003320 .text C:\WINDOWS\System32\alg.exe[1260] WS2_32.dll!send 719F428A 5 Bytes JMP 10002C04 .text C:\WINDOWS\System32\alg.exe[1260] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 10002438 .text C:\WINDOWS\System32\alg.exe[1260] WS2_32.dll!recv 719F615A 5 Bytes JMP 100023BC .text C:\WINDOWS\System32\alg.exe[1260] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 100032D4 .text C:\WINDOWS\System32\svchost.exe[1272] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100033D8 .text C:\WINDOWS\System32\svchost.exe[1272] ws2_32.dll!connect 719F406A 5 Bytes JMP 10003320 .text C:\WINDOWS\System32\svchost.exe[1272] ws2_32.dll!send 719F428A 5 Bytes JMP 10002C04 .text C:\WINDOWS\System32\svchost.exe[1272] ws2_32.dll!WSARecv 719F4318 5 Bytes JMP 10002438 .text C:\WINDOWS\System32\svchost.exe[1272] ws2_32.dll!recv 719F615A 5 Bytes JMP 100023BC .text C:\WINDOWS\System32\svchost.exe[1272] ws2_32.dll!WSASend 719F6233 5 Bytes JMP 100032D4 .text C:\WINDOWS\system32\spoolsv.exe[1376] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100033D8 .text C:\WINDOWS\system32\spoolsv.exe[1376] ws2_32.dll!connect 719F406A 5 Bytes JMP 10003320 .text C:\WINDOWS\system32\spoolsv.exe[1376] ws2_32.dll!send 719F428A 5 Bytes JMP 10002C04 .text C:\WINDOWS\system32\spoolsv.exe[1376] ws2_32.dll!WSARecv 719F4318 5 Bytes JMP 10002438 .text C:\WINDOWS\system32\spoolsv.exe[1376] ws2_32.dll!recv 719F615A 5 Bytes JMP 100023BC .text C:\WINDOWS\system32\spoolsv.exe[1376] ws2_32.dll!WSASend 719F6233 5 Bytes JMP 100032D4 .text C:\PROGRA~1\DirSync\DirSync.exe[1744] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100033D8 .text C:\PROGRA~1\DirSync\DirSync.exe[1744] ws2_32.dll!connect 719F406A 5 Bytes JMP 10003320 .text C:\PROGRA~1\DirSync\DirSync.exe[1744] ws2_32.dll!send 719F428A 5 Bytes JMP 10002C04 .text C:\PROGRA~1\DirSync\DirSync.exe[1744] ws2_32.dll!WSARecv 719F4318 5 Bytes JMP 10002438 .text C:\PROGRA~1\DirSync\DirSync.exe[1744] ws2_32.dll!recv 719F615A 5 Bytes JMP 100023BC .text C:\PROGRA~1\DirSync\DirSync.exe[1744] ws2_32.dll!WSASend 719F6233 5 Bytes JMP 100032D4 .text C:\Program Files\aMSN\bin\wish.exe[1792] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100D33D8 .text C:\Program Files\aMSN\bin\wish.exe[1792] WS2_32.dll!connect 719F406A 5 Bytes JMP 100D3320 .text C:\Program Files\aMSN\bin\wish.exe[1792] WS2_32.dll!send 719F428A 5 Bytes JMP 100D2C04 .text C:\Program Files\aMSN\bin\wish.exe[1792] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 100D2438 .text C:\Program Files\aMSN\bin\wish.exe[1792] WS2_32.dll!recv 719F615A 5 Bytes JMP 100D23BC .text C:\Program Files\aMSN\bin\wish.exe[1792] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 100D32D4 .text C:\Program Files\Rainlendar\Rainlendar.exe[1804] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100933D8 .text C:\Program Files\Rainlendar\Rainlendar.exe[1804] ws2_32.dll!connect 719F406A 5 Bytes JMP 10093320 .text C:\Program Files\Rainlendar\Rainlendar.exe[1804] ws2_32.dll!send 719F428A 5 Bytes JMP 10092C04 .text C:\Program Files\Rainlendar\Rainlendar.exe[1804] ws2_32.dll!WSARecv 719F4318 5 Bytes JMP 10092438 .text C:\Program Files\Rainlendar\Rainlendar.exe[1804] ws2_32.dll!recv 719F615A 5 Bytes JMP 100923BC .text C:\Program Files\Rainlendar\Rainlendar.exe[1804] ws2_32.dll!WSASend 719F6233 5 Bytes JMP 100932D4 .text C:\Program Files\Stardock\ObjectDock\ObjectDock.exe[1904] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100233D8 .text C:\Program Files\Stardock\ObjectDock\ObjectDock.exe[1904] ws2_32.dll!connect 719F406A 5 Bytes JMP 10023320 .text C:\Program Files\Stardock\ObjectDock\ObjectDock.exe[1904] ws2_32.dll!send 719F428A 5 Bytes JMP 10022C04 .text C:\Program Files\Stardock\ObjectDock\ObjectDock.exe[1904] ws2_32.dll!WSARecv 719F4318 5 Bytes JMP 10022438 .text C:\Program Files\Stardock\ObjectDock\ObjectDock.exe[1904] ws2_32.dll!recv 719F615A 5 Bytes JMP 100223BC .text C:\Program Files\Stardock\ObjectDock\ObjectDock.exe[1904] ws2_32.dll!WSASend 719F6233 5 Bytes JMP 100232D4 .text C:\WINDOWS\System32\svchost.exe[1996] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100033D8 .text C:\WINDOWS\System32\svchost.exe[1996] ws2_32.dll!connect 719F406A 5 Bytes JMP 10003320 .text C:\WINDOWS\System32\svchost.exe[1996] ws2_32.dll!send 719F428A 5 Bytes JMP 10002C04 .text C:\WINDOWS\System32\svchost.exe[1996] ws2_32.dll!WSARecv 719F4318 5 Bytes JMP 10002438 .text C:\WINDOWS\System32\svchost.exe[1996] ws2_32.dll!recv 719F615A 5 Bytes JMP 100023BC .text C:\WINDOWS\System32\svchost.exe[1996] ws2_32.dll!WSASend 719F6233 5 Bytes JMP 100032D4 .text C:\WINDOWS\System32\svchost.exe[2240] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100033D8 .text C:\WINDOWS\System32\svchost.exe[2240] ws2_32.dll!connect 719F406A 5 Bytes JMP 10003320 .text C:\WINDOWS\System32\svchost.exe[2240] ws2_32.dll!send 719F428A 5 Bytes JMP 10002C04 .text C:\WINDOWS\System32\svchost.exe[2240] ws2_32.dll!WSARecv 719F4318 5 Bytes JMP 10002438 .text C:\WINDOWS\System32\svchost.exe[2240] ws2_32.dll!recv 719F615A 5 Bytes JMP 100023BC .text C:\WINDOWS\System32\svchost.exe[2240] ws2_32.dll!WSASend 719F6233 5 Bytes JMP 100032D4 .text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[2660] KERNEL32.dll!CreateProcessW 7C802332 5 Bytes JMP 100233D8 .text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[2660] WS2_32.dll!connect 719F406A 5 Bytes JMP 10023320 .text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[2660] WS2_32.dll!send 719F428A 5 Bytes JMP 10022C04 .text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[2660] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 10022438 .text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[2660] WS2_32.dll!recv 719F615A 5 Bytes JMP 100223BC .text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[2660] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 100232D4 .text C:\Program Files\Avira\AntiVir PersonalEdition Classic\avnotify.exe[3296] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100133D8 .text C:\Program Files\Avira\AntiVir PersonalEdition Classic\avnotify.exe[3296] WS2_32.dll!connect 719F406A 5 Bytes JMP 10013320 .text C:\Program Files\Avira\AntiVir PersonalEdition Classic\avnotify.exe[3296] WS2_32.dll!send 719F428A 5 Bytes JMP 10012C04 .text C:\Program Files\Avira\AntiVir PersonalEdition Classic\avnotify.exe[3296] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 10012438 .text C:\Program Files\Avira\AntiVir PersonalEdition Classic\avnotify.exe[3296] WS2_32.dll!recv 719F615A 5 Bytes JMP 100123BC .text C:\Program Files\Avira\AntiVir PersonalEdition Classic\avnotify.exe[3296] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 100132D4 .text C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe[3672] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 100133D8 .text C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe[3672] WS2_32.dll!connect 719F406A 5 Bytes JMP 10013320 .text C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe[3672] WS2_32.dll!send 719F428A 5 Bytes JMP 10012C04 .text C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe[3672] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 10012438 .text C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe[3672] WS2_32.dll!recv 719F615A 5 Bytes JMP 100123BC .text C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe[3672] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 100132D4 ---- EOF - GMER 1.0.15 ---- les symptômes ressemblent fort à ceux traités ici : http://forum.zebulon.fr/redirection-vers-s...te-t161058.html

ça ne fait rien. Quand je lance gamer.exe , une fenêtre DOS s'ouvre un court instant puis se referme. Aucun process "gamer.exe" n'apparait dans le gestionnaire de taches j'ai téléchargé la version 1.0.15.14966 directement depuis gmer.net et ça marche maintenant . J'attends la fin du scan

voici dond le log.txt : Logfile of random's system information tool 1.06 (written by random/random) Run by Arnaud at 2009-03-27 15:25:00 Microsoft Windows XP Édition familiale Service Pack 2 System drive C: has 33 GB (63%) free of 53 GB Total RAM: 3327 MB (78% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:25:05, on 27/03/2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Babylon\Babylon-Pro\Babylon.exe C:\PROGRA~1\DirSync\DirSync.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\aMSN\bin\wish.exe C:\WINDOWS\System32\CTFMON.EXE C:\Program Files\Rainlendar\Rainlendar.exe C:\Program Files\OpenOffice.org 3\program\soffice.exe C:\Program Files\Stardock\ObjectDock\ObjectDock.exe C:\Program Files\OpenOffice.org 3\program\soffice.bin C:\Program Files\DirSync\DirSync_Svr.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Program Files\Skype\Plugin Manager\skypePM.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\program files\mozilla thunderbird\thunderbird.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avnotify.exe C:\program files\mozilla firefox\firefox.exe C:\Documents and Settings\Arnaud\Bureau\RSIT.exe C:\Documents and Settings\Arnaud\Bureau\désinfection\HiJackThis\Arnaud.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [DirSync] "C:\PROGRA~1\DirSync\DirSync.exe" /Background O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [amsn] C:\Program Files\aMSN\amsn.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe O4 - Startup: Rainlendar.lnk = C:\Program Files\Rainlendar\Rainlendar.exe O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe O8 - Extra context menu item: Translate with &Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM) O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM) O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM) O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM) O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM) O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe -- End of file - 5315 bytes ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] SSVHelper Class - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll [2008-02-22 509328] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "StartCCC"=C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe [2006-11-10 90112] "Babylon Client"=C:\Program Files\Babylon\Babylon-Pro\Babylon.exe [2008-03-11 3551456] "avgnt"=C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-12 266497] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "DirSync"=C:\PROGRA~1\DirSync\DirSync.exe [2007-04-15 2689024] "Skype"=C:\Program Files\Skype\Phone\Skype.exe [2008-04-30 22058792] "amsn"=C:\Program Files\aMSN\amsn.exe [2006-11-24 32768] "CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-19 15360] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "avast! Web Scanner"=3 "avast! Mail Scanner"=3 "avast! Antivirus"=2 "aswUpdSv"=2 C:\Documents and Settings\Arnaud\Menu Démarrer\Programmes\Démarrage OpenOffice.org 3.0.lnk - C:\Program Files\OpenOffice.org 3\program\quickstart.exe Rainlendar.lnk - C:\Program Files\Rainlendar\Rainlendar.exe Stardock ObjectDock.lnk - C:\Program Files\Stardock\ObjectDock\ObjectDock.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] C:\WINDOWS\system32\Ati2evxx.dll [2008-01-22 122880] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=323 "NoDriveAutoRun"=67108863 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveAutoRun"= "NoDriveTypeAutoRun"= "NoDrives"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Program Files\aMSN\bin\wish.exe"="C:\Program Files\aMSN\bin\wish.exe:*:Enabled:Wish Application" "C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger" "C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" ======File associations====== .js - open - "C:\Program Files\Macromedia\Dreamweaver UltraDev 4\UltraDev.exe" "%1" .scr - config - "%1" /S ======List of files/folders created in the last 1 months====== 2009-03-27 15:25:00 ----D---- C:\rsit 2009-03-27 11:05:38 ----D---- C:\Program Files\Avira 2009-03-27 11:05:38 ----D---- C:\Documents and Settings\All Users\Application Data\Avira 2009-03-27 11:00:17 ----D---- C:\Documents and Settings\Arnaud\Application Data\Malwarebytes 2009-03-27 11:00:13 ----D---- C:\Program Files\Malwarebytes' Anti-Malware 2009-03-27 11:00:13 ----D---- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2009-03-26 09:14:47 ----D---- C:\Program Files\IKEA HomePlanner 2009-03-26 09:14:24 ----D---- C:\Program Files\Fichiers communs\Wise Installation Wizard 2009-03-17 10:17:00 ----SHD---- C:\RECYCLER 2009-03-17 10:12:31 ----D---- C:\WINDOWS\temp 2009-03-17 10:04:50 ----A---- C:\WINDOWS\zip.exe 2009-03-17 10:04:50 ----A---- C:\WINDOWS\VFIND.exe 2009-03-17 10:04:50 ----A---- C:\WINDOWS\SWXCACLS.exe 2009-03-17 10:04:50 ----A---- C:\WINDOWS\SWSC.exe 2009-03-17 10:04:50 ----A---- C:\WINDOWS\SWREG.exe 2009-03-17 10:04:50 ----A---- C:\WINDOWS\sed.exe 2009-03-17 10:04:50 ----A---- C:\WINDOWS\NIRCMD.exe 2009-03-17 10:04:50 ----A---- C:\WINDOWS\grep.exe 2009-03-17 10:04:50 ----A---- C:\WINDOWS\fdsv.exe 2009-03-17 10:04:47 ----D---- C:\WINDOWS\ERDNT 2009-03-17 09:52:46 ----A---- C:\WINDOWS\system32\tmp.txt 2009-03-17 09:20:31 ----A---- C:\WINDOWS\ntbtlog.txt 2009-03-16 23:02:33 ----D---- C:\WINDOWS\pss 2009-03-02 15:18:40 ----D---- C:\Program Files\Linksys ======List of files/folders modified in the last 1 months====== 2009-03-27 15:25:01 ----D---- C:\TEMP 2009-03-27 15:22:48 ----D---- C:\Program Files\Mozilla Firefox 2009-03-27 15:18:23 ----D---- C:\WINDOWS\Prefetch 2009-03-27 15:07:24 ----D---- C:\Documents and Settings\Arnaud\Application Data\Skype 2009-03-27 15:04:40 ----D---- C:\Documents and Settings\All Users\Application Data\Babylon 2009-03-27 11:12:34 ----D---- C:\Program Files\Mozilla Thunderbird 2009-03-27 11:05:39 ----D---- C:\WINDOWS\system32\drivers 2009-03-27 11:05:38 ----RD---- C:\Program Files 2009-03-27 11:03:21 ----A---- C:\WINDOWS\SchedLgU.Txt 2009-03-27 10:52:40 ----RASH---- C:\boot.ini 2009-03-27 10:52:40 ----A---- C:\WINDOWS\win.ini 2009-03-27 10:52:40 ----A---- C:\WINDOWS\system.ini 2009-03-27 10:42:28 ----D---- C:\WINDOWS\system32\CatRoot2 2009-03-27 10:40:09 ----D---- C:\WINDOWS\system32 2009-03-27 10:34:42 ----D---- C:\WINDOWS 2009-03-27 10:05:51 ----HD---- C:\WINDOWS\inf 2009-03-27 10:04:50 ----SHD---- C:\WINDOWS\Installer 2009-03-27 10:04:49 ----D---- C:\WINDOWS\WinSxS 2009-03-27 09:37:12 ----D---- C:\Documents and Settings\Arnaud\Application Data\skypePM 2009-03-27 09:32:55 ----RSHDC---- C:\WINDOWS\system32\dllcache 2009-03-26 21:51:08 ----D---- C:\Documents and Settings\Arnaud\Application Data\Babylon 2009-03-26 18:10:12 ----D---- C:\Program Files\Paint Shop Pro 5 2009-03-26 11:09:18 ----AD---- C:\Documents and Settings\All Users\Application Data\TEMP 2009-03-26 09:14:24 ----D---- C:\Program Files\Fichiers communs 2009-03-17 10:25:44 ----RSD---- C:\WINDOWS\assembly 2009-03-17 10:25:43 ----RSD---- C:\WINDOWS\Fonts 2009-03-17 10:16:11 ----SHD---- C:\System Volume Information 2009-03-17 10:16:11 ----D---- C:\WINDOWS\system32\Restore 2009-03-17 10:09:28 ----D---- C:\WINDOWS\AppPatch 2009-03-17 09:20:55 ----D---- C:\Documents and Settings 2009-03-16 22:48:13 ----D---- C:\Program Files\Winamp 2009-03-02 15:18:40 ----SD---- C:\WINDOWS\Downloaded Program Files 2009-03-02 15:18:40 ----HD---- C:\Program Files\InstallShield Installation Information 2009-03-02 15:18:40 ----D---- C:\Program Files\Fichiers communs\InstallShield ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2008-10-30 75072] R1 dk2drv;DK2 WindowsNT Driver; \??\C:\WINDOWS\SYSTEM32\Drivers\dk2drv.sys [] R1 intelppm;Pilote de processeur Intel; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2004-08-19 40320] R2 vnccom;vnccom; C:\WINDOWS\System32\Drivers\vnccom.SYS [2004-06-26 6016] R3 Arp1394;Protocole client ARP 1394; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2004-08-03 60800] R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller; C:\WINDOWS\System32\DRIVERS\atl01_xp.sys [2007-03-15 38656] R3 ati2mtag;ati2mtag; C:\WINDOWS\System32\DRIVERS\ati2mtag.sys [2008-01-22 2845696] R3 AtiHdmiService;ATI Function Driver for HDMI Service; C:\WINDOWS\system32\drivers\AtiHdmi.sys [2007-07-20 84992] R3 avgntflt;avgntflt; \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys [] R3 DK2USB;DK2usb Driver; C:\WINDOWS\System32\Drivers\DK2USB.sys [2008-02-28 18360] R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\System32\DRIVERS\HDAudBus.sys [2005-01-07 138752] R3 hidusb;Pilote de classe HID Microsoft; C:\WINDOWS\System32\DRIVERS\hidusb.sys [2002-08-30 9600] R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2007-03-26 4395008] R3 mouhid;Pilote HID de souris; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2002-08-30 12288] R3 MTsensor;ATK0110 ACPI UTILITY; C:\WINDOWS\System32\DRIVERS\ASACPI.sys [2004-08-13 5810] R3 NIC1394;Pilote réseau 1394; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2004-08-03 61824] R3 usbehci;Pilote miniport de contrôleur hôte amélioré USB 2.0 Microsoft; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2004-08-03 26624] R3 usbhub;Pilote de concentrateur standard USB Microsoft; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600] R3 usbscan;Pilote de scanneur USB; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104] R3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496] R3 usbuhci;Pilote miniport de contrôleur hôte universel USB Microsoft; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2004-08-03 20480] R3 vncdrv;vncdrv; C:\WINDOWS\system32\DRIVERS\vncdrv.sys [2004-06-26 4736] S1 kbdhid;Pilote HID de clavier; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-19 14848] S1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248] S2 DS1410D;DS1410D; C:\WINDOWS\SYSTEM32\drivers\DS1410D.SYS [] S3 usbbus;LGE Mobile Composite USB Device; C:\WINDOWS\system32\DRIVERS\lgusbbus.sys [2008-02-01 12672] S3 USBModem;LGE Mobile USB Modem; C:\WINDOWS\system32\DRIVERS\lgusbmodem.sys [2008-02-01 21760] S3 usbprint;Classe d'imprimantes USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2004-08-03 25856] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AntiVirScheduler;Planificateur Avira AntiVir Personal - Free Antivirus; C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-15 68865] R2 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard; C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-15 151297] R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2008-01-22 512000] R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-01-28 38912] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240] S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2006-10-20 36864] S4 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2008-01-22 593920] S4 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2006-10-30 741376] S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2006-10-30 122880] -----------------EOF----------------- et le info.TXT : info.txt logfile of random's system information tool 1.06 2009-03-27 15:25:07 ======Uninstall list====== -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf 7-Zip 4.57-->"C:\Program Files\7-Zip\Uninstall.exe" Adobe Acrobat 4.0-->C:\WINDOWS\ISUN040C.EXE -f"C:\Program Files\Fichiers communs\Adobe\Acrobat 4.0\NT\Uninst.isu" -c"C:\Program Files\Fichiers communs\Adobe\Acrobat 4.0\NT\Uninst.dll" Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Altair HyperWorks 7.0-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1AAB02B9-7C9D-11D7-86C9-00104BD7BBEB}\setup.exe" aMSN 0.97.2-->C:\Program Files\aMSN\uninstall.exe ATI - Software Uninstall Utility-->C:\Program Files\ATI Technologies\UninstallAll\AtiCimUn.exe ATI AVIVO Codecs-->MsiExec.exe /I{89DE67AD-08B8-4699-A55D-CA5C0AF82BF3} ATI Catalyst Control Center-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x0 ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean ATI Parental Control & Encoder-->MsiExec.exe /I{36CDA33B-909B-4719-97D1-C4B99309BDC7} Attansic Ethernet Utility-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1F698102-5739-441E-96F0-74F4EA540F06}\setup.exe" -l0x9 -removeonly Attansic L1 Gigabit Ethernet Driver-->rundll32.exe C:\WINDOWS\System32\Attansic\L1\atcInst.dll,AtcUninst C:\WINDOWS\System32\Attansic\L1 x86 1969 1048 L1 AutoIt v3.2.10.0-->C:\Program Files\AutoIt3\Uninstall.exe Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE Babylon Toolbar-->MsiExec.exe /I{67A339E5-D8AA-4E88-9278-A571B397F798} Babylon-->C:\Program Files\Babylon\Babylon-Pro\Utils\uninstbb.exe Comptabilité-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{5827A3F0-23B3-414F-BFD8-95F96A3D199D}\Setup.exe" -l0x40c -uninst DameK UltraBlue-->C:\WINDOWS\iun6002.exe "C:\WINDOWS\Resources\Themes\DameK UltraBlue\irunin.ini" DECAdry Express Publishing 3.0-->C:\WINDOWS\IsUn040c.exe -f"C:\Program Files\DECAdry\Uninst.isu" DirSync Directory Synchronizer-->C:\WINDOWS\UNWISE.EXE C:\WINDOWS\INSTALL_DIRSYNC.LOG DK2 DESkey Drivers v7.14.0.25-->rundll32 C:\WINDOWS\system32\DK2INST.DLL,RunDLL_Uninstall FileMaker Pro 8.5-->MsiExec.exe /I{DC4C464D-416A-4F42-B212-8B744C1BB4AE} Foxit PDF Editor-->C:\Program Files\Foxit Software\PDF Editor\uninstall.exe High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXP$\spuninst\spuninst.exe" HijackThis 2.0.2-->"C:\Documents and Settings\Arnaud\Bureau\désinfection\HiJackThis\HijackThis.exe" /uninstall IKEA Home Planner-->MsiExec.exe /I{AFA9D219-A7FD-4240-8793-E5C7C9D715F4} Java 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030} Java 6 Update 4-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160040} Java 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050} JMB36X Raid Configurer-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3A1B5D40-41E9-43FA-8C7B-A8667F5586EF}\setup.exe" -l0x40c -removeonly LG PC Suite-->C:\Program Files\InstallShield Installation Information\{0B7BA3EE-D7AC-494E-999D-DA58D6D01DAC}\setup.exe -runfromtemp -l0x040c -removeonly LG USB Modem driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C3ABE126-2BB2-4246-BFE1-6797679B3579}\setup.exe" -l0x40c LG -removeonly Macromedia Dreamweaver UltraDev 4-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{ABDA9912-5D00-11D4-BAE7-9367CA097955}\Setup.exe" mmUninstall Macromedia Extension Manager-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{A5BA14E0-7384-11D4-BAE7-00409631A2C8}\setup.exe" mmUninstall Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe" Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe Microsoft .NET Framework 3.0-->C:\WINDOWS\Microsoft.NET\Framework\v3.0\Microsoft .NET Framework 3.0\setup.exe Microsoft .NET Framework 3.0-->MsiExec.exe /X{15095BF3-A3D7-4DDF-B193-3A496881E003} Microsoft VC80 Support DLLs-->MsiExec.exe /I{342F5437-C87D-4BB5-89B9-B23E16C6A395} Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d} Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7} Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022-->MsiExec.exe /X{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475} Mise à jour pour Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe" Mozilla Firefox (3.0.7)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe Mozilla Thunderbird (2.0.0.21)-->C:\program files\Mozilla Thunderbird\uninstall\helper.exe MSXML 4.0 SP2 Parser and SDK-->MsiExec.exe /I{716E0306-8318-4364-8B8F-0CC4E9376BAC} MSXML 6.0 Parser (KB925673)-->MsiExec.exe /I{FE9126DB-5F84-495A-BB46-3C724F1C2D08} ObjectDock-->C:\PROGRA~1\Stardock\OBJECT~1\UNWISE.EXE C:\PROGRA~1\Stardock\OBJECT~1\INSTALL.LOG OLYMPUS Master 2-->MsiExec.exe /X{CBC85F2E-1981-4C55-9418-908D08D2C6E8} OpenOffice.org 3.0-->MsiExec.exe /I{1572F66F-F9AD-4D45-B0D2-0F45A0D5A0F6} Outils de productivité WebEx-->MsiExec.exe /I{BD5F604E-0460-4DC9-9007-0E7189FD4760} Paint Shop Pro 5.01 CD-->C:\PROGRA~1\PAINTS~1\UNWISE.EXE C:\PROGRA~1\PAINTS~1\INSTALL.LOG QuickTime Alternative 2.4.0-->"C:\Program Files\QuickTime Alternative\unins000.exe" Rainlendar (remove only)-->"C:\Program Files\Rainlendar\uninst.exe" Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\setup.exe" -l0x40c -removeonly Skype™ 3.8-->MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82} UltraVNC v1.0.2-->"C:\Program Files\UltraVNC\unins000.exe" Utilitaire de mappage de lecteur réseau-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C7325E7B-6844-4D46-9515-365BCE0DC185}\setup.exe" -l0x40c REMOVE -removeonly UxTheme Multipatcher Fr-->C:\Program Files\UxTheme Multipatcher Fr\uninstall.exe VideoLAN VLC media player 0.8.6e-->C:\Program Files\VideoLAN\VLC\uninstall.exe -runfromtemp -l0x040c -removeonly WebEx-->C:\PROGRA~1\MOZILL~1\plugins\atcliun.exe Winamp-->"C:\Program Files\Winamp\UninstWA.exe" Windows Communication Foundation-->MsiExec.exe /X{491DD792-AD81-429C-9EB4-86DD3D22E333} Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe" Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe" Windows Media Format Runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll Windows Presentation Foundation-->MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840} Windows Workflow Foundation-->MsiExec.exe /I{7D1B85BD-AA07-48B8-808D-67A4067FC6BD} Windows XP Service Pack 2-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe XnView 1.92.1-->"C:\Program Files\XnView\unins000.exe" =====HijackThis Backups===== O3 - Toolbar: Babylon - {965B54B0-71E0-4611-8DE7-F73FA0B20E26} - C:\Program Files\Babylon\Babylon-Pro\Babylon Toolbar\BabylonIEToolBar.dll [2009-03-27] ======Hosts File====== 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com ======Security center information====== AV: Avira AntiVir PersonalEdition Classic (outdated) ======System event log====== Computer Name: ACP-Q6600 Event Code: 3019 Message: Le redirecteur n'a pas réussi à déterminer le type de la connexion. Record Number: 5206 Source Name: MRxSmb Time Written: 20090105113239.000000+060 Event Type: Avertissement User: Computer Name: ACP-Q6600 Event Code: 7036 Message: Le service Service COM de gravage de CD IMAPI est entré dans l'état : arrêté. Record Number: 5205 Source Name: Service Control Manager Time Written: 20090105102945.000000+060 Event Type: Informations User: Computer Name: ACP-Q6600 Event Code: 7036 Message: Le service Service COM de gravage de CD IMAPI est entré dans l'état : en cours d'exécution. Record Number: 5204 Source Name: Service Control Manager Time Written: 20090105102939.000000+060 Event Type: Informations User: Computer Name: ACP-Q6600 Event Code: 7035 Message: Un contrôle Démarrer a correctement été envoyé au service Service COM de gravage de CD IMAPI. Record Number: 5203 Source Name: Service Control Manager Time Written: 20090105102939.000000+060 Event Type: Informations User: AUTORITE NT\SYSTEM Record Number: 5202 Source Name: Service Control Manager Time Written: 20090105082216.000000+060 Event Type: erreur User: =====Application event log===== Computer Name: ACP-Q6600 Event Code: 1100 Message: .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32) - Began compiling: C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMDiagnostics.dll Record Number: 320 Source Name: .NET Runtime Optimization Service Time Written: 20080506174215.000000+120 Event Type: Informations User: Computer Name: ACP-Q6600 Event Code: 1102 Message: .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32) - Succesfully compiled: C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\ServiceModelReg.exe Record Number: 319 Source Name: .NET Runtime Optimization Service Time Written: 20080506174215.000000+120 Event Type: User: Computer Name: ACP-Q6600 Event Code: 1100 Message: .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32) - Began compiling: C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\ServiceModelReg.exe Record Number: 318 Source Name: .NET Runtime Optimization Service Time Written: 20080506174215.000000+120 Event Type: Informations User: Computer Name: ACP-Q6600 Event Code: 1102 Message: .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32) - Succesfully compiled: C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\Microsoft.Transactions.Bridge.Dtc.dll Record Number: 317 Source Name: .NET Runtime Optimization Service Time Written: 20080506174215.000000+120 Event Type: User: Computer Name: ACP-Q6600 Event Code: 1100 Message: .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32) - Began compiling: C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\Microsoft.Transactions.Bridge.Dtc.dll Record Number: 316 Source Name: .NET Runtime Optimization Service Time Written: 20080506174214.000000+120 Event Type: Informations User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "FP_NO_HOST_CHECK"=NO "NUMBER_OF_PROCESSORS"=4 "OS"=Windows_NT "Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 11, GenuineIntel "PROCESSOR_LEVEL"=6 "PROCESSOR_REVISION"=0f0b "TEMP"=C:\Temp "TMP"=C:\Temp "windir"=%SystemRoot% "MFPSHOST"=ACP-Q6600 -----------------EOF-----------------

Bonjour, Je suis nouveau ici. Tout d'abord félicitations pour les nombreux tutoriaux consacrés à la désinfection. Je les ai suivi (préparation du nettoyage, remplacement Avast par Antivir, téléchargement des logiciels de base, ...), mais ai une infection résistante aux traitements basiques. C'est pourquoi j'en appelle à votre aide. Origine et symptomes : En surfant sur generation-nt.com news : http://www.generation-nt.com/firefox-faill...ite-254181.html , Firefox a brutalement planté. Symptomes : - Liens de recherche google redirigés sur sites porno, pharmacie en ligne, ... - présence d'un fichier mkgwima.pqo de 18 ko dans la racine de C:\ . Si ce fichier est effacé il réapparait dans les secondes qui suivent. - crash systématique de certaines applications (winamp) - mauvais fonctionnement de Firefow et IE (fermeture intempestive en voulant faire clic droit > enregistrer sous ...) J'ai eu une infection similaire il y a quelques temps corrigée en suivant la procédure décrite dans ce topic : http://forum.zebulon.fr/impossible-de-lanc...es-t160263.html Mais ce coup ci ça ne fonctionne pas Ci joint le rapport HiJackThis : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:53:10, on 27/03/2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\DirSync\DirSync.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\aMSN\bin\wish.exe C:\Program Files\Rainlendar\Rainlendar.exe C:\Program Files\Stardock\ObjectDock\ObjectDock.exe C:\Program Files\OpenOffice.org 3\program\soffice.exe C:\Program Files\OpenOffice.org 3\program\soffice.bin C:\Program Files\DirSync\DirSync_Svr.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Skype\Plugin Manager\skypePM.exe C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\Arnaud\Bureau\désinfection\HiJackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O3 - Toolbar: Babylon - {965B54B0-71E0-4611-8DE7-F73FA0B20E26} - C:\Program Files\Babylon\Babylon-Pro\Babylon Toolbar\BabylonIEToolBar.dll O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart O4 - HKCU\..\Run: [DirSync] "C:\PROGRA~1\DirSync\DirSync.exe" /Background O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [amsn] C:\Program Files\aMSN\amsn.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe O4 - Startup: Rainlendar.lnk = C:\Program Files\Rainlendar\Rainlendar.exe O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe O8 - Extra context menu item: Translate with &Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM) O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM) O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM) O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM) O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM) O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe -- End of file - 4472 bytes Toute aide sera bienvenue Merci d'avance