[Résolu] Infecté : forum de la dernière chance ...

[gato456]

Danke schön pour tes réponse pas seulement pseudo-intelligentes, mais aussi basées sur la compréhension et une expérience bien réelle de toutes ces vacheries ...

 

Effectivement 2 en 1 ne me semble pas une bonne approche, car si un des deux est kaput du coup on peut se poser des questions sur le second . Je vais voir ....

 

Par contre méa-culpa pour antivir : je viens de le mettre à jour et cette fois-ci il fait bien la quand il inspecte le fichier zhognyj.dll. Tout compte fait je vais peut-être le garder ce qui impliquera de repartir sur Zone Alarme ... version Pro.

 

Pour ce soir je vais m'arrêter là : j'ai assez squatté mon voisin et néanmoins copain (c'est pas toujours le cas ) et je vais allez finir de faire le point sur cette fameuse liste personnelle de fichiers "suspects"

 

Une dernière constatation : c'est bien en utilisant IE que des connexions http "cachées" sont ouvertes vers akamai ... cette fois-ci l'IP était 80.67.85.72. Tu penses que ça peut servir à quelquechose de leur signaler ou bien ça va juste les faire rigoler ? Il y a un organisme auprès duquel porter le pet ? Lorsque j'utilise un autre programme que IE pour ouvrir une connexion vers le port http, il n'y a rien de tel.

 

Enfin pour remettre propre la partie OS et le pare-feu, même si je ne vais plus m'en servir , je vais allez voir tes copains en OS.

 

En attendant demain passe une excellente soirée et chapeau pour le boulot

 

A+ Eric

[Mark]

Mais y a pas de quoi !

 

J'attends donc le rapport de Panda demain. Il restera quelques trucs à regarder, dont la restauration à vider (à la toute fin cependant).

 

Si tu lis ceci avant le dodo, tu dormiras peut-être un peu mieux :

 

http://fr.wikipedia.org/wiki/Akamai_Technologies

 

Akamai est un géant, et ils sont partout sur la toile. Pourquoi seulement lorsque tu lances IE ? Bah, ça ne pourrait qu'être que ta page de démarrage qui se charge à partir du cache d'un serveur... gracieuseté d'Akamai Technologies

 

Un petit WHOIS sur l'IP 80.67.85.72

% This is the RIPE Whois query server #1.

% The objects are in RPSL format.

%

% Note: the default output of the RIPE Whois server

% is changed. Your tools may need to be adjusted. See

% http://www.ripe.net/db/news/abuse-proposal-20050331.html

% for more details.

%

% Rights restricted by copyright.

% See http://www.ripe.net/db/copyright.html

 

% Information related to '80.67.84.0 - 80.67.95.255'

 

inetnum: 80.67.84.0 - 80.67.95.255

netname: AKAMAI-PA

descr: Akamai Technologies

country: US

admin-c: NARA1-RIPE

admin-c: NF1714-RIPE

admin-c: JP1944-RIPE

tech-c: NARA1-RIPE

tech-c: NF1714-RIPE

tech-c: JP1944-RIPE

status: ASSIGNED PA

mnt-by: AKAM1-RIPE-MNT

mnt-lower: AKAM1-RIPE-MNT

changed: ****@akamai.com 20060128

source: RIPE

 

role: Network Architecture Role Account

address: Akamai Technologies

address: 8 Cambridge Center

address: Cambridge, MA 02142

phone: +1-617-938-3130

e-mail: ********@akamai.com

admin-c: NF1714-RIPE

admin-c: JP1944-RIPE

tech-c: NF1714-RIPE

tech-c: JP1944-RIPE

tech-c: APB15-RIPE

nic-hdl: NARA1-RIPE

notify: ********@akamai.com

changed: ********@akamai.com 20060331

mnt-by: AKAM1-RIPE-MNT

source: RIPE

 

person: John Payne

address: 307 Thacher St

address: Milton

address: MA, 02186

phone: +1 617 444 2562

fax-no: +1 617 444 2562

e-mail: ******@akamai.com

nic-hdl: JP1944-RIPE

mnt-by: AKAM1-RIPE-MNT

changed: ******@akamai.com 20050614

source: RIPE

 

person: Noam Freedman

address: Akamai Technologies

address: 8 Cambridge Center

address: Cambridge, MA 02142

phone: +1-617-938-3130

e-mail: *********@akamai.com

nic-hdl: NF1714-RIPE

notify: *********@akamai.com

changed: *********@akamai.com 20050314

mnt-by: AKAM1-RIPE-MNT

source: RIPE

-----------------------------------------------------

 

AntiVir n'est pas mauvais du tout ! Il y a Avast! aussi qui est gratos.

 

À demain donc

Modifié le 3 décembre 2006 par Qc001

[gato456]

Bonjour Mark,

 

je me reconnecte un peu tard ce matin : 1h30 de bouchon pour 1/2 heure de trajet en temps normal et pas mal de choses à traiter en suspend depuis que tout s'est déclenché Bref, c'est "le vit" comme disait un ami iranien qui ne parlait pas très bien le français.

 

Je n'ose plus trop me connecter sur ma messagerie privée depuis l'incident. Je m'y suis quand même décidé tout à l'heure. Pour le moment, pas de news de Panda, juste un accusé de réception pour les fichiers que j'ai envoyés. Dès que j'aurai du nouveau je te le forwarderai.

 

Quant à être rassuré pas la nature de akamai, en partie seulement car ce qu'il font est officiel, mais sur le fond ça ne me rassure pas du tout. On peut ainsi te renvoyer à l'insu de ton plein gréé à peu près vers n'importe quoi

 

D'ailleurs je surveille maintenant un peu plus qu'avant les connections TCP ouvertes et je suis effaré : non seulement akamai, mais aussi ovh, xiti, yahoo ... parmi ceux que j'ai pris le temps d'indentifier ce matin ! Et bien sûr pas une seule fois je n'ai essayé de me connecter sur un de ces sites. J'ai une nette sensation de viol, de me faire dans les grandes largeurs et j'ai de grosses envies de

 

Ce qui me surpend un peu c'est que je n'avais pas l'impression qu'avant le 29/11 il y avait autant de connections non voulus ouvertes Il faut dire que je ne surveillais pas autant que ce matin. Connais tu un petit utilitaire graphique qui permettrait de voir en temps réel les connections tcp ouverte ? C'est vrai que netstat dans une fenêtre DOS, on ne pense pas à le faire souvent. Si en prime un tel utilitaire pouvait donner le programme responsable de l'ouverture des connexions et/ou historiser les connections, ce serait top.

 

Ha le bon vieux temps où le net était un outil de travail, loins de l'utilisation mercantile d'aujourd'hui !

 

Bon assez pleuré, au boulot.

 

Je te tiens au courant dès que j'ai du nouveau de la part de PANDA.

 

Ha si, une dernière question : penses-tu que je puisse m'adresser au forum OS pour le problème de pare-feu Windows dès maintenant, ou bien vaut-il mieux attendre que mon problème soit reglé avant d'attaquer cette partie ?

 

A bientot

 

Eric

[gato456]

Anne, ma soeur Anne, ne vois tu rien venir ?

Je ne vois rien que le soleil qui poudroie et l'herbe qui verdoie

 

Bref, pas de nouvelle de Panda aujourd'hui

 

Pour info, j'ai bien été obligé aujourd'hui de sortir mon portable de la quarantaine ... et tout va pour le mieux dans le meilleur des mondes, tout au moins en apparence

 

Bonne soirée à toi

 

A demain

 

Eric

[Mark]

Là c'est moi qui a du retard...

 

Bon Mardi

 

Il semble que je me sois mal exprimé pour le scan en ligne chez Panda. Lorsque le scan est complété, ils te donnent l'option de sauvegarder le rapport en fichier texte. C'est ce rapport que j'aurais aimé voir.. Tu n'as probablement pas sauvegardé celui-ci, donc je te demanderais de rescanner et ensuite poster le nouveau rapport ; si tu souviens des "virus" qui ont été détectés et fixés, ça serait chouette mais pas absolument nécessaire. Ils n'apparaîtront pas lors du nouveau scan, mais à tout le moins ils ne sont plus sur ta bécane Je m'occuperai des restants trouvés mais non fixés par Panda.

 

Pour ce qui est d'un petit prog qui surveille les connexions, je te suggère fortement un bon pare-feu

 

@+

[Mykerinos]

Salut gato456, salut Qc001 ...

 

Connais tu un petit utilitaire graphique qui permettrait de voir en temps réel les connections tcp ouverte ? C'est vrai que netstat dans une fenêtre DOS, on ne pense pas à le faire souvent. Si en prime un tel utilitaire pouvait donner le programme responsable de l'ouverture des connexions et/ou historiser les connections, ce serait top.

 

Active Ports correspond à ta demande ...

 

Bonne journée à vous deux ...

 

[gato456]

Là c'est moi qui a du retard...

 

Bon Mardi

 

Il semble que je me sois mal exprimé pour le scan en ligne chez Panda. Lorsque le scan est complété, ils te donnent l'option de sauvegarder le rapport en fichier texte. C'est ce rapport que j'aurais aimé voir.. Tu n'as probablement pas sauvegardé celui-ci, donc je te demanderais de rescanner et ensuite poster le nouveau rapport ; si tu souviens des "virus" qui ont été détectés et fixés, ça serait chouette mais pas absolument nécessaire. Ils n'apparaîtront pas lors du nouveau scan, mais à tout le moins ils ne sont plus sur ta bécane Je m'occuperai des restants trouvés mais non fixés par Panda.

 

Pour ce qui est d'un petit prog qui surveille les connexions, je te suggère fortement un bon pare-feu

 

@+

Salut Qc001,

 

As-tu déjà entendu parler d'un virus qui passe de l'ordinateur à l'humain ? Non ? Et bien ca y est, c'est fait. Hier mardi matin 39°5, 40° en fin de journée ... Vraiment bien fait ces virus en tout cas ça a été toute la journée. Ce matin ça va un peu mieux, mais c'est pas encore ça

 

Pour ce qui est du rapport de Active Scan, je te l'avais posté le Dimance 03 décembre 2006 à 17h12 ... Ce n'est pas celui que tu attendais Effectivement je l'ai un peu remanié pour supprimer pas mal de lignes redondantes. AVant de refaire un scan je préfererais que tu me confirmes si ce rapport est celui que tu attends car je suis à la maison connecté en RTC et ça risque de prendre un max de temps

 

J'essaierai de me reconnecter en fin d'am ... si je suis en état de le faire

 

Salut gato456, salut Qc001 ...

Active Ports correspond à ta demande ...

 

Bonne journée à vous deux ...

 

Danke Mykerinos,

 

je télécharge ça dès que j'aurai une ligne digne de ce nom !

 

 

 

 

Bonne journée à tous les deux

 

Eric

[Mark]

Bonjour Éric

 

Oh là... je n'ai jamais vu le rapport de Panda !! Je comprends pas... vieillesse peut-être...

 

Je suis désolé... Bon, ceci dit, je m'attaque aux restants et je prépare une manip. Pas nécessaire de rescanner chez Panda.

 

39,5 - 40 ??? J'ai fait ça il y a quelques années, et je me suis mis à déconner !!! Délire total... Je te souhaite un prompt rétablissement

 

Salut Mykerinos Je ne connaissais pas ce soft ; il fait maintenant partie de ma boîte à outils ! Merci...

 

====================================

 

Éric, voici la suite ;

 

Imprime, ou colle ces instructions dans un fichier texte :

 

Télécharge Killbox (par Option^Explicit) sur ton Bureau.

Double-clique killbox.exe.

Choisis l'option "Delete on reboot".

 

Copie le texte en bleu/gras ci-bas :

 

 

C:\WINDOWS\system32\ctcnarbc.exe

C:\WINDOWS\system32\khffcyx.dll

 

 

Clique sur le menu 'File' de KillBox (en haut à gauche) et choisis Paste from clipboard

 

Clique sur le bouton : All Files (!important!)

 

Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc)

Killbox va te demander "...Would like to Reboot now ?", clique YES et attends le redémarrage.

Si tu ne reçois pas ce message, redémarre le PC normalement.

----------------------------------------

 

Au redémarrage, tapote immédiatement la touche F8 afin de démarrer en Sans Échec ;

 

De l'Explorateur Windows, je vais te demander de faire le ménage dans les répertoires suivants, qui contiennent une quantité de fichiers infectés (tu sauras quoi virer...) :

 

D:\Emul\incoming\ << toutes ces archives "Crack"

 

D:\Esaubignac\PERSO\Formations & certifs\ << je te les laisse virer, ne sachant pas tout ce qu'il s'y trouve..

 

D:\Esaubignac\Fournisseurs & constructeurs (docs)\ << même chose ici...vire les indésirables

 

Redémarre en Normal après ces manips.

----------------------------------------

 

J'ai une question : est-ce vraiment essentiel d'avoir tout ceci en Zone de Confiance ? :

O15 - Trusted Zone: www.airfrance.fr

O15 - Trusted Zone: www.certifyexpress.com

O15 - Trusted Zone: learning1.americas.cpqcorp.net

O15 - Trusted Zone: *.dell.com

O15 - Trusted Zone: www.geoportail.fr

O15 - Trusted Zone: http://www4.itrc.hp.com

O15 - Trusted Zone: *.hp.com

O15 - Trusted Zone: www.hpsmartlearning.com

O15 - Trusted Zone: http://aiedownload.intel.com

O15 - Trusted Zone: http://downloadfinder.intel.com

O15 - Trusted Zone: www.pandasoftware.com

O15 - Trusted Zone: *.prometric.com

O15 - Trusted Zone: www.radiofrance.fr

O15 - Trusted Zone: *.simcms

O15 - Trusted Zone: *.smaj02afk351n

O15 - Trusted Zone: http://www.sonyericsson.com

O15 - Trusted Zone: *.vmhost1

O15 - Trusted Zone: *.vmhost2

Je pose la question, car je n'aime pas ça du tout cette "Zone" dans IE... En y plaçant ces sites, tu dis à IE de baisser toutes les défenses, ce qui n'est jamais souhaitable pour le minime gain en vitesse que cela peut apporter. Moi je viderais la Zone de confiance, mais je te laisse la décision finale.

----------------------------------

 

Après ceci, je te donne le feu vert !

 

Poste un nouveau log HijackThis!, et dis-moi pour les sites de confiance (à conserver ou virer), et surtout dis-moi si tu as toujours des symptômes ou dysfonctionnements.

 

@+

Modifié le 6 décembre 2006 par Qc001

[gato456]

Bonjour Mark,

 

 

Aujourd'hui ça va beaucoup mieux quoique un peu pâle encore aujourd'hui

 

J'ai passé au killbox ctcnarbc.exe et khffcyx.dll. Pas de problème ils ont bien disparu

 

En ce qui concerne EMul, j'ai fait un nettoyage radical !!!!

 

Pour les autres fichiers, ce sont des tests blancs. Avant de les supprimer définitivement je vais les mettre dans ma zone de quarantaine personnelle et les faire passer par d'autres antivirus : Antivir ne détecte rien et ça m'ennuierait beaucoup de m'en séparer !

 

Enfin tu noteras que j'ai aussi épuré la "trusted zone". Le problème c'est que j'ai fait des réglages IE très stricts (ce qui n'a pas suffi d'ailleurs !) et que je suis obligé de valider 50000 boites de dialogue pour chaque page chargée. D'où la zone de sécurité ..

 

Par contre en travaillant ma propre liste de fichiers "suspects" je suis tombé sur c:\windows\system32\drvwak.dll infesté d'après antivir par "SPR/Hoax.Renos.GI". La date de la modification correspond avec celle de début de mon problème ... Qu'en penses-tu J'ai pu le mettre assez facilement en quarantaine dans un coin ...

 

Toujours d'après mes propres analyses :

 

- fichier autoexec.bat modifié en date du 7 Septembre 2006. Rien de probant dedans, mais je ne me souviens pas d'y avoir touché depuis bien plus longtemps que ça !

 

- dans un reste de fichier log de PC-Cillin, installé dans la panique puis désinstallé depuis, j'ai trouvé ce log :

164726|15|0|0|6|2|62.160.86.137|4317|192.168.0.92|139||MS06-040_Server_Service_Buffer_Overrun_Exploit . 62.160.86.136 correspondrait à la Chambre de Commerce et d'Industrie de Lille

 

- Toujours des traces de symantec bien que je sois sûr d'avoir tout désinstallé dans c:\Documents and Settings\Administrateur\Application Data\Symantec\Shared, c:\Documents and Settings\All Users\Application Data\Symantec, c:\Program Files\Fichiers communs\Symantec Shared. Là je crois que je vais y aller à la mimine en mettant en quarantaine ces répertoires . Le problème c'est qu'il faudrait probablement faire la même chose sur le registre et cà, c'est une autre paire de manches !

 

- Un c:\Documents and Settings\Administrateur\Application Data\SearchToolbarCorp\Toolbar Vision. Impossible de savoir d'où ça vient

 

- Un truc qui ne me plait vraiment pas : c:\Program Files\Fichiers communs\{7EAB2C22-06C5-1036-0916-0516050021}\system.dll. Impossible de trouver l'identifiant hexa dans la base de registre ? Rien qu'à cause du nom, j'ai envie de le cramer

 

- Un autre du même genre c:\WINDOWS\Installer\{37477865-A3F1-4772-AD43-AAFC6BCFF99F}\icon.exe. Et bien sûr aucune icone dans ce programme ! Par contre l'identifiant hexa me renvoie par la base de registre à un c:\WINDOWS\Installer\dcd0c.msi et à un http://support.microsoft.com/kb/927978. Comme effectivement j'ai tenté des windows update (qui ce terminaient en blue screen d'ailleurs) je pense que je vais laisser passer celui-là

 

- ha, un autre pas mal non plus, pegasus !!! Voici un petit extrait du log que j'ai trouvé dans C:\Program Files\The Open Group\WMI Mapper\logs\PegasusStandard.log (plus rien à partir de vendredi jour où je l'avais désinstallé avant de placer un SOS sur le forum). Noter au passage le "CIMServer" qui devient "cimserver", on se demande bien pourquoi ? :

 

11/30/06-20:05:23 INFO wmiserver: Started CIM Server version 2.4.

11/30/06-20:05:24 INFO CIMServer: Listening on HTTPS port 5989.

11/30/06-20:14:19 INFO wmiserver: Started CIM Server version 2.4.

11/30/06-20:14:23 INFO CIMServer: Listening on HTTPS port 5989.

11/30/06-22:16:58 INFO wmiserver: Started CIM Server version 2.4.

11/30/06-22:17:03 INFO CIMServer: Listening on HTTPS port 5989.

12/01/06-09:54:27 INFO wmiserver: Started CIM Server version 2.4.

12/01/06-09:54:29 INFO CIMServer: Listening on HTTPS port 5989.

12/01/06-13:02:58 INFO cimserver: Listening on HTTPS port 5989.

12/01/06-13:02:58 INFO cimserver: Started CIM Server version 2.4.

 

 

 

Bon, c'est a peu près tout ce que j'ai retenu d'inquiétant ou d'inexpliqué. Rassures toi, je ne te demande pas ton avis sur tout ce que j'ai noté , sauf ce qui est en rouge. Le reste, c'est juste au cas où quelque chose ferait sonner une alarme dans ta tête !

 

Je place dans un autre post le dernier rapport HiJack

 

Et juste après je placerai le scan de McAfee que j'avais réalisé avant d'appeler au secours avec un CD BartPE.

 

Bonne lecture

 

A+ Eric

[gato456]

Voici le rapport HijackThis!

 

Logfile of HijackThis v1.99.1

Scan saved at 17:59:24, on 07/12/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe

C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Reflection\rtsserv.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe

C:\Program Files\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe

C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe

C:\Program Files\HPQ\SHARED\HPQWMI.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [hpWirelessAssistant] "%ProgramFiles%\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe"

O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe

O4 - HKLM\..\Run: [ChangeResolution] C:\Documents and Settings\Administrateur\ChangeResolution.exe

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe

O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O12 - Plugin for .rx: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll

O12 - Plugin for .rxc: C:\Program Files\Internet Explorer\Plugins\iewrqxrx.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com

O15 - Trusted Zone: http://www.bison-fute.equipement.gouv.fr

O15 - Trusted Zone: *.hp.com

O15 - Trusted IP range: 192.168.0.213

O15 - Trusted IP range: 62.160.191.118

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1161952101687

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {E5F5D008-DD2C-4D32-977D-1A0ADF03058B} (JuniperSetup Control) - https://my.cdiscount.com/dana-cached/setup/JuniperSetup.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: ckpNotify - C:\WINDOWS\SYSTEM32\ckpNotify.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe (file missing)

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe

O23 - Service: Reflection TimeSync - WRQ, Inc. - C:\Program Files\Reflection\rtsserv.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe (file missing)

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe

O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe

O23 - Service: WMI nPar Provider (WMINParProvider) - Unknown owner - C:\Program Files\Hewlett-Packard\WMINParProvider\WMINParProvider.exe" -service (file missing)

 

... et pour terminer le tout premier rapport de McAfee : Je viens de le relire en le postant et je viens de trouver une bonne raison pour latter le system.dll dont je t'ai parlé dans le précédent post !!!

 

McAfee VirusScan for Win32 v5.10.0

Copyright © 1992-2006 McAfee, Inc. All rights reserved.

(408) 988-3832 LICENSED COPY - May 26 2006

 

Scan engine v5.1.00 for Win32.

Virus data file v4908 created Nov 30 2006

Scanning for 219284 viruses, trojans and variants.

 

 

 

11/30/2006 21:07:47

 

 

Options:

"C:\" /CLEAN /SUB /ALL /RPTCOR /RPTERR /REPORT B:\SCAN.TXT /MOVE C:\QUARANTINE

 

Scanning C: []

Scanning C:\*.*

C:\A\msasvc.exe ... Found the PWS-JA trojan !!!

C:\A\msasvc.exe ... Repair failed - write access denied.

C:\A\tpedvf.dll ... Found the Spywarestrike.dldr trojan !!!

C:\A\tpedvf.dll ... Repair failed - write access denied.

C:\A\winwly32.dll ... Found the BackDoor-CVT trojan !!!

C:\A\winwly32.dll ... Repair failed - write access denied.

C:\A\xebybfjg.dll ... Found the Vundo trojan !!!

C:\A\xebybfjg.dll ... Repair failed - write access denied.

C:\Program Files\Fichiers communs\{7EAB2C22-06C5-1036-0916-0516050021}\Update.exe ... Found the Generic Downloader.k trojan !!!

C:\Program Files\Fichiers communs\{7EAB2C22-06C5-1036-0916-0516050021}\Update.exe ... Repair failed - write access denied.

C:\quarantine ... file could not be opened.

C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP291\A0083027.exe\A0083027.exe ... Found the Downloader-EV trojan !!!

C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP291\A0083027.exe\A0083027.exe ... Repair failed - write access denied.

C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP291\A0083029.exe\A0083029.exe\0001d510.EXE\0001d510.EXE ... Found the Downloader-EV trojan !!!

C:\WINDOWS\system32\install.ini ... Found the HackerDefender.ini trojan !!!

The file has been deleted.

C:\WINDOWS\system32\msasvc.exe ... Found the PWS-JA trojan !!!

C:\WINDOWS\system32\msasvc.exe ... Repair failed - write access denied.

C:\WINDOWS\system32\tpedvf.dll ... Found the Spywarestrike.dldr trojan !!!

C:\WINDOWS\system32\tpedvf.dll ... Repair failed - write access denied.

C:\WINDOWS\system32\winwly32.dll ... Found the BackDoor-CVT trojan !!!

C:\WINDOWS\system32\winwly32.dll ... Repair failed - write access denied.

C:\WINDOWS\system32\xebybfjg.dll ... Found the Vundo trojan !!!

C:\WINDOWS\system32\xebybfjg.dll ... Repair failed - write access denied.

 

Summary report on C:\*.*

File(s)

Total files: ........... 82423

Clean: ................. 82411

Possibly Infected: ..... 12

Cleaned: ............... 0

Moved: ................. 0

Deleted: ............... 1

 

 

Time: 00:33.53

 

 

 

 

A+ Eric