Larca

Bonjour tous, problème résolu. En fait en bas de l'écran (on ne le voit pas en VGA minimum) qui demande la validation, il y a des cases pour mettre le numéro d'identification. C'est seulement ensuite qu'il faut appeler la miss Crosoft. je ne sais pas comment valider la résolution sur le site. Merci de vos conseils Larca

je le ferai. C'est quelque chose qu'il faut shunter quelque secondes. j'ai vu ça sur la doc de la carte mère. Cependant celle-ci est neuve, je ne m'attends pas à des miracles, mais on en a vu d'autres! Quel que soit le résultat je vous tiendrai au courant. merci pour votre disponibilité

Non! Je n'ai pas eu accès à l'heure, j'aperçois le fond d'écran du bureau (vide) lorsque je dis que je veux activer windows avant que le logiciel d'activation ne démarre. Deux autres détails quand même au cas où ça pourrait vous aider et qui ne sont peut être pas fortuits. Si je démarre en mode normal j'ai les trois utilisateurs habituels, plus un utilisateur en jaune rayé de noir appelé system. Si je démarre en mode sans échec, je n'ai plus system mais j'ai administrateur. Le résultat final est le même. Les mots de passe des deux utilisateurs qui en ont un s'affichent quand je clique sur le point d'interrogation à coté, mais ça ne fait rien de plus, quand je rentre le mot de passe affiché, ça ne fait rien du tout.

merci à vous deux, Concernant le n° de HP, j'ai déjà essayé. Si tu es hors garantie, par téléphone, le service est payant (19.99€). Avec le numero de microsoft on finit plus ou moins vite par retomber sur la même robotte que celle dont j'ai déjà parlé. Je vais essayer les autres options qui ne correspondent pas à mon cas en espérant tomber sur du réel ce soir. Je vous tiendrai au courant. je crois que je suis bien parti pour copier les données et réinstaller windows par dessus le premier. Bonne journée

Bonjour Thorgal, j'ai essayé de joindre HP, mais le pc n'étant plus sous garantie, ça me coûterait 20 euros la voix. quant au téléphone, j'ai évidemment essayé, mais la douce voix ne sort que d'une machine, et je n'ai pas eu l'occasion d'expliquer mon cas. Peut etre qu'en essayant plusieurs fois, mais pff 54 chiffres à chaque fois, et je ne suis meme pas sûrs que ce soit toujours les mêmes. Je vais donc retenter ce soir disons 5 fois de suite en espérant tomber sur une vraie voix. Si je trouve une solution d'ici là, ou même après, j'en ferai part sur ce sujet. mais je reste preneur de toute solution pour contacter MS de vive voix. merci

bonjour et merci de me répondre. Je n'ai pas réisntallé, j'ai seulement changé la carte mère. Le disque a été reconnu et xp a démarré jusqu'à l'écran de choix des utilisateurs. je n'ai pas pu charger les pilotes (y-compris ceux de la cm) car je n'ai pas la main.

Bonjour, mon problème est d'origine différente mais ressemble beaucoup à celui de Mayie. J'ai changé la carte-mère d'une amie (de son PC en fait). Le PC est un HP compaq présario SR 1907FR acheté neuf avec la version xp familiale. Le bios démarre, le disque e-sata est reconnu, et on arrive à l'écran d'accueil XP où l'on choisit un utilisateur. Je ne sais pas quelle version d'xp c'est, ni comment le savoir. Mais lorsque l'on clique sur l'utilisateur, il s'affiche le message suivant "cette copie de windows doit être activée avant de pouvoir ouvrir une session" . en cliquant sur oui, après le fond d'écran, on a un message blanc sur fond bleu pour activer windows soit par internet soit par téléphone. Par internet je ne peux pas car le pilote de la carte réseau intégrée n'est pas présent. Par téléphone ça affiche un n° vert international et un numéro payant. Après création d'une clé à 54 chiffres!, il faut donner les 9x6 chiffres affichés sur l'écran pour en récupérer 9x6 autres. Et là, le gentil répondeur me dit que j'ai peut être une version pirate etc.. contacter votre revendeur. Le n° de tel payant qui est affiché (01 55 17 40 75) me conduit également à une machine et j'arrive au même message que mayie, c'est à dire "clé erronée, piraté, etc ..." Je suis certain que la version sur le pc n'est pas piratée, elle est d'origine. Je n'ai trouvé aucun moyen de contacter MS pour ça. J'ai lu ici qu'en parlant avec un technicien microsoft ça s'arrangerait, mais je ne vois pas comment le faire, il n'y a aucun n° conduisant à une personne physique. Quelqu'un a-t-il une idée pour résoudre mon problème? ou une démarche pour contacter gratuitement (je ne veux pas mettre 72 euros pour chatter)le support? J'ajouterai que je ne veux pas détruire les données présentes sur le disque dur. J'ai peur qu'une réinstallation (je pense qu'elle a les cd) détruise tout. J'ai peut-être une autre solution, c'est de copier les données du dd sur un autre pc en branchant le dd en esclave, et en réinstallant tout, mais ça me paraît lourd. D'autant plus qu'il n'y a eu aucune manoeuvre illégale. Merci d'avance. Larca

Bonjour, le rapport est terminé, je viens de le sauvegarder. Je l'ai envoyé à malwarebytes avec les deux ficiers incriminés compressés. Je m'occupe de la restauration (d'ailleurs j'ai faim) Je vais passer l'antivirus en ligne. Encore une fois merci

Bonsoir de nouveau, j'ai lancé le truc, je n'aurai pas la patience d'attendre 3heures ce soir, et j'enverrai demain le rapport coïncidence ou synergie?, avast a de nouveau détecté quelque chose pendant que malwarebytes tournait. il s'agit de C:\System Volume Information\_restore{7BDC22AC-F1E3-4E46-AF50-1A1CC76442A1}\RP956\A0232968.exe Pour mon info personnelle qu'est-ce qui te fait dire que le sibelius/unwise est un faux positif? Il restera une chose, c'est les sauvegardes qui sont vérolées. Comment nettoyer ça? Je finis tout ce que tu m'as conseillé, que dois-je faire à la fin sur le site? marqué que c'est réglé? Vraiment merci et toutes mes félicitations.

Bonsoir, voici les deux résultats pour Sibelius Software\Sibelius 3\UNWISE.EXE Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.50 2010.02.11 - AhnLab-V3 5.0.0.2 2010.02.11 - AntiVir 7.9.1.160 2010.02.11 - Antiy-AVL 2.0.3.7 2010.02.11 - Authentium 5.2.0.5 2010.02.11 - Avast 4.8.1351.0 2010.02.11 - AVG 9.0.0.730 2010.02.11 - BitDefender 7.2 2010.02.11 - CAT-QuickHeal 10.00 2010.02.11 (Suspicious) - DNAScan ClamAV 0.96.0.0-git 2010.02.11 - Comodo 3900 2010.02.11 - DrWeb 5.0.1.12222 2010.02.11 - eSafe 7.0.17.0 2010.02.11 Win32.PCKDumped eTrust-Vet 35.2.7296 2010.02.11 - F-Prot 4.5.1.85 2010.02.11 - F-Secure 9.0.15370.0 2010.02.11 - Fortinet 4.0.14.0 2010.02.11 - GData 19 2010.02.11 - Ikarus T3.1.1.80.0 2010.02.11 - Jiangmin 13.0.900 2010.02.08 - K7AntiVirus 7.10.971 2010.02.11 - Kaspersky 7.0.0.125 2010.02.11 - McAfee 5889 2010.02.11 - McAfee+Artemis 5889 2010.02.11 - McAfee-GW-Edition 6.8.5 2010.02.11 - Microsoft 1.5406 2010.02.11 - NOD32 4858 2010.02.11 - Norman 6.04.08 2010.02.11 - nProtect 2009.1.8.0 2010.02.11 - Panda 10.0.2.2 2010.02.11 - PCTools 7.0.3.5 2010.02.11 - Prevx 3.0 2010.02.11 - Rising 22.34.01.03 2010.02.11 - Sophos 4.50.0 2010.02.11 - Sunbelt 3.9.2398.2 2010.02.11 - Symantec 20091.2.0.41 2010.02.11 - TheHacker 6.5.1.1.189 2010.02.11 - TrendMicro 9.120.0.1004 2010.02.11 - VBA32 3.12.12.2 2010.02.11 - ViRobot 2010.2.11.2182 2010.02.11 - VirusBuster 5.0.21.0 2010.02.11 - Information additionnelle File size: 339944 bytes MD5...: f586833209d129d8ae62bd1fe63588c3 SHA1..: 4ad406d60308265065b317477a8d362d9d1c0407 SHA256: aff1df4e3e3004885a9c7beff4a8c4c0b527c895e186ea61f93fcc5c9c5593e2 ssdeep: 3072:nOqIJ3IVdYUiA7+Yo9gWuhQl87dQM+SyaCkNPPmhmNKyWZQMAoQBHAU6B6: nnIhIXd+aWkQ+7dNtCMWnyY5QKJ6 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0xd841 timedatestamp.....: 0x3d2314d6 (Wed Jul 03 15:14:30 2002) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x11000 0x103b5 6.38 36f0db5917a0babf8ba5ddc1382ae729 .rdata 0x12000 0x2000 0x1f15 5.72 7850c438632985cfd2c33593e4d27ba6 .data 0x14000 0x5000 0x35f8 2.57 061eb982f6d4e5bae500c9c4374c68e2 .rsrc 0x19000 0x3cbd0 0x3cc00 6.46 9106930bb11e10bea374a4ccff04ea01 code1.bi 0x56000 0x1000 0x3e8 4.75 f7eb56708e22f6b63dc4eb96947ca152 ( 7 imports ) > KERNEL32.dll: SetFileAttributesA, FindFirstFileA, FindNextFileA, FindClose, WaitForSingleObject, MoveFileExA, GetVersionExA, CreateDirectoryA, LocalFree, FormatMessageA, GetLastError, SizeofResource, CreateProcessA, RemoveDirectoryA, GetFileAttributesA, GetPrivateProfileIntA, SetErrorMode, GlobalAlloc, GlobalLock, DeleteFileA, FreeResource, WinExec, lstrcatA, LoadLibraryA, GetProcAddress, FreeLibrary, GetWindowsDirectoryA, GlobalUnlock, GlobalFree, OpenFile, lstrcpynA, WritePrivateProfileStringA, MultiByteToWideChar, _lcreat, _lwrite, FileTimeToDosDateTime, GetFileTime, FileTimeToLocalFileTime, GetSystemDirectoryA, _lread, GetDriveTypeA, lstrcmpA, _lopen, _llseek, MulDiv, lstrcmpiA, _lclose, lstrcpyA, GetModuleFileNameA, lstrlenA, CopyFileA, GetTempPathA, GetTempFileNameA, LoadResource, FindResourceA, LockResource, GetPrivateProfileStringA, GetLocalTime, FreeEnvironmentStringsA, HeapReAlloc, UnhandledExceptionFilter, FreeEnvironmentStringsW, VirtualFree, ExitProcess, HeapCreate, HeapDestroy, GetEnvironmentVariableA, ReadFile, SetFilePointer, WriteFile, GetStdHandle, SetHandleCount, SetStdHandle, LCMapStringW, LCMapStringA, WideCharToMultiByte, GetStringTypeW, GetStringTypeA, GetCurrentProcess, TerminateProcess, GetVersion, GetCommandLineA, GetStartupInfoA, GetModuleHandleA, HeapFree, HeapAlloc, MoveFileA, CreateFileA, GetFileType, SetEndOfFile, CloseHandle, GetFullPathNameA, SetCurrentDirectoryA, GetCurrentDirectoryA, SetEnvironmentVariableA, GetEnvironmentStrings, GetEnvironmentStringsW, RtlUnwind, GetCPInfo, VirtualAlloc, GetACP, GetOEMCP > USER32.dll: LoadBitmapA, UpdateWindow, RegisterClassA, SetWindowTextA, wsprintfA, MessageBoxA, GetSysColor, CreateWindowExA, DispatchMessageA, ShowWindow, LoadIconA, KillTimer, DestroyWindow, GetMessageA, ExitWindowsEx, LoadCursorA, SetCursor, EnableWindow, IsWindowVisible, CreateDialogParamA, IsDialogMessageA, PostMessageA, EndPaint, PostQuitMessage, GetClientRect, BeginPaint, ReleaseDC, InvalidateRect, GetDC, DefWindowProcA, MoveWindow, GetWindowRect, SetDlgItemTextA, EndDialog, GetDlgItemTextA, SetRect, ScreenToClient, GetWindowTextA, SendMessageA, SendDlgItemMessageA, GetDlgItem, SetFocus, OemToCharA, DialogBoxParamA, DrawEdge, CharNextA, GetDialogBaseUnits, FillRect, DrawIcon, LoadStringA, GetParent, EnumChildWindows, FindWindowA, DdeCreateDataHandle, DdeInitializeA, DdeCreateStringHandleA, DdeClientTransaction, DdeGetData, TranslateMessage, SetTimer, DdeUninitialize, PeekMessageA, DdeDisconnect, DdeFreeDataHandle, DdeConnect > GDI32.dll: CreateBrushIndirect, TextOutA, SetTextColor, GetTextExtentPointA, CreateFontA, GetDeviceCaps, SetBkMode, BitBlt, GetObjectA, DeleteDC, PatBlt, CreateSolidBrush, CreateCompatibleDC, RealizePalette, SelectPalette, SelectObject, MoveToEx, CreatePen, LineTo, SetBkColor, StretchBlt, ExtTextOutA, CreateCompatibleBitmap, CreateFontIndirectA, GetStockObject, DeleteObject > comdlg32.dll: GetOpenFileNameA > ADVAPI32.dll: RegSetValueExA, RegCloseKey, RegDeleteValueA, RegQueryValueExA, RegEnumValueA, RegOpenKeyExA, CloseServiceHandle, OpenSCManagerA, RegSetValueA, RegCreateKeyExA, RegDeleteKeyA, RegEnumKeyExA, RegEnumKeyA, RegOpenKeyA, DeleteService, ControlService, OpenServiceA > SHELL32.dll: ShellExecuteA > ole32.dll: CoUninitialize, CoCreateInstance, CoInitialize ( 5 exports ) _ItemDlg@16, _MainWndProc@16, _ProgressDlg@16, _PromptDlg@16, _SharedDlg@16 RDS...: NSRL Reference Data Set - pdfid.: - trid..: Generic Win/DOS Executable (50.0%) DOS Executable Generic (49.9%) sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned le second, TechCity Solutions\AliceSAV\shfolder.dll , paraît propre Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.50 2010.02.11 - AhnLab-V3 5.0.0.2 2010.02.11 - AntiVir 7.9.1.160 2010.02.11 - Antiy-AVL 2.0.3.7 2010.02.11 - Authentium 5.2.0.5 2010.02.11 - Avast 4.8.1351.0 2010.02.11 - AVG 9.0.0.730 2010.02.11 - BitDefender 7.2 2010.02.11 - CAT-QuickHeal 10.00 2010.02.11 - ClamAV 0.96.0.0-git 2010.02.11 - Comodo 3900 2010.02.11 - DrWeb 5.0.1.12222 2010.02.11 - eSafe 7.0.17.0 2010.02.11 - eTrust-Vet 35.2.7296 2010.02.11 - F-Prot 4.5.1.85 2010.02.11 - F-Secure 9.0.15370.0 2010.02.11 - Fortinet 4.0.14.0 2010.02.11 - GData 19 2010.02.11 - Ikarus T3.1.1.80.0 2010.02.11 - Jiangmin 13.0.900 2010.02.08 - K7AntiVirus 7.10.971 2010.02.11 - Kaspersky 7.0.0.125 2010.02.11 - McAfee 5889 2010.02.11 - McAfee+Artemis 5889 2010.02.11 - McAfee-GW-Edition 6.8.5 2010.02.11 - Microsoft 1.5406 2010.02.11 - NOD32 4859 2010.02.11 - Norman 6.04.08 2010.02.11 - nProtect 2009.1.8.0 2010.02.11 - Panda 10.0.2.2 2010.02.11 - PCTools 7.0.3.5 2010.02.11 - Prevx 3.0 2010.02.11 - Rising 22.34.01.03 2010.02.11 - Sophos 4.50.0 2010.02.11 - Sunbelt 3.2.2230.2 2010.02.11 - Symantec 20091.2.0.41 2010.02.11 - TheHacker 6.5.1.1.189 2010.02.11 - TrendMicro 9.120.0.1004 2010.02.11 - VBA32 3.12.12.2 2010.02.11 - ViRobot 2010.2.11.2182 2010.02.11 - VirusBuster 5.0.21.0 2010.02.11 - Information additionnelle File size: 9728 bytes MD5...: 1eecd44cd466f5628007dee52d239420 SHA1..: 54fe452afa4e4bfe5447a0d31437068858caca41 SHA256: 8316c7b545f1cc797bd608923d0d40c8f53b14c61902de0bed0cdd7bf318dc60 ssdeep: 192:lMPHQZNBKIY6+QhCsVjDzJVK35sMbqPfqW3iW:+PHCYcCOa3W3PSW3iW PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x9710 timedatestamp.....: 0x3847cd39 (Fri Dec 03 14:01:29 1999) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0x7000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0x8000 0x2000 0x1a00 7.62 0f59b9c265287f6a9f3dd40389d42880 .rsrc 0xa000 0x1000 0x800 3.37 a72c77cecd46ff4d069d0a2e500ceed8 ( 2 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress > ADVAPI32.dll: GetAce ( 2 exports ) SHGetFolderPathA, SHGetFolderPathW RDS...: NSRL Reference Data Set - pdfid.: - trid..: UPX compressed Win32 Executable (39.5%) Win32 EXE Yoda's Crypter (34.3%) Win32 Executable Generic (11.0%) Win32 Dynamic Link Library (generic) (9.8%) Generic Win/DOS Executable (2.5%) sigcheck: publisher....: Microsoft Corporation copyright....: Copyright © Microsoft Corp. 1981-1999 product......: Microsoft® Windows ® 2000 Operating System description..: Shell Folder Service original name: shfolder.dll internal name: shfolder file version.: 5.50.4027.300 comments.....: n/a signers......: - signing date.: - verified.....: Unsigned packers (Kaspersky): UPX packers (F-Prot): UPX J'en fais quoi de sibelius qui n'est plus en quarantaine (inutilisé depuis un bon moment)? J'attends tes instructions pour les points de restauration. et pour sibelius Kaspersky n'a pas de scan en ligne en ce moment. mais je n'oublierai pas

bonjour, j'ai lancé malwarebytes ce matin, c'est très long, mais ça en valait la peine. le rapport après redémarrage se trouve ci-dessous Je ne peux pas lancer kasperski en ligne tout de suite, cette partie est en cours de réactualisation sur le site je te donnerai le rapport quand ce sera fait. Pour information avast à détecté un truc pendant que malwarebytes tournait. Je l'ai mis en quarantaine. De mémoire c'était c:\program files\cirle development\uninstall.exe (ce répertoire était vide à part ce fichier). j'ai l'impression que le cas est réglé, il ne manque plus que ta confirmation. Merci mille fois le log Malwarebytes' Anti-Malware 1.44 Version de la base de données: 3723 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 11/02/2010 10:09:35 mbam-log-2010-02-11 (10-09-35).txt Type de recherche: Examen complet (C:\|) Eléments examinés: 410561 Temps écoulé: 3 hour(s), 6 minute(s), 32 second(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 1 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 5 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): C:\Program Files\TechCity Solutions\AliceSAV\shfolder.dll (Malware.Packer.Gen) -> Delete on reboot. Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): C:\System Volume Information\_restore{7BDC22AC-F1E3-4E46-AF50-1A1CC76442A1}\RP955\A0230669.exe (Trojan.Downloader) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{7BDC22AC-F1E3-4E46-AF50-1A1CC76442A1}\RP924\A0225196.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{7BDC22AC-F1E3-4E46-AF50-1A1CC76442A1}\RP884\A0216637.exe (Backdoor.Sdbot) -> Quarantined and deleted successfully. C:\Program Files\TechCity Solutions\AliceSAV\shfolder.dll (Malware.Packer.Gen) -> Delete on reboot. C:\Program Files\Sibelius Software\Sibelius 3\UNWISE.EXE (Malware.Packer.Morphine) -> Quarantined and deleted successfully.

bon,..., j'ai dû m'inquiéter trop, j'ai trouvé le mbr.log qui dit ça Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK dois-je continuer en copiant le mbr original? Si c'est réglé, y a-t-il un truc à faire pour confirmer la résolution du problème? Merci beaucoup en tous cas, je suis impressionné non pas par la connaissance mais par la disponibilité des gens. Longue vie au forum.

oufffle en voilà un log qu'il est long ComboFix 10-02-10.01 - pierre 10/02/2010 20:55:22.2.1 - x86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1791.1345 [GMT 1:00] Lancé depuis: c:\documents and settings\pierre.MINP-NGJXTXLNHO\Bureau\ComboFix.exe Commutateurs utilisés :: c:\documents and settings\pierre.MINP-NGJXTXLNHO\Bureau\CFScript.txt AV: avast! antivirus 4.8.1368 [VPS 100210-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D} . ((((((((((((((((((((((((((((( Fichiers créés du 2010-01-10 au 2010-02-10 )))))))))))))))))))))))))))))))))))) . 2010-02-09 17:51 . 2010-02-09 17:51 -------- d-----w- c:\program files\Trend Micro 2010-02-09 17:48 . 2010-02-09 17:48 8382888 ----a-w- c:\documents and settings\utilitaires\Firefox Setup 3.6.exe 2010-02-09 17:45 . 2010-02-09 17:45 812344 ----a-w- c:\documents and settings\utilitaires\HJTInstall.exe 2010-02-09 06:59 . 2010-02-09 06:59 3852017 ----a-r- c:\documents and settings\utilitaires\ComboFix.exe 2010-02-09 06:21 . 2010-02-09 06:24 16409960 ----a-w- c:\documents and settings\utilitaires\spybotsd162.exe 2010-02-09 06:00 . 2010-02-09 06:00 -------- d-----w- c:\documents and settings\LocalService.AUTORITE NT\Bureau 2010-02-08 18:29 . 2010-02-08 18:29 -------- d-----w- c:\documents and settings\NetworkService.AUTORITE NT\Bureau 2010-01-27 18:21 . 2010-01-27 18:21 10134 ----a-r- c:\documents and settings\nico\Application Data\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe 2010-01-27 18:21 . 2010-01-27 18:21 -------- d-----w- c:\program files\Microsoft WSE 2010-01-27 17:41 . 2010-01-27 17:41 -------- d-----w- c:\documents and settings\nico\Application Data\Office Genuine Advantage 2010-01-24 21:08 . 2010-01-24 21:08 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Electronic Arts 2010-01-13 04:23 . 2009-11-21 15:58 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2010-02-10 18:36 . 2009-11-26 18:03 -------- d-----w- c:\program files\Tennis Elbow Manager 2010-02-10 07:19 . 2008-05-19 19:33 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Google Updater 2010-02-10 06:33 . 2007-05-24 14:54 -------- d-----w- c:\program files\Google 2010-02-09 07:10 . 2007-11-03 20:54 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy 2010-02-09 06:28 . 2007-11-03 20:54 -------- d-----w- c:\program files\Spybot - Search & Destroy 2010-02-09 06:18 . 2009-04-26 17:11 -------- d-----w- c:\program files\Mozilla Thunderbird 2010-02-09 06:09 . 2007-10-16 18:39 -------- d-----w- c:\program files\Lavasoft 2010-02-09 06:09 . 2008-03-31 23:11 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Lavasoft 2010-02-07 13:35 . 2009-11-26 18:03 -------- d-----w- c:\program files\Tennis Elbow 2009 2010-01-27 18:06 . 2007-02-28 10:14 -------- d-----w- c:\program files\Electronic Arts 2010-01-27 18:06 . 2007-01-06 18:08 -------- d--h--w- c:\program files\InstallShield Installation Information 2010-01-24 11:35 . 2008-10-03 15:25 -------- d-----w- c:\documents and settings\nico\Application Data\Lionhead Studios 2010-01-24 10:03 . 2009-06-24 07:46 -------- d-----w- c:\program files\Ubisoft 2010-01-16 15:15 . 2009-10-26 15:34 96 ---ha-w- c:\windows\system32\HsInfo.dat 2010-01-01 07:04 . 2001-09-28 12:00 84526 ----a-w- c:\windows\system32\perfc00C.dat 2010-01-01 07:04 . 2001-09-28 12:00 510324 ----a-w- c:\windows\system32\perfh00C.dat 2010-01-01 07:03 . 2008-09-17 16:57 -------- d-----w- c:\program files\Alice 2009-12-31 16:50 . 2001-09-28 12:00 353792 ----a-w- c:\windows\system32\drivers\srv.sys 2009-12-26 15:49 . 2006-01-01 20:38 -------- d-----w- c:\documents and settings\nico\Application Data\Apple Computer 2009-12-26 15:48 . 2009-11-01 10:47 -------- d-----w- c:\program files\iTunes 2009-12-23 08:42 . 2009-12-23 08:42 10053112 ----a-w- c:\documents and settings\utilitaires\picasa3-setup.exe 2009-12-22 05:09 . 2001-09-28 12:00 671232 ------w- c:\windows\system32\wininet.dll 2009-12-22 05:08 . 2007-10-21 09:01 81920 ------w- c:\windows\system32\ieencode.dll 2009-12-17 07:41 . 2007-10-20 12:11 347648 ----a-w- c:\windows\system32\mspaint.exe 2009-12-15 18:37 . 2007-12-18 20:50 -------- d-----w- c:\program files\Dofus 2009-12-15 18:34 . 2009-12-15 18:34 5206774 ----a-w- c:\documents and settings\utilitaires\Dofus_v1_29_0_to_1_29_1.zip 2009-12-14 07:09 . 2001-09-28 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll 2009-12-09 10:09 . 2001-08-23 17:12 2068096 ------w- c:\windows\system32\ntkrnlpa.exe 2009-12-09 10:09 . 2001-09-28 12:00 2191232 ------w- c:\windows\system32\ntoskrnl.exe 2009-12-04 18:22 . 2001-09-28 12:00 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys 2009-11-27 17:13 . 2001-09-28 12:00 1297920 ----a-w- c:\windows\system32\quartz.dll 2009-11-27 17:13 . 2001-08-23 17:47 17920 ----a-w- c:\windows\system32\msyuv.dll 2009-11-27 16:08 . 2001-09-28 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll 2009-11-27 16:08 . 2001-09-28 12:00 28672 ----a-w- c:\windows\system32\msvidc32.dll 2009-11-27 16:08 . 2001-09-28 12:00 11264 ----a-w- c:\windows\system32\msrle32.dll 2009-11-27 16:08 . 2001-08-23 17:47 8704 ----a-w- c:\windows\system32\tsbyuv.dll 2009-11-27 16:08 . 2001-08-23 17:47 48128 ----a-w- c:\windows\system32\iyuv_32.dll 2009-11-24 23:54 . 2007-12-31 22:30 1280480 ----a-w- c:\windows\system32\aswBoot.exe 2009-11-24 23:51 . 2007-12-31 22:30 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys 2009-11-24 23:50 . 2007-12-31 22:30 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys 2009-11-24 23:50 . 2008-04-03 06:13 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys 2009-11-24 23:50 . 2008-04-03 06:13 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys 2009-11-24 23:49 . 2007-12-31 22:30 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys 2009-11-24 23:48 . 2007-12-31 22:30 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys 2009-11-24 23:47 . 2007-12-31 22:30 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys 2009-11-24 23:47 . 2007-12-31 22:30 97480 ----a-w- c:\windows\system32\AvastSS.scr 2009-11-21 15:58 . 2001-09-28 12:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll 2009-11-19 06:35 . 2009-11-19 06:36 38208 ----a-w- c:\documents and settings\pierre.MINP-NGJXTXLNHO\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe 2009-11-19 06:35 . 2009-11-19 06:36 38208 ----a-w- c:\documents and settings\Default User.WINDOWS\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe 2009-11-17 06:37 . 2009-11-17 06:37 10053112 ------w- c:\documents and settings\utilitaires\picasa3-setup(2).exe 2009-01-07 17:48 . 2009-01-07 17:48 6144 --sha-w- c:\program files\Thumbs.db 2007-10-26 06:31 . 2007-10-26 06:31 38493 ----a-w- c:\program files\ot.mp3 2007-10-25 18:06 . 2007-10-25 18:06 13684 ----a-w- c:\program files\pp.auto.search.ke.voila.htm 2007-10-24 15:17 . 2007-10-24 15:17 26715 ----a-w- c:\program files\sr.mp3 2007-06-29 17:45 . 2007-06-29 12:25 1603 ----a-w- c:\program files\Tracker.txt 2007-06-29 12:25 . 2007-06-29 12:25 354 ----a-w- c:\program files\UnInstall.log 2007-06-29 12:24 . 2007-06-29 12:24 20480 ----a-w- c:\program files\Tempo.dat 2007-06-29 12:24 . 2007-06-29 12:24 282624 -c--a-w- c:\program files\Désinstaller.exe 2007-06-21 09:10 . 2007-07-02 14:32 40494 ----a-w- c:\program files\open.WAV 2007-02-19 20:24 . 2007-02-19 20:24 122962 ----a-w- c:\program files\the_king_queen_font.zip 2007-01-21 08:18 . 2007-02-23 20:38 193528 ----a-w- c:\program files\the_King__26_Queen_font.ttf 2004-04-10 01:08 . 2007-02-24 18:42 21672 ----a-w- c:\program files\MA Sexy.ttf 1998-04-30 11:56 . 2007-07-02 15:56 129024 ----a-w- c:\program files\UNWISE.EXE 2003-08-16 17:56 . 2005-10-26 22:39 579584 -csha-r- c:\windows\system32\cd.exe . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-05-28 68856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-31 7561216] "nwiz"="nwiz.exe" [2006-03-31 1519616] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-03-31 86016] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000] "LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2003-06-30 65536] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-08-13 177440] "NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136] "SecurDisc"="c:\program files\Nero\Nero 7\InCD\NBHGui.exe" [2007-05-15 1628208] "InCD"="c:\program files\Nero\Nero 7\InCD\InCD.exe" [2007-05-15 1057328] "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-09-04 417792] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-10-28 141600] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280] "AliceSAV"="c:\program files\TechCity Solutions\AliceSAV\AliceAgent.exe" [2005-12-16 81408] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] c:\documents and settings\marion.MINP-NGJXTXLNHO\Menu D‚marrer\Programmes\D‚marrage\ OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000] c:\documents and settings\nico\Menu D‚marrer\Programmes\D‚marrage\ Alaplaya Launcher.lnk - d:\program files\launcher\AlaplayaLauncher.exe [2009-10-26 506368] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "TlntSvr"=3 (0x3) "mnmsrvc"=3 (0x3) "SysmonLog"=3 (0x3) "TrkWks"=2 (0x2) "SCardSvr"=3 (0x3) "WmiApSrv"=3 (0x3) "LmHosts"=2 (0x2) "helpsvc"=2 (0x2) "RemoteRegistry"=2 (0x2) "WLSetupSvc"=3 (0x3) "Themes"=2 (0x2) "Spooler"=2 (0x2) "RDSessMgr"=3 (0x3) "RasMan"=3 (0x3) "RasAuto"=3 (0x3) "iPod Service"=3 (0x3) "gusvc"=2 (0x2) "FastUserSwitchingCompatibility"=3 (0x3) "Bonjour Service"=2 (0x2) "Apple Mobile Device"=2 (0x2) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"= "c:\\Program Files\\Messenger\\msmsgs.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"= "c:\\Program Files\\eMule\\emule.exe"= "c:\\Program Files\\Bonjour\\mDNSResponder.exe"= "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Nexon\\NEXON_EU_Downloader\\NEXON_EU_Downloader_Engine.exe"= "c:\\Documents and Settings\\All Users.WINDOWS\\Application Data\\NexonEU\\NGM\\NGM.exe"= "c:\\Program Files\\Pando Networks\\Media Booster\\PMB.exe"= "c:\\Documents and Settings\\All Users.WINDOWS\\Application Data\\NexonUS\\NGM\\NGM.exe"= "c:\nexon\Combat Arms\CombatArms.exe"= c:\nexon\Combat Arms\CombatArms.exe:*Enabled:CombatArms.exe "c:\nexon\Combat Arms\Engine.exe"= c:\nexon\Combat Arms\Engine.exe:*Enabled:Engine.exe "c:\nexon\Combat Arms EU\CombatArms.exe"= c:\nexon\Combat Arms EU\CombatArms.exe:*Enabled:CombatArms.exe "c:\nexon\Combat Arms EU\Engine.exe"= c:\nexon\Combat Arms EU\Engine.exe:*Enabled:Engine.exe "c:\\Nexon\\Combat Arms EU\\NMService.exe"= "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Program Files\\iTunes\\iTunes.exe"= "c:\\Program Files\\Tennis Elbow 2009\\TennisElbow.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "57441:TCP"= 57441:TCP:Pando Media Booster "57441:UDP"= 57441:UDP:Pando Media Booster R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [02/08/2008 11:45 155136] R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [02/08/2008 11:45 5248] R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [03/04/2008 07:13 114768] R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [03/04/2008 07:13 20560] R3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver;c:\windows\system32\drivers\usb8023.sys [28/09/2001 13:00 12800] S2 gupdate1ca02f16ff50d0;Service Google Update (gupdate1ca02f16ff50d0);c:\program files\Google\Update\GoogleUpdate.exe [12/07/2009 14:02 133104] S3 jswmidin;jswmidin;\??\c:\docume~1\nico\LOCALS~1\Temp\jswmidin.sys --> c:\docume~1\nico\LOCALS~1\Temp\jswmidin.sys [?] S3 lgmcbus;LGE Mobile driver (WDM);c:\windows\system32\drivers\lgmcbus.sys [10/01/2009 11:53 83584] S3 lgmcmgmt;LGE Mobile USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\lgmcmgmt.sys [10/01/2009 11:53 104448] S3 lgmcobex;LGE Mobile USB WMC OBEX Interface;c:\windows\system32\drivers\lgmcobex.sys [10/01/2009 11:53 100480] S3 lgmcunic;LGE Mobile USB WMC Ethernet ELDA (WDM);c:\windows\system32\drivers\lgmcunic.sys [10/01/2009 11:53 109952] S3 XDva026;XDva026;\??\c:\windows\system32\XDva026.sys --> c:\windows\system32\XDva026.sys [?] . Contenu du dossier 'Tâches planifiées' 2010-02-04 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 10:34] 2010-02-10 c:\windows\Tasks\Google Software Updater.job - c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-05-24 15:36] 2010-02-10 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files\Google\Update\GoogleUpdate.exe [2009-07-12 13:02] 2010-02-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files\Google\Update\GoogleUpdate.exe [2009-07-12 13:02] 2010-02-10 c:\windows\Tasks\OGALogon.job - c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.aliceadsl.fr uSearch Page = hxxp://www.google.com uSearch Bar = hxxp://www.google.com/ie uInternet Connection Wizard,ShellNext = hxxp://www.tiscali.fr/ uInternet Settings,ProxyOverride = localhost uSearchAssistant = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200 IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html TCP: {47B8E4DE-A4AE-420B-A612-51106DAF20EE} = 213.36.80.1 Handler: alaplaya - {60E6FD61-FA26-4706-BF07-C55B3A49E66C} - c:\windows\system32\alading.dll Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} - hxxp://abonnement.aliceadsl.fr/configurateur/AccountHelper.cab DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} - hxxp://asp02.photoprintit.de/microsite/2962/defaults/activex/IPSUploader.cab FF - ProfilePath - c:\documents and settings\pierre.MINP-NGJXTXLNHO\Application Data\Mozilla\Firefox\Profiles\jqnfmnbf.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ FF - plugin: c:\documents and settings\All Users.WINDOWS\Application Data\NexonEU\NGM\npNxGameeu.dll FF - plugin: c:\documents and settings\All Users.WINDOWS\Application Data\NexonUS\NGM\npNxGameUS.dll FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll FF - plugin: c:\program files\Mozilla Firefox\plugins\npbittorrent.dll FF - plugin: c:\program files\Mozilla Firefox\plugins\npPandoWebInst.dll FF - plugin: c:\program files\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll FF - plugin: d:\program files\DivX Player\npDivxPlayerPlugin.dll FF - plugin: d:\program files\DivX Web Player\npdivx32.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- PARAMETRES FIREFOX ---- c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32); c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5); c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com"); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-02-10 21:07 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run AliceSAV = c:\program files\TechCity Solutions\AliceSAV\AliceAgent.exe???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x895E3D40]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xf763bf28 \Driver\ACPI -> ACPI.sys @ 0xf7587cb8 \Driver\atapi -> 0x895e3d40 IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0598 ParseProcedure -> ntoskrnl.exe @ 0x8056ea15 \Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0598 ParseProcedure -> ntoskrnl.exe @ 0x8056ea15 NDIS: -> SendCompleteHandler -> 0x0 PacketIndicateHandler -> 0x0 SendHandler -> 0x0 Warning: possible MBR rootkit infection ! user & kernel MBR OK ************************************************************************** . --------------------- CLES DE REGISTRE BLOQUEES --------------------- [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*] "C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL" . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'explorer.exe'(3860) c:\program files\iTunes\iTunesMiniPlayer.dll c:\program files\iTunes\iTunesMiniPlayer.Resources\fr.lproj\iTunesMiniPlayerLocalized.dll c:\program files\iTunes\iTunesMiniPlayer.Resources\iTunesMiniPlayer.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll c:\windows\system32\eappprxy.dll . Heure de fin: 2010-02-10 21:09:56 ComboFix-quarantined-files.txt 2010-02-10 20:09 ComboFix2.txt 2010-02-09 07:40 Avant-CF: 26 550 968 320 octets libres Après-CF: 26 542 944 256 octets libres - - End Of File - - C5ADB1C3915C21DC79CBCF0376A79260 j'enchaîne comme indiqué

je ne le ferai plus ! voici le rapport Merci encore ComboFix 10-02-08.06 - pierre 09/02/2010 8:17.1.1 - x86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1791.1346 [GMT 1:00] Lancé depuis: c:\documents and settings\utilitaires\ComboFix.exe AV: avast! antivirus 4.8.1368 [VPS 100208-2] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D} . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\autorun.inf C:\desktop.ini c:\documents and settings\utilitaires\setup.exe C:\install.exe c:\program files\INSTALL.LOG c:\recycler\S-1-5-21-1202660629-308236825-1801674531-1003 c:\recycler\S-1-5-21-1202660629-308236825-1801674531-1004 c:\recycler\S-1-5-21-1202660629-308236825-1801674531-1005 c:\recycler\S-1-5-21-1202660629-308236825-1801674531-1006 C:\setup.exe c:\windows\pack.epk c:\windows\system32\sshnas21.dll . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_SSHNAS -------\Service_SSHNAS ((((((((((((((((((((((((((((( Fichiers créés du 2010-01-09 au 2010-02-09 )))))))))))))))))))))))))))))))))))) . 2010-02-09 06:59 . 2010-02-09 06:59 3852017 ----a-r- c:\documents and settings\utilitaires\ComboFix.exe 2010-02-09 06:21 . 2010-02-09 06:24 16409960 ----a-w- c:\documents and settings\utilitaires\spybotsd162.exe 2010-02-09 06:00 . 2010-02-09 06:00 -------- d-----w- c:\documents and settings\LocalService.AUTORITE NT\Bureau 2010-02-08 18:29 . 2010-02-08 18:29 -------- d-----w- c:\documents and settings\NetworkService.AUTORITE NT\Bureau 2010-01-27 18:21 . 2010-01-27 18:21 -------- d-----w- c:\program files\Microsoft WSE 2010-01-27 17:41 . 2010-01-27 17:41 -------- d-----w- c:\documents and settings\nico\Application Data\Office Genuine Advantage 2010-01-24 21:08 . 2010-01-24 21:08 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Electronic Arts 2010-01-13 04:23 . 2009-11-21 15:58 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2010-02-09 07:10 . 2007-11-03 20:54 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy 2010-02-09 06:28 . 2007-11-03 20:54 -------- d-----w- c:\program files\Spybot - Search & Destroy 2010-02-09 06:18 . 2009-04-26 17:11 -------- d-----w- c:\program files\Mozilla Thunderbird 2010-02-09 06:18 . 2008-05-19 19:33 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Google Updater 2010-02-09 06:09 . 2007-10-16 18:39 -------- d-----w- c:\program files\Lavasoft 2010-02-09 06:09 . 2008-03-31 23:11 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\Lavasoft 2010-02-08 11:31 . 2009-11-26 18:03 -------- d-----w- c:\program files\Tennis Elbow Manager 2010-02-07 13:35 . 2009-11-26 18:03 -------- d-----w- c:\program files\Tennis Elbow 2009 2010-01-27 18:21 . 2010-01-27 18:21 10134 ----a-r- c:\documents and settings\nico\Application Data\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe 2010-01-27 18:06 . 2007-02-28 10:14 -------- d-----w- c:\program files\Electronic Arts 2010-01-27 18:06 . 2007-01-06 18:08 -------- d--h--w- c:\program files\InstallShield Installation Information 2010-01-24 11:35 . 2008-10-03 15:25 -------- d-----w- c:\documents and settings\nico\Application Data\Lionhead Studios 2010-01-24 10:03 . 2009-06-24 07:46 -------- d-----w- c:\program files\Ubisoft 2010-01-16 15:15 . 2009-10-26 15:34 96 ---ha-w- c:\windows\system32\HsInfo.dat 2010-01-01 07:04 . 2001-09-28 12:00 84526 ----a-w- c:\windows\system32\perfc00C.dat 2010-01-01 07:04 . 2001-09-28 12:00 510324 ----a-w- c:\windows\system32\perfh00C.dat 2010-01-01 07:03 . 2008-09-17 16:57 -------- d-----w- c:\program files\Alice 2009-12-26 15:49 . 2006-01-01 20:38 -------- d-----w- c:\documents and settings\nico\Application Data\Apple Computer 2009-12-26 15:48 . 2009-11-01 10:47 -------- d-----w- c:\program files\iTunes 2009-12-23 08:42 . 2009-12-23 08:42 10053112 ----a-w- c:\documents and settings\utilitaires\picasa3-setup.exe 2009-12-22 13:32 . 2007-05-24 14:54 -------- d-----w- c:\program files\Google 2009-12-22 05:09 . 2001-09-28 12:00 671232 ----a-w- c:\windows\system32\wininet.dll 2009-12-22 05:08 . 2007-10-21 09:01 81920 ------w- c:\windows\system32\ieencode.dll 2009-12-15 18:37 . 2007-12-18 20:50 -------- d-----w- c:\program files\Dofus 2009-12-15 18:34 . 2009-12-15 18:34 5206774 ----a-w- c:\documents and settings\utilitaires\Dofus_v1_29_0_to_1_29_1.zip 2009-11-24 23:54 . 2007-12-31 22:30 1280480 ----a-w- c:\windows\system32\aswBoot.exe 2009-11-24 23:51 . 2007-12-31 22:30 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys 2009-11-24 23:50 . 2007-12-31 22:30 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys 2009-11-24 23:50 . 2008-04-03 06:13 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys 2009-11-24 23:50 . 2008-04-03 06:13 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys 2009-11-24 23:49 . 2007-12-31 22:30 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys 2009-11-24 23:48 . 2007-12-31 22:30 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys 2009-11-24 23:47 . 2007-12-31 22:30 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys 2009-11-24 23:47 . 2007-12-31 22:30 97480 ----a-w- c:\windows\system32\AvastSS.scr 2009-11-21 15:58 . 2001-09-28 12:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll 2009-11-19 06:35 . 2009-11-19 06:36 38208 ----a-w- c:\documents and settings\pierre.MINP-NGJXTXLNHO\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe 2009-11-19 06:35 . 2009-11-19 06:36 38208 ----a-w- c:\documents and settings\Default User.WINDOWS\Application Data\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe 2009-11-17 06:37 . 2009-11-17 06:37 10053112 ------w- c:\documents and settings\utilitaires\picasa3-setup(2).exe 2009-01-07 17:48 . 2009-01-07 17:48 6144 --sha-w- c:\program files\Thumbs.db 2007-10-26 06:31 . 2007-10-26 06:31 38493 ----a-w- c:\program files\ot.mp3 2007-10-25 18:06 . 2007-10-25 18:06 13684 ----a-w- c:\program files\pp.auto.search.ke.voila.htm 2007-10-24 15:17 . 2007-10-24 15:17 26715 ----a-w- c:\program files\sr.mp3 2007-06-29 17:45 . 2007-06-29 12:25 1603 ----a-w- c:\program files\Tracker.txt 2007-06-29 12:25 . 2007-06-29 12:25 354 ----a-w- c:\program files\UnInstall.log 2007-06-29 12:24 . 2007-06-29 12:24 20480 ----a-w- c:\program files\Tempo.dat 2007-06-29 12:24 . 2007-06-29 12:24 282624 -c--a-w- c:\program files\Désinstaller.exe 2007-06-21 09:10 . 2007-07-02 14:32 40494 ----a-w- c:\program files\open.WAV 2007-02-19 20:24 . 2007-02-19 20:24 122962 ----a-w- c:\program files\the_king_queen_font.zip 2007-01-21 08:18 . 2007-02-23 20:38 193528 ----a-w- c:\program files\the_King__26_Queen_font.ttf 2004-04-10 01:08 . 2007-02-24 18:42 21672 ----a-w- c:\program files\MA Sexy.ttf 1998-04-30 11:56 . 2007-07-02 15:56 129024 ----a-w- c:\program files\UNWISE.EXE 2003-08-16 17:56 . 2005-10-26 22:39 579584 -csha-r- c:\windows\system32\cd.exe . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-05-28 68856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-31 7561216] "nwiz"="nwiz.exe" [2006-03-31 1519616] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-03-31 86016] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000] "LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2003-06-30 65536] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-08-13 177440] "NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136] "SecurDisc"="c:\program files\Nero\Nero 7\InCD\NBHGui.exe" [2007-05-15 1628208] "InCD"="c:\program files\Nero\Nero 7\InCD\InCD.exe" [2007-05-15 1057328] "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-09-04 417792] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-10-28 141600] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280] "AliceSAV"="c:\program files\TechCity Solutions\AliceSAV\AliceAgent.exe" [2005-12-16 81408] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] c:\documents and settings\marion.MINP-NGJXTXLNHO\Menu D‚marrer\Programmes\D‚marrage\ OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000] c:\documents and settings\nico\Menu D‚marrer\Programmes\D‚marrage\ Alaplaya Launcher.lnk - d:\program files\launcher\AlaplayaLauncher.exe [2009-10-26 506368] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "TlntSvr"=3 (0x3) "mnmsrvc"=3 (0x3) "SysmonLog"=3 (0x3) "TrkWks"=2 (0x2) "SCardSvr"=3 (0x3) "WmiApSrv"=3 (0x3) "LmHosts"=2 (0x2) "helpsvc"=2 (0x2) "RemoteRegistry"=2 (0x2) "WLSetupSvc"=3 (0x3) "Themes"=2 (0x2) "Spooler"=2 (0x2) "RDSessMgr"=3 (0x3) "RasMan"=3 (0x3) "RasAuto"=3 (0x3) "iPod Service"=3 (0x3) "gusvc"=2 (0x2) "FastUserSwitchingCompatibility"=3 (0x3) "Bonjour Service"=2 (0x2) "Apple Mobile Device"=2 (0x2) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"= "c:\\Program Files\\Messenger\\msmsgs.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"= "c:\\Program Files\\eMule\\emule.exe"= "c:\\Program Files\\Bonjour\\mDNSResponder.exe"= "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Nexon\\NEXON_EU_Downloader\\NEXON_EU_Downloader_Engine.exe"= "c:\\Documents and Settings\\All Users.WINDOWS\\Application Data\\NexonEU\\NGM\\NGM.exe"= "c:\\Program Files\\Pando Networks\\Media Booster\\PMB.exe"= "c:\\Documents and Settings\\All Users.WINDOWS\\Application Data\\NexonUS\\NGM\\NGM.exe"= "c:\nexon\Combat Arms\CombatArms.exe"= c:\nexon\Combat Arms\CombatArms.exe:*Enabled:CombatArms.exe "c:\nexon\Combat Arms\Engine.exe"= c:\nexon\Combat Arms\Engine.exe:*Enabled:Engine.exe "c:\nexon\Combat Arms EU\CombatArms.exe"= c:\nexon\Combat Arms EU\CombatArms.exe:*Enabled:CombatArms.exe "c:\nexon\Combat Arms EU\Engine.exe"= c:\nexon\Combat Arms EU\Engine.exe:*Enabled:Engine.exe "c:\\Nexon\\Combat Arms EU\\NMService.exe"= "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Program Files\\iTunes\\iTunes.exe"= "c:\\Program Files\\Tennis Elbow 2009\\TennisElbow.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "57441:TCP"= 57441:TCP:Pando Media Booster "57441:UDP"= 57441:UDP:Pando Media Booster R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [02/08/2008 11:45 155136] R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [02/08/2008 11:45 5248] R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [03/04/2008 07:13 114768] R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [03/04/2008 07:13 20560] R3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver;c:\windows\system32\drivers\usb8023.sys [28/09/2001 13:00 12800] S2 gupdate1ca02f16ff50d0;Service Google Update (gupdate1ca02f16ff50d0);c:\program files\Google\Update\GoogleUpdate.exe [12/07/2009 14:02 133104] S3 jswmidin;jswmidin;\??\c:\docume~1\nico\LOCALS~1\Temp\jswmidin.sys --> c:\docume~1\nico\LOCALS~1\Temp\jswmidin.sys [?] S3 lgmcbus;LGE Mobile driver (WDM);c:\windows\system32\drivers\lgmcbus.sys [10/01/2009 11:53 83584] S3 lgmcmgmt;LGE Mobile USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\lgmcmgmt.sys [10/01/2009 11:53 104448] S3 lgmcobex;LGE Mobile USB WMC OBEX Interface;c:\windows\system32\drivers\lgmcobex.sys [10/01/2009 11:53 100480] S3 lgmcunic;LGE Mobile USB WMC Ethernet ELDA (WDM);c:\windows\system32\drivers\lgmcunic.sys [10/01/2009 11:53 109952] S3 XDva026;XDva026;\??\c:\windows\system32\XDva026.sys --> c:\windows\system32\XDva026.sys [?] . Contenu du dossier 'Tâches planifiées' 2010-02-04 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 10:34] 2010-02-09 c:\windows\Tasks\Google Software Updater.job - c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-05-24 15:36] 2010-02-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files\Google\Update\GoogleUpdate.exe [2009-07-12 13:02] 2010-02-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files\Google\Update\GoogleUpdate.exe [2009-07-12 13:02] 2010-02-09 c:\windows\Tasks\OGALogon.job - c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.aliceadsl.fr uSearch Page = hxxp://www.google.com uSearch Bar = hxxp://www.google.com/ie uInternet Connection Wizard,ShellNext = hxxp://www.tiscali.fr/ uInternet Settings,ProxyOverride = localhost uSearchAssistant = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200 IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 TCP: {47B8E4DE-A4AE-420B-A612-51106DAF20EE} = 213.36.80.1 Handler: alaplaya - {60E6FD61-FA26-4706-BF07-C55B3A49E66C} - c:\windows\system32\alading.dll Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} - hxxp://abonnement.aliceadsl.fr/configurateur/AccountHelper.cab DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} - hxxp://asp02.photoprintit.de/microsite/2962/defaults/activex/IPSUploader.cab FF - ProfilePath - c:\documents and settings\pierre.MINP-NGJXTXLNHO\Application Data\Mozilla\Firefox\Profiles\jqnfmnbf.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ FF - plugin: c:\documents and settings\All Users.WINDOWS\Application Data\NexonEU\NGM\npNxGameeu.dll FF - plugin: c:\documents and settings\All Users.WINDOWS\Application Data\NexonUS\NGM\npNxGameUS.dll FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll FF - plugin: c:\program files\Mozilla Firefox\plugins\npbittorrent.dll FF - plugin: c:\program files\Mozilla Firefox\plugins\npPandoWebInst.dll FF - plugin: c:\program files\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll FF - plugin: d:\program files\DivX Player\npDivxPlayerPlugin.dll FF - plugin: d:\program files\DivX Web Player\npdivx32.dll FF - plugin: d:\program files\Plugins\npqtplugin.dll FF - plugin: d:\program files\Plugins\npqtplugin2.dll FF - plugin: d:\program files\Plugins\npqtplugin3.dll FF - plugin: d:\program files\Plugins\npqtplugin4.dll FF - plugin: d:\program files\Plugins\npqtplugin5.dll FF - plugin: d:\program files\Plugins\npqtplugin6.dll FF - plugin: d:\program files\Plugins\npqtplugin7.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ . - - - - ORPHELINS SUPPRIMES - - - - WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - (no file) HKLM-Run-Cmaudio - cmicnfg.cpl AddRemove-{9B63540D-D942-4C38-B42E-A48AE0145970} - c:\program files\InstallShield Installation Information\{9B63540D-D942-4C38-B42E-A48AE0145970}\setup.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-02-09 08:32 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run AliceSAV = c:\program files\TechCity Solutions\AliceSAV\AliceAgent.exe???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x89726E48]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xf763bf28 \Driver\ACPI -> ACPI.sys @ 0xf7587cb8 \Driver\atapi -> 0x89726e48 IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a9 ParseProcedure -> ntoskrnl.exe @ 0x8056ea15 \Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a9 ParseProcedure -> ntoskrnl.exe @ 0x8056ea15 NDIS: -> SendCompleteHandler -> 0x0 PacketIndicateHandler -> 0x0 SendHandler -> 0x0 Warning: possible MBR rootkit infection ! user & kernel MBR OK ************************************************************************** . --------------------- CLES DE REGISTRE BLOQUEES --------------------- [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•9~*] "C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL" . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'explorer.exe'(1604) c:\program files\iTunes\iTunesMiniPlayer.dll c:\program files\iTunes\iTunesMiniPlayer.Resources\fr.lproj\iTunesMiniPlayerLocalized.dll c:\program files\iTunes\iTunesMiniPlayer.Resources\iTunesMiniPlayer.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll c:\windows\system32\eappprxy.dll . ------------------------ Autres processus actifs ------------------------ . c:\program files\Alwil Software\Avast4\aswUpdSv.exe c:\program files\Alwil Software\Avast4\ashServ.exe c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\program files\Bonjour\mDNSResponder.exe c:\program files\Nero\Nero 7\InCD\InCDsrv.exe c:\program files\Java\jre6\bin\jqs.exe c:\windows\system32\nvsvc32.exe c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe c:\windows\system32\RunDll32.exe c:\program files\Canon\CAL\CALMAIN.exe c:\windows\system32\LVComS.exe c:\program files\Alwil Software\Avast4\ashMaiSv.exe c:\program files\Alwil Software\Avast4\ashWebSv.exe c:\program files\iPod\bin\iPodService.exe . ************************************************************************** . Heure de fin: 2010-02-09 08:40:30 - La machine a redémarré ComboFix-quarantined-files.txt 2010-02-09 07:40 Avant-CF: 14 665 977 856 octets libres Après-CF: 26 651 660 288 octets libres WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn - - End Of File - - A879C5A6A5EB7F2A8B123EA74C5429E9

Bonjour, j'ai souvent lu des conseils ici sans avoir jamais été inscrit ( ou alors il y a très longtemps). La transcription à mon cas des aides apportées était presque toujours suffisante pour résoudre mes propres problèmes. Pour ce qui est du sujet en titre, je préfèrerais éviter de faire trop de bétises. ma config est xp pro à jour, antivirus avast à jour, mozilla Firefox, pas de pare-feu. Pratiquement tous mes logiciels sont légaux. FAI alice modem hitachi avec une liaison éthernet, une wifi et une USB (sur celle-ci le problème) Mon fils (ah ces mômes !) s'est trouvé samedi un crack (légaux je disais ) de je ne sais quel jeu, et hier, j'ai vu apparaître sur l'écran un certain nombre de publicités qui m'ont immédiatement fait penser à un adware. Ceci d'autant plus que le pc travaille généralement sous firefox et que les pop up étaient sous I.E. Bref, hier soir, tentative de scan par ad aware qui a duré 3 h et quelques. Ce matin, je vois que quelques fichiers sont infectés (3 problèmes), mais impossible de relancer le programme ad aware pour voir les infections. téléchargement de spybot qui me trouve 7 séries dont une clé de registre. je demande de fixer les problèmes, tout va bien. je relance le scan pour vérifier, rebelotte... je cherche un peu sur le net (dont ici) et je trouve un cas similaire resolu avec combofix. Je suis la procédure pour faire tourner COMBOFIX. un peu long, mais au final le programme me sort un .log dans lequel il me dit entre autres "Detected MBR rootkit hooks" et aussi un truc qui me semble super louche car le nom ressemble à jswmidi et est il est dans un dossier temp (du fils en question) : jswmidins.sys je ne suis pas en ce moment près du pc infecté, mais j'ai une copie de ce log si c'est utile. Là je n'ose plus trop y toucher, je demande donc de l'aide, et je vous remercie du temps que vous pourrez m'accorder pour résoudre mon problème Larca