norton m'envoie des alertes étranges en ce moment. je me demande si je suis pas infecté.

merci de jeter un oeil.


Logfile of HijackThis v1.99.1

Scan saved at 15:22:20, on 14/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:







C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Norton Internet Security\ISSVC.exe

C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe



C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe


C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe


C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\Program Files\eMule\emule.exe

C:\Program Files\lycos\Lyc_SysTray.exe

C:\Program Files\MSN Messenger\msnmsgr.exe




C:\Program Files\Norton Internet Security\Norton AntiVirus\OPScan.exe

C:\Program Files\Norton Internet Security\ccEmFlSv.exe

C:\Program Files\Fichiers communs\Symantec Shared\NMain.exe

C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\PROGRA~1\Norton Internet Security\Norton AntiVirus\navw32.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE


C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -


(no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -


C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} -


C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program


Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7}


- C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -


C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll


O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program



O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog



O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"


-lang 1033

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec



O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SymNetDrv\SNDMon.exe



O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE



O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O8 - Extra context menu item: E&xporter vers Microsoft Excel -


res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -



O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} -


C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0812.00.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN



O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -


C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation -


C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation -


C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation -


C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation


- C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel



O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton


Internet Security\ISSVC.exe

O23 - Service: LiveUpdate - Symantec Corporation -



O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec


Corporation - C:\Program Files\Norton Internet Security\Norton



O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -



O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation -


C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -


C:\PROGRA~1\FICHIE~1\Symantec Shared\Script Blocking\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation


- C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program


Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe


salut :P


Le pc est infecté par un trojan, fais ceci pour t'en débarrasser =>

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

Déroule la liste des instructions ci-dessous :

  • Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !



merci pour la marche a suivre ingals :P

je l'ai executé et tout s'est passer comme prévu, si ce n'est qu'il a fallu que je reboot l'ordi avec ctrl alt suppr pour quitté le mode sans echec...


- voici le rapport sdfix :



SDFix: Version 1.37



Scan run on:






Microsoft Windows XP [version 5.1.2600]


Running from: C:\Documents and Settings\Administrateur\Bureau\SDFix


Stage One...


Checking Services...









Repairing Registry...



Restoring Default Hosts File...


Stage One Complete




Stage Two...


Checking For Malware:



















Backing Up and Removing any Files Found...


Final Check:






Rootkit Service pe386 Found. Rootkit Scan Required!

Rootkit Service msguard Found. Rootkit Scan Required!

Rootkit Service lzx32 Found. Rootkit Scan Required!

Rootkit Service pe386 Found. Rootkit Scan Required!

Rootkit Service msguard Found. Rootkit Scan Required!

Rootkit Service lzx32 Found. Rootkit Scan Required!






Any files removed are saved to the SDFix\backups Folder




- et voici le rapport hijackthis


Logfile of HijackThis v1.99.1

Scan saved at 00:05:01, on 15/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:







C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe


C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe


C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe




C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\Program Files\D-Tools\daemon.exe


C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll


O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0812.00.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0812.00.dll

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LiveUpdate\LuComServer_3_0.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe


il y a t'il encore encore des chose nuisible ou des ligne a fixé?

merci encore

salut big tom :P


il y a t'il encore encore des chose nuisible ou des ligne a fixé?

Heuuu... oui :P tu disais en début de discussion que ton pc avait "un comportement bizarre" et tu as bien vu !!

SDFix a mis en évidence le coupable =>


Rootkit Service pe386 Found. Rootkit Scan Required!

Rootkit Service msguard Found. Rootkit Scan Required!

Rootkit Service lzx32 Found. Rootkit Scan Required!

Ce qui veut dire que dans ton pc se planque un rootkit. Heureusement ce n'est pas le pire, et on va t'en débarrasser comme ceci =>


Télécharge ce fichier (par ejvindh) sauvegarde-le sur ton Bureau.


Double clique rustbfix.exe afin de lancer l'outil.

Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.

Suite au(x) redémarrage(s), deux rapports s'ouvriront : (C:\avenger.txt & C:\rustbfix\pelog.txt).

Poste (Copie/Colle) le contenu de ces deux rapports, ainsi qu'un nouveau log HijackThis dans ta prochaine réponse.


Par ailleurs, je voudrais que tu vérifies quelque chose:


1) Assure toi d'avoir accès à tous les fichiers,certains fichiers/dossiers sont cachés!!


Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK


2) Assure toi que ce fichier a bien disparu (en gras ci dessous):




si présent, élimine le!!Attention : ne confond pas et n'élimine pas le fichier smss.exe qui se trouve dans le répertoire C:\WINDOWS\System32 => c'est un fichier important de windows et pas un virus!!


Dis moi si tu as trouvé, et poste les rapports demandés stp :P allez courage!

merci pour les encouragement.


concernant rustbfix, il n'a rien trouvé :

************************* Rustock.b-fix -- By ejvindh *************************

15/11/2006 2:00:15,71



No Rustock.b-rootkits found



******************************* End of Logfile ********************************


c'est bon signe ou non?


conçernant le smss.exe, je viens de le supprimé manuellement. mais c'est vraiment des vicelard! c'est vrai que je l'avais confondu avec le fichier indispensable de system32 et bien que je l'avais remarqué, je ne l'avais pas regardé comme dangereux!!!


concernant hijackthis, voici le dernier :


Logfile of HijackThis v1.99.1

Scan saved at 02:06:04, on 15/11/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:







C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe


C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe


C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe


C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\Program Files\D-Tools\daemon.exe


C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe


C:\Program Files\Valve\Steam\Steam.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE


C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll


O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0812.00.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.0.0812.00.dll

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


voili voilou... :P

ahhh? pas résultat on dirait.. Fais ceci stp pour voir =>


Télécharge SmitfraudFix de S!Ri sur ton bureau

  • Ne double-clic pas dessus !! Fais un clic droit sur le fichier et choisis "extraire tout"
  • Un nouveau dossier chercher va être créé nommé Smitfraudfix.
  • Ouvre le et double-clique sur Smitfraudfix.cmd
  • Une fenêtre va s'ouvrir, choisis l'option 1
  • Copie/colle le contenu du bloc-note qui s'ouvre dans ton prochain post.
  • Note: si tu as une version de Smitfraudfix, ne l'utilise pas! élimine là et télécharge la dernière version.

conçernant le smss.exe, je viens de le supprimé manuellement. mais c'est vraiment des vicelard!

ok merci pour le retour! oui il est bien vicelard!! souvent les malwares prennent des nom de fichiers légitimes pour qu'on n 'y touche pas !! Poste aussi ceci stp =>



-Ouvrir Hijackthis et clique sur "ouvrirla section outils"

-A droite du bouton "Génerer liste de départ" coche les deux cases "Liste Mineure également" et"Section de liste vide"

-Puis tu clique sur le bouton "Génerer liste de départ"

-Copie /colle le rapport qui va se créer.

voila le rapport de SmitFraudFix v2.121


Rapport fait à 3:21:56,93, 15/11/2006

Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode normal


»»»»»»»»»»»»»»»»»»»»»»»» C:\



»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS



»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system



»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web



»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32



»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur



»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data



»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer



»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris



»»»»»»»»»»»»»»»»»»»»»»»» Bureau



»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files



»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues



»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau


[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]



"FriendlyName"="Ma page d'accueil"



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!


SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]




»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32



»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll



»»»»»»»»»»»»»»»»»»»»»»»» Fin


et le rapport hijackthis avec les réglages que tu m'a demandé.


StartupList report, 15/11/2006, 03:24:26

StartupList version: 1.52.2

Started from : C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

Detected: Windows XP SP2 (WinNT 5.01.2600)

Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)

* Using default options



Running processes:








C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe


C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe


C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe


C:\Program Files\Logitech\MouseWare\system\em_exec.exe

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\Program Files\D-Tools\daemon.exe


C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe


C:\Program Files\Valve\Steam\Steam.exe

C:\Program Files\eMule\emule.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE



C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE




Checking Windows NT UserInit:


[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINDOWS\system32\userinit.exe,




Autorun entries from Registry:




LogitechVideoRepair = C:\Program Files\Logitech\Video\ISStart.exe

Logitech Utility = Logi_MwX.Exe

SoundMAXPnP = C:\Program Files\Analog Devices\Core\smax4pnp.exe

DAEMON Tools-1033 = "C:\Program Files\D-Tools\daemon.exe" -lang 1033

NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

NvMediaCenter = RunDLL32.exe NvMCTray.dll,NvTaskbarInit

avgnt = "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

MSConfig = C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto




Autorun entries from Registry:



BitTorrent = "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized




Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:


Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*


Shell & screensaver key from Registry:




drivers=*Registry value not found*


Policies Shell key:


HKCU\..\Policies: Shell=*Registry value not found*

HKLM\..\Policies: Shell=*Registry value not found*





Enumerating Browser Helper Objects:


(no name) - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}




Enumerating Windows NT logon/logoff scripts:

*No scripts set to run*


Windows NT checkdisk command:

BootExecute = autocheck autochk *


Windows NT 'Wininit.ini':

PendingFileRenameOperations: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\LUInit.exe||C:\Program Files\Symantec\LiveUpdate||C:\PROGRA~1\Symantec\LiveUpdate\LSETUP.EXE||C:\PROGRA~1\Symantec\LiveUpdate\LSETUPRES.DLL||C:\PROGRA~1\Symantec\LiveUpdate\LuComServerPS_3_0.DLL||C:\PROGRA~1\Symantec\LiveUpdate\LUINSDLL.DLL||C:\PROGRA~1\Symantec\LiveUpdate\LUINSDLLRES.DLL||C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\LUInit.exe||C:\Program Files\Symantec\LiveUpdate||C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~nsu.tmp\Au_.exe





Enumerating ShellServiceObjectDelayLoad items:


PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

CDBurn: C:\WINDOWS\system32\SHELL32.dll

WebCheck: C:\WINDOWS\system32\webcheck.dll

SysTray: C:\WINDOWS\system32\stobject.dll



End of report, 5 024 bytes

Report generated in 0,016 seconds


Command line options:

/verbose - to add additional info on each section

/complete - to include empty sections and unsuspicious data

/full - to include several rarely-important sections

/force9x - to include Win9x-only startups even if running on WinNT

/forcent - to include WinNT-only startups even if running on Win9x

/forceall - to include all Win9x and WinNT startups, regardless of platform

/history - to list version history only


en attendant la suite... bonne nuit

Modifié par big tom
Merci pour ces rapports ! Le problème, c'est que le scan Smitfraudfix ne confirme pas cette infection par le rootkit pe386 , aussi poste moi stp un rapport comme ceci(c'est rapide) =>


Ouvre HijakThis, puis "Ourir la section outils"

Clic sur "Ouvrir ADS Spy"

Décoche "Scan rapide"

Décoche "Ignorer les introduc du système"

Lance le scan à partir du bouton "scan".

Lorsque c'est terminé,clique sur le bouton "sauver" et enregistre le sur le bureau.

Copie/colle le contenu de rapport adsspy.txt dans ton prochain message stp.


Il faut être sûr que ce rootkit n'est pas présent :P

pb : le fichier adsspy.txt et beaucoup trop gros pour etre integré ici. ( 260000 caractère alors que la limite est de 100000).

comment faire?

