Connexion Internet ne fonctionne plus

[Bailing]

Bonsoir,

Depuis quelque temps, je ne peux plus surfer sur Internet. La connexion ne s’établie plus. Un autre problème est encore survenu. Au démarrage, un programme nommé jpgmon.exe installé sur la racine C : se lance tout seul dans une fenêtre et une autre fenêtre dénommé Config utilisant le Bloc note démarre également.

J’ai tout essayé mais je n’arrive pas à résoudre ces problèmes. Je possède un Pentium III 1 Ghz-256 Mo de mémoire vive, un disque dur de 20 Go sous Windows 2000.

Je poste mon rapport Hisjackthis :

 

Logfile of HijackThis v1.99.1

Scan saved at 19:35:10, on 06/10/2007

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\mnmsrvc.exe

C:\WINNT\system32\dllcache\ivchost.exe

C:\WINNT\system\msnntlp.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\svchost.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\WINNT\wanmpsvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

c:\3.tmp

C:\WINNT\TEMP\mss9.tmp

C:\WINNT\Explorer.EXE

C:\WINNT\system32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe

C:\PROGRA~1\MESSAG~1\StartMessager.exe

C:\Program Files\Real\RealPlayer\RealPlay.exe

C:\winnt\system32\IE5.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINNT\system32\internat.exe

C:\Program Files\NetMeeting\conf.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\WINNT\System32\NOTEPAD.EXE

C:\Program Files\OpenOffice.org 2.0\program\soffice.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN

C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:110

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

F2 - REG:system.ini: UserInit=C:\WINNT\system32\Userinit.exe,c:\3.tmp,C:\WINNT\TEMP\mss9.tmp,c:\16.tmp,c:\A.tmp,c:\my2.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {59FD1D53-5526-458B-8284-1E063006D9CF} - C:\WINNT\system32\iiihf.dll

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINNT\system32\efcyxya.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe

O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo

O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [MRT] "C:\WINNT\system32\MRT.exe" /R

O4 - HKLM\..\Run: [movies] c:\winnt\system32\IE5.exe

O4 - HKLM\..\Run: [iSPSERVICE] c:\winnt\system32\iexplorer.exe

O4 - HKLM\..\Run: [TileFree] Tilecomfree.com

O4 - HKLM\..\Run: [Windows Server Peer Verification Service] "c:\3.tmp" *

O4 - HKLM\..\Run: [Windows Server Client Verification Service] "C:\WINNT\TEMP\mss9.tmp" *

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [china] C:\jpgmon.exe

O4 - HKLM\..\RunServices: [TileFree] Tilecomfree.com

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [Microsoft NetMeeting] "C:\Program Files\NetMeeting\conf.exe" -Background

O4 - HKCU\..\Run: [Windows Service Agent] fixin.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Windows LoL Layer] zmlguap.exe

O4 - HKCU\..\Run: [Windows Server Client Verification Service] "C:\WINNT\TEMP\mss9.tmp" *

O4 - HKCU\..\Run: [Windows Server Peer Verification Service] "c:\3.tmp" *

O4 - Startup: ExtConfig.lnk = C:\Program Files\LibertySurf\Config\CONFIG.INI

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: Icône AOL.lnk = C:\Program Files\AOL 7.0\aoltray.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM95\AIM.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\system32\Shdocvw.dll

O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://s.tf1.fr/mmdia/static/rawflow/clien...1.0/Rawflow.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab56986.cab

O20 - Winlogon Notify: efcyxya - C:\WINNT\SYSTEM32\efcyxya.dll

O20 - Winlogon Notify: iiihf - C:\WINNT\system32\iiihf.dll

O20 - Winlogon Notify: nnnlkhh - C:\WINNT\SYSTEM32\nnnlkhh.dll

O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll

O20 - Winlogon Notify: pmnoppp - C:\WINNT\SYSTEM32\pmnoppp.dll

O20 - Winlogon Notify: rpcc - C:\WINNT\system32\rpcc.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: ms hexidecimal defx (mshexdefx) - Unknown owner - C:\WINNT\system32\dllcache\ivchost.exe

O23 - Service: msnntlp - Unknown owner - C:\WINNT\system\msnntlp.exe

O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINNT\system32\urdvxc.exe" /service (file missing)

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINNT\wanmpsvc.exe

[Invité wizard42]

Salut

 

Fait un scan avec AVG antispyware

http://www.grisoft.cz/filedir/inst/avgas-setup-7.5.1.43.exe

 

Regarde sa aussi

http://forum.zebulon.fr/index.php?showtopic=127217

 

Nettoit avec Ccleaner

http://www.ccleaner.com/download/builds/downloading-slim

Modifié le 6 octobre 2007 par wizard42

[Gof]

Bonsoir

 

@wizard42

 

Je vais prendre le relais ici. Le scan AVG AS n'y changera pas grand chose très certainement.

 

Bonsoir Bailing

 

Messages: 1

Bienvenue sur les forums de Zebulon.

 

Quelques liens pour t'aider à commencer :

• Comment participer à un forum
  
• retrouver ses messages et activer la notification par email
  

Ton système est très infecté. Il est possible qu'une désinfection ne puisse tout nettoyer et que ton système en soit très sérieusement altéré. Il te faut te préparer à cette éventualité en sauvegardant les données que tu souhaiterais conserver sur un autre support (cd, usb, disque externe, etc).

 

Génère un rapport comme ceci je te prie :

 

Télécharge DiagHelp.zip de Malekal_morte sur ton bureau.

• Décompresse le, sur ton bureau par exemple.
  
• Un nouveau dossier chercher va être créé DiagHelp.
  
• Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
  
• Une fenêtre va s'ouvrir, choisis l'option 1
  
• L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
  
• Copie/colle le contenu du bloc-note qui s'ouvre et joins le à ta prochaine réponse.
  

Puis un nouveau log Hijackthis avec la version V2 de l'outil.

 

Télécharge HijackThisV2 sur ton bureau.

• Double-clique sur HJTInstall.exe et suis les instructions d'installation.
  
• Tu trouveras un tutoriel pour l'installation et la génération d'un rapport ici
  
• Poste le rapport généré sur le forum.
  

 

A bientôt.

[Bailing]

Merci Gof,

J'ai fais ce que tu m'as indiqué. Je te poste le rapport Diaghelp

DiagHelp version v1.2 - http://www.malekal.com

excute le dim. 07/10/2007 à 11:16:28,00

 

 

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch

 

C:\WINNT\System32\drivers\fwdrv.err -->12/09/2007 21:14:26

C:\WINNT\System32\drivers\asctrm.sys -->20/06/2007 19:19:47

C:\WINNT\System32\drivers\khips.sys -->26/04/2007 10:21:34

C:\WINNT\System32\drivers\fwdrv.sys -->26/04/2007 10:21:30

C:\WINNT\System32\drivers\nwrdr.sys -->01/09/2006 07:57:48

C:\WINNT\System32\drivers\SRV.SYS -->11/08/2006 17:17:00

C:\WINNT\System32\drivers\mrxsmb.sys -->31/05/2006 10:14:16

 

C:\WINNT\System32\mirc.ini -->07/10/2007 11:16:29

C:\WINNT\System32\freglzr_navps.dat -->07/10/2007 11:16:29

C:\WINNT\System32\766.reg -->07/10/2007 11:16:28

C:\WINNT\System32\fhiii.ini -->07/10/2007 11:16:27

C:\WINNT\System32\101.reg -->07/10/2007 11:16:25

C:\WINNT\System32\219.reg -->07/10/2007 11:16:22

C:\WINNT\System32\388.reg -->07/10/2007 11:16:19

C:\WINNT\System32\475.reg -->07/10/2007 11:16:16

C:\WINNT\System32\646.reg -->07/10/2007 11:16:13

C:\WINNT\System32\898.reg -->07/10/2007 11:16:10

C:\WINNT\System32\486.reg -->07/10/2007 11:16:08

C:\WINNT\System32\526.reg -->07/10/2007 11:16:04

C:\WINNT\System32\337.reg -->07/10/2007 11:16:01

C:\WINNT\System32\472.reg -->07/10/2007 11:15:58

C:\WINNT\System32\137.reg -->07/10/2007 11:15:55

C:\WINNT\System32\187.reg -->07/10/2007 11:15:52

C:\WINNT\System32\847.reg -->07/10/2007 11:15:49

C:\WINNT\System32\381.reg -->07/10/2007 11:15:46

C:\WINNT\System32\963.reg -->07/10/2007 11:15:43

C:\WINNT\System32\freglzr.dat -->07/10/2007 11:15:42

C:\WINNT\System32\589.reg -->07/10/2007 11:15:40

C:\WINNT\System32\975.reg -->07/10/2007 11:15:37

C:\WINNT\System32\995.reg -->07/10/2007 11:15:34

C:\WINNT\System32\325.reg -->07/10/2007 11:15:31

C:\WINNT\System32\723.reg -->07/10/2007 11:15:28

 

C:\WINNT\WindowsUpdate.log -->07/10/2007 10:34:10

C:\WINNT\setupapi.log -->07/10/2007 10:08:19

C:\WINNT\SchedLgU.Txt -->07/10/2007 01:10:20

C:\WINNT\ShellIconCache -->07/10/2007 01:10:00

C:\WINNT\ModemLog_Câble de communication entre deux ordinateurs.txt -->06/10/2007 15:32:56

C:\WINNT\ModemLog_Câble de communication entre deux ordinateurs #2.txt -->27/09/2007 20:46:31

C:\WINNT\pack.epk -->29/08/2007 16:46:38

C:\WINNT\MEMORY.DMP -->29/08/2007 10:08:52

C:\WINNT\UpdateRollupPack.log -->04/07/2007 14:31:58

C:\WINNT\updcustom.dll.log -->04/07/2007 14:29:57

C:\WINNT\win.ini -->28/06/2007 11:41:01

C:\WINNT\opera6.ini -->26/06/2007 12:34:12

C:\WINNT\aolback.exe -->20/06/2007 19:20:18

C:\WINNT\setup.rpt -->20/06/2007 18:20:57

C:\WINNT\setup.inf -->20/06/2007 18:20:57

 

 

MD5 des fichiers sensibles

tcpip.sys 0f62ffcd1c136103d7ea57e5b2b30994

ndis.sys fb4f2d0595bd3546a4dd915e4a9b4809

null.sys 280209cde798720a24d232bf9cfda8e9

svchost.exe 1206706a25c5b32652b4f465ede330e9

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 7063-DE16

 

Répertoire de C:\WINNT\temp

 

14/08/2007 08:32 40 448 129806.exe

30/07/2007 00:06 618 603 NSIS_SpywareSecure_repaironce_setup.exe

29/08/2007 16:46 645 706 NSIS_SpywareSecure_trial_setup.exe

3 fichier(s) 1 304 757 octets

0 Rép(s) 16 170 471 424 octets libres

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 7063-DE16

 

Répertoire de C:\WINNT\system

 

14/08/2002 17:03 4 672 WOWPOST.EXE

1 fichier(s) 4 672 octets

0 Rép(s) 16 170 471 424 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 7063-DE16

 

Répertoire de C:\WINNT\system32

 

23/06/2003 15:00 5 392 csrss.exe

1 fichier(s) 5 392 octets

0 Rép(s) 16 170 471 424 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 7063-DE16

 

Répertoire de C:\WINNT\Downloaded Program Files

 

30/08/2007 21:29 <DIR> .

30/08/2007 21:29 <DIR> ..

08/06/2007 18:57 65 desktop.ini

13/04/2007 15:27 367 LegitCheckControl.inf

22/02/2007 23:41 304 544 MessengerStatsPAClient.dll

28/02/2007 14:21 130 472 MineSweeper.dll

09/07/2007 12:27 2 377 088 Rawflow.ocx

27/03/2007 16:00 5 021 swflash.inf

26/06/2007 10:27 87 040 UWAS6V_0001_N91M2606NetInstaller.exe

11/08/2004 02:22 3 036 wmv9dmo.inf

8 fichier(s) 2 907 633 octets

 

Total des fichiers listés :

8 fichier(s) 2 907 633 octets

2 Rép(s) 16 170 405 888 octets libres

 

Recherche de rootkit! (Merci S!Ri)

infection possible Magic.Control : un scan F-Secure BlackLight est recommandé

 

Recherche d'infections connues

 

Export des clefs sensibles..

 

Liste des fichiers en exception sur le pare-feu XP SP2

 

"C:\\WINNT\\svchost.exe"="C:\\WINNT\\svchost.exe:*:Enabled:svchost"

"c:\\3.tmp"="c:\\3.tmp:*:Enabled:Windows Server Peer Verification Service"

"\\??\\C:\\WINNT\\system32\\winlogon.exe"="\\??\\C:\\WINNT\\system32\\winlogon.exewinlogon.exe:*:Enabled:Windows Server Peer Verification Service"

"\\??\\C:\\WINNT\\system32\\csrss.exe"="\\??\\C:\\WINNT\\system32\\csrss.exeC:\\WINNT\\system32\\csrss.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4ss.exe"="C:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4ss.exeC:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4ss.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\WINNT\\system32\\MSTask.exe"="C:\\WINNT\\system32\\MSTask.exeC:\\WINNT\\system32\\MSTask.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\WINNT\\System32\\WBEM\\WinMgmt.exe"="C:\\WINNT\\System32\\WBEM\\WinMgmt.exeWINMGMT.EXE:*:Enabled:Windows Server Peer Verification Service"

"C:\\WINNT\\TEMP\\mss9.tmp"="C:\\WINNT\\TEMP\\mss9.tmp:*:Enabled:Windows Server Client Verification Service"

"C:\\WINNT\\system32\\irdvxc.exe"="C:\\WINNT\\system32\\irdvxc.exeC:\\WINNT\\system32\\irdvxc.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\WINNT\\system32\\lsass.exe"="C:\\WINNT\\system32\\lsass.exeC:\\WINNT\\system32\\lsass.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\WINNT\\system32\\svchost.exe"="C:\\WINNT\\system32\\svchost.exeC:\\WINNT\\system32\\svchost.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\WINNT\\system32\\urdvxc.exe"="C:\\WINNT\\system32\\urdvxc.exeC:\\WINNT\\system32\\urdvxc.exe:*:Enabled:Windows Server Client Verification Service"

"C:\\WINNT\\wanmpsvc.exe"="C:\\WINNT\\wanmpsvc.exeC:\\WINNT\\wanmpsvc.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exe"="C:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exeC:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exe:*:Enabled:Windows Server Client Verification Service"

"C:\\WINNT\\Explorer.EXE"="C:\\WINNT\\Explorer.EXEC:\\WINNT\\Explorer.EXE:*:Enabled:Windows Server Peer Verification Service"

"C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exeC:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\Program Files\\Java\\jre1.5.0_05\\bin\\jusched.exe"="C:\\Program Files\\Java\\jre1.5.0_05\\bin\\jusched.exeC:\\Program Files\\Java\\jre1.5.0_05\\bin\\jusched.exe:*:Enabled:Windows Server Client Verification Service"

"c:\\16.tmp"="c:\\16.tmp:*:Enabled:Windows Server Peer Verification Service"

"c:\\A.tmp"="c:\\A.tmp:*:Enabled:Windows Server Peer Verification Service"

"C:\\Program Files\\Alwil Software\\Avast4\\aswUpdSv.exe"="C:\\Program Files\\Alwil Software\\Avast4\\aswUpdSv.exeC:\\Program Files\\Alwil Software\\Avast4\\aswUpdSv.exe:*:Enabled:Windows Server Peer Verification Service"

"c:\\my2.exe"="c:\\my2.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\WINNT\\system32\\mspmspsv.exe"="C:\\WINNT\\system32\\mspmspsv.exeC:\\WINNT\\system32\\mspmspsv.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\WINNT\\system32\\MRT.exe"="C:\\WINNT\\system32\\MRT.exeC:\\WINNT\\system32\\MRT.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\Program Files\\Alwil Software\\Avast4\\ashServ.exe"="C:\\Program Files\\Alwil Software\\Avast4\\ashServ.exeC:\\Program Files\\Alwil Software\\Avast4\\ashServ.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\PROGRA~1\\MESSAG~1\\StartMessager.exe"="C:\\PROGRA~1\\MESSAG~1\\StartMessager.exeC:\\PROGRA~1\\MESSAG~1\\StartMessager.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\Program Files\\Real\\RealPlayer\\RealPlay.exe"="C:\\Program Files\\Real\\RealPlayer\\RealPlay.exeC:\\Program Files\\Real\\RealPlayer\\RealPlay.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\Program Files\\Alwil Software\\Avast4\\setup\\avast.setup"="C:\\Program Files\\Alwil Software\\Avast4\\setup\\avast.setupC:\\Program Files\\Alwil Software\\Avast4\\setup\\avast.setup:*:Enabled:Windows Server Peer Verification Service"

"C:\\Program Files\\NetMeeting\\conf.exe"="C:\\Program Files\\NetMeeting\\conf.exeC:\\Program Files\\NetMeeting\\conf.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\WINNT\\system32\\mnmsrvc.exe"="C:\\WINNT\\system32\\mnmsrvc.exeC:\\WINNT\\system32\\mnmsrvc.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\winnt\\system32\\IE5.exe"="C:\\winnt\\system32\\IE5.exeC:\\winnt\\system32\\IE5.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe"="C:\\Program Files\\MSN Messenger\\MsnMsgr.ExeC:\\Program Files\\MSN Messenger\\MsnMsgr.Exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\winnt\\system32\\iexplorer.exe"="C:\\winnt\\system32\\iexplorer.exeC:\\winnt\\system32\\iexplorer.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\WINNT\\system32\\spoolsv.exe"="C:\\WINNT\\system32\\spoolsv.exeC:\\WINNT\\system32\\spoolsv.exe:*:Enabled:Windows Server Client Verification Service"

"C:\\WINNT\\system32\\internat.exe"="C:\\WINNT\\system32\\internat.exeC:\\WINNT\\system32\\internat.exe:*:Enabled:Windows Server Client Verification Service"

"C:\\Program Files\\Java\\jre1.5.0_05\\bin\\jucheck.exe"="C:\\Program Files\\Java\\jre1.5.0_05\\bin\\jucheck.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\WINNT\\system32\\Tilecomfree.com"="C:\\WINNT\\system32\\Tilecomfree.comC:\\WINNT\\system32\\Tilecomfree.com:*:Enabled:Windows Server Peer Verification Service"

"C:\\Program Files\\Alwil Software\\Avast4\\setup\\avast02.setup"="C:\\Program Files\\Alwil Software\\Avast4\\setup\\avast02.setupC:\\Program Files\\Alwil Software\\Avast4\\setup\\avast02.setup:*:Enabled:Windows Server Peer Verification Service"

"C:\\WINNT\\system32\\dllcache\\ivchost.exe"="C:\\WINNT\\system32\\dllcache\\ivchost.exeC:\\WINNT\\system32\\dllcache\\ivchost.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\WINNT\\system32\\services.exe"="C:\\WINNT\\system32\\services.exeC:\\WINNT\\system32\\services.exe:*:Enabled:Windows Server Client Verification Service"

"C:\\WINNT\\system\\msnntlp.exe"="C:\\WINNT\\system\\msnntlp.exeC:\\WINNT\\system\\msnntlp.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\Program Files\\Alwil Software\\Avast4\\ashWebSv.exe"="C:\\Program Files\\Alwil Software\\Avast4\\ashWebSv.exeC:\\Program Files\\Alwil Software\\Avast4\\ashWebSv.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\winnt\\system32\\atxqow.exe"="C:\\winnt\\system32\\atxqow.exeC:\\winnt\\system32\\atxqow.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\Program Files\\Spyware-Secure\\Spyware-Secure_trial.exe"="C:\\Program Files\\Spyware-Secure\\Spyware-Secure_trial.exeC:\\Program Files\\Spyware-Secure\\Spyware-Secure_trial.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\winnt\\system32\\lrsausle.exe"="C:\\winnt\\system32\\lrsausle.exeC:\\winnt\\system32\\lrsausle.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\WINNT\\system32\\drwtsn32.exe"="C:\\WINNT\\system32\\drwtsn32.exedrwtsn32:*:Enabled:Windows Server Peer Verification Service"

"C:\\winnt\\system32\\qsqfefuyfh.exe"="C:\\winnt\\system32\\qsqfefuyfh.exeC:\\winnt\\system32\\qsqfefuyfh.exe:*:Enabled:Windows Server Client Verification Service"

"C:\\Program Files\\Alwil Software\\Avast4\\setup\\setup.ovr"="C:\\Program Files\\Alwil Software\\Avast4\\setup\\setup.ovrC:\\Program Files\\Alwil Software\\Avast4\\setup\\setup.ovr:*:Enabled:Windows Server Client Verification Service"

 

Export de la clef SharedTaskScheduler

 

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

 

 

exports des policies

REGEDIT4

 

[system]

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

 

 

 

Export des clefs sensibles..

Rechercher adresses sensibles dans le fichier HOSTS...

catchme 0.3.1160 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-10-07 11:28:29

Windows 5.0.2195 Service Pack 4 NTFS

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"freglzr"="c:\winnt\system32\freglzr.exe freglzr"

 

scanning hidden files ...

 

C:\WINNT\system32\freglzr.dat

C:\WINNT\system32\freglzr.exe

C:\WINNT\system32\freglzr_nav.dat

C:\WINNT\system32\freglzr_navps.dat

 

scan completed successfully

hidden services: 0

hidden files: 4

 

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Process list by traversal of KiWaitInListHead and KiWaitOutListHead

 

8 - System

140 - smss.exe

164 - csrss.exe

184 - winlogon.exe

212 - services.exe

224 - lsass.exe

400 - svchost.exe

452 - spoolsv.exe

480 - sched.exe

492 - avguard.exe

508 - svchost.exe

544 - mnmsrvc.exe

560 - ivchost.exe

584 - winmgmt.exe

668 - msnntlp.exe

724 - urdvxc.exe

788 - mstask.exe

804 - svchost.exe

828 - kpf4ss.exe

1060 - 3.tmp

1064 - mss9.tmp

1080 - explorer.exe

1096 - wanmpsvc.exe

1132 - mspmspsv.exe

1156 - conf.exe

1188 - IE5.exe

1276 - kpf4gui.exe

1348 - cmd.exe

1424 - jusched.exe

1464 - StartMessager.e

1520 - realplay.exe

1524 - avgnt.exe

1572 - IEXPLORER.EXE

1580 - soffice.bin

1616 - IEXPLORER.EXE

1636 - Tilecomfree.com

1664 - freglzr.exe

1724 - internat.exe

1756 - msnmsgr.exe

1812 - notepad.exe

1864 - kpf4gui.exe

1880 - soffice.exe

 

Total number of processes = 42

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Driver/Module list by traversal of PsLoadedModuleList

 

80400000 - \WINNT\System32\ntoskrnl.exe

80062000 - \WINNT\System32\hal.dll

ED410000 - \WINNT\System32\BOOTVID.dll

BFFD8000 - ACPI.sys

ED5C8000 - \WINNT\system32\DRIVERS\WMILIB.SYS

ED000000 - pci.sys

ED010000 - isapnp.sys

ED5C9000 - pciide.sys

ED280000 - \WINNT\system32\DRIVERS\PCIIDEX.SYS

ED500000 - intelide.sys

ED288000 - MountMgr.sys

BFFBB000 - ftdisk.sys

ED502000 - Diskperf.sys

ED504000 - dmload.sys

BFF99000 - dmio.sys

ED414000 - PartMgr.sys

BFF83000 - atapi.sys

ED290000 - disk.sys

ED020000 - \WINNT\system32\DRIVERS\CLASSPNP.SYS

ED418000 - avgntmgr.sys

BFF71000 - KSecDD.sys

BFEEE000 - Ntfs.sys

BFEC4000 - NDIS.sys

BFEAE000 - Mup.sys

ED040000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

BFE63000 - \SystemRoot\system32\DRIVERS\i81xnt5.sys

ED050000 - \SystemRoot\system32\DRIVERS\el90xbc5.sys

ED2B8000 - \SystemRoot\system32\DRIVERS\fdc.sys

ED060000 - \SystemRoot\system32\DRIVERS\i8042prt.sys

ED2C8000 - \SystemRoot\system32\DRIVERS\kbdclass.sys

ED2D8000 - \SystemRoot\system32\DRIVERS\mouclass.sys

ED070000 - \SystemRoot\system32\DRIVERS\serial.sys

ED480000 - \SystemRoot\system32\DRIVERS\serenum.sys

ED2F0000 - \SystemRoot\system32\DRIVERS\parport.sys

ED300000 - \SystemRoot\system32\DRIVERS\cdrom.sys

ED320000 - \SystemRoot\system32\DRIVERS\USBD.SYS

ED308000 - \SystemRoot\system32\DRIVERS\uhcd.sys

ED5E5000 - \SystemRoot\system32\drivers\SENSUPGD.SYS

BFDAD000 - \SystemRoot\system32\drivers\KS.SYS

BFDC9000 - \SystemRoot\system32\drivers\portcls.sys

BFDEE000 - \SystemRoot\system32\drivers\smwdm.sys

ED50A000 - \SystemRoot\system32\drivers\aeaudio.sys

ED5EA000 - \SystemRoot\system32\DRIVERS\audstub.sys

ED50E000 - \SystemRoot\System32\Drivers\RootMdm.sys

ED338000 - \SystemRoot\System32\Drivers\Modem.SYS

ED080000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys

ED498000 - \SystemRoot\system32\DRIVERS\ndistapi.sys

BFD96000 - \SystemRoot\system32\DRIVERS\ndiswan.sys

ED4A8000 - \SystemRoot\system32\DRIVERS\TDI.SYS

ED090000 - \SystemRoot\system32\DRIVERS\raspptp.sys

ED358000 - \SystemRoot\system32\DRIVERS\ptilink.sys

ED368000 - \SystemRoot\system32\DRIVERS\raspti.sys

ED370000 - \SystemRoot\system32\DRIVERS\wanatw4.sys

ED0A0000 - \SystemRoot\system32\DRIVERS\parallel.sys

ED5F7000 - \SystemRoot\system32\DRIVERS\swenum.sys

BFD43000 - \SystemRoot\system32\DRIVERS\update.sys

ED390000 - \SystemRoot\system32\DRIVERS\flpydisk.sys

ED0D0000 - \SystemRoot\system32\DRIVERS\usbhub.sys

ED0E0000 - \SystemRoot\System32\Drivers\NDProxy.SYS

ED3A0000 - \SystemRoot\System32\Drivers\EFS.SYS

ED3B0000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS

ED0F0000 - \SystemRoot\SYSTEM32\DRIVERS\avgntdd.sys

ED516000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS

ED604000 - \SystemRoot\System32\Drivers\Null.SYS

ED606000 - \SystemRoot\System32\Drivers\Beep.SYS

ED4D4000 - \SystemRoot\System32\drivers\vga.sys

ED609000 - \SystemRoot\System32\Drivers\mnmdd.SYS

BBC5A000 - \SystemRoot\system32\drivers\fwdrv.sys

ED3D8000 - \SystemRoot\System32\Drivers\Msfs.SYS

ED100000 - \SystemRoot\System32\Drivers\Npfs.SYS

ED520000 - \SystemRoot\system32\DRIVERS\rasacd.sys

BBC0B000 - \SystemRoot\system32\DRIVERS\tcpip.sys

ED110000 - \SystemRoot\system32\DRIVERS\msgpc.sys

ED3F8000 - \SystemRoot\system32\DRIVERS\wanarp.sys

BBBE1000 - \SystemRoot\system32\DRIVERS\netbt.sys

ED120000 - \SystemRoot\system32\DRIVERS\netbios.sys

BBBB7000 - \SystemRoot\system32\DRIVERS\rdbss.sys

BBB3F000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys

BBB2E000 - \SystemRoot\system32\drivers\khips.sys

BBAE3000 - \SystemRoot\System32\Drivers\Fastfat.SYS

ED638000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS

BBACD000 - \SystemRoot\System32\Drivers\dump_atapi.sys

A0000000 - \??\C:\WINNT\system32\win32k.sys

BBA18000 - \SystemRoot\System32\i81xdnt5.dll

ED380000 - \SystemRoot\System32\mnmdd.dll

BB8E7000 - \SystemRoot\system32\DRIVERS\nbf.sys

BB8A8000 - \SystemRoot\system32\DRIVERS\nwlnkipx.sys

ED200000 - \SystemRoot\system32\DRIVERS\nwlnknb.sys

BB88A000 - \SystemRoot\System32\drivers\afd.sys

BB7B0000 - \SystemRoot\system32\drivers\wdmaud.sys

BBA08000 - \SystemRoot\system32\drivers\sysaudio.sys

BB9D8000 - \SystemRoot\system32\DRIVERS\nwlnkspx.sys

ED350000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS

ED330000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS

ED57A000 - \SystemRoot\System32\Drivers\ParVdm.SYS

ED580000 - \SystemRoot\System32\Drivers\ASCTRM.SYS

BB8C3000 - \SystemRoot\System32\Drivers\Aspi32.SYS

BB723000 - \SystemRoot\System32\Drivers\Fips.SYS

BB638000 - \SystemRoot\system32\DRIVERS\srv.sys

BB4D0000 - \SystemRoot\system32\DRIVERS\nwrdr.sys

BB1F8000 - \SystemRoot\System32\Drivers\Cdfs.SYS

BB0AC000 - \SystemRoot\system32\DRIVERS\ipsec.sys

BB120000 - \SystemRoot\system32\DRIVERS\nwlnkfwd.sys

BB1AC000 - \SystemRoot\system32\DRIVERS\nwlnkflt.sys

ED6C0000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

 

Total number of drivers = 105

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 7063-DE16

 

Répertoire de C:\Program Files

 

07/10/2007 10:19 <DIR> .

07/10/2007 10:19 <DIR> ..

13/12/2004 15:04 <DIR> Accessoires

09/12/2005 13:49 <DIR> Adobe

26/06/2007 13:48 <DIR> AIM95

26/06/2007 12:33 <DIR> Alwil Software

14/12/2004 12:40 <DIR> Analog Devices

07/10/2007 00:43 <DIR> AntiVir PersonalEdition Classic

28/06/2007 11:41 <DIR> AOL 7.0

20/06/2007 19:08 <DIR> AOL 8.0

18/06/2007 14:55 <DIR> AOL Compagnon

25/06/2007 19:52 <DIR> Common Files

13/12/2004 15:06 <DIR> ComPlus Applications

20/06/2007 19:01 <DIR> Fichiers communs

16/07/2007 16:16 <DIR> Google

07/10/2007 10:34 <DIR> Hijackthis Version Française

14/12/2004 12:48 <DIR> Intel

20/06/2007 18:24 <DIR> Internet Explorer

09/12/2005 13:35 <DIR> Java

13/12/2004 15:05 <DIR> Lecteur Windows Media

08/06/2007 19:10 <DIR> LibertySurf

08/06/2007 18:55 <DIR> Messager Wanadoo

16/07/2007 16:49 <DIR> Messenger

13/12/2004 15:10 <DIR> microsoft frontpage

28/08/2007 14:25 <DIR> MSN Messenger

26/06/2007 13:12 <DIR> NetMeeting

08/06/2007 19:33 <DIR> Netscape

13/06/2007 19:02 <DIR> Nullsoft

26/06/2007 13:13 <DIR> OpenOffice.org 2.0

20/06/2007 18:24 <DIR> Outlook Express

13/06/2007 19:02 <DIR> Real

29/06/2007 22:36 <DIR> Spybot - Search & Destroy

06/10/2007 15:51 <DIR> Spyware-Secure

29/06/2007 22:09 <DIR> Sunbelt Software

13/06/2007 19:02 <DIR> Viewpoint

13/06/2007 19:48 <DIR> Wanadoo

20/06/2007 18:28 <DIR> Windows Media Player

13/12/2004 15:05 <DIR> Windows NT

26/06/2007 13:13 <DIR> WinRAR

28/08/2007 13:33 <DIR> Yahoo!

22/09/2007 12:13 <DIR> Zone Labs

0 fichier(s) 0 octets

41 Rép(s) 16 170 295 296 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 7063-DE16

 

Répertoire de C:\Program Files\fichiers communs

 

20/06/2007 19:01 <DIR> .

20/06/2007 19:01 <DIR> ..

08/06/2007 02:03 <DIR> Adobe

13/06/2007 19:01 <DIR> AOL

13/06/2007 19:02 <DIR> aolback

20/06/2007 19:19 <DIR> aolshare

14/12/2004 12:40 <DIR> InstallShield

09/12/2005 13:35 <DIR> Java

08/06/2007 18:57 <DIR> Microsoft Shared

13/12/2004 14:54 <DIR> ODBC

20/06/2007 19:19 <DIR> Real

08/06/2007 18:57 <DIR> Services

20/06/2007 18:23 <DIR> System

0 fichier(s) 0 octets

13 Rép(s) 16 170 295 296 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 7063-DE16

 

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

 

13/12/2004 15:15 <DIR> .

13/12/2004 15:15 <DIR> ..

04/11/1999 03:38 561 210 MSONSEXT.DLL

03/06/1999 22:09 122 937 MSOWS409.DLL

07/03/2001 17:00 127 033 MSOWS40c.DLL

3 fichier(s) 811 180 octets

2 Rép(s) 16 170 295 296 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 7063-DE16

 

Répertoire de C:\Program Files\common files

 

25/06/2007 19:52 <DIR> .

25/06/2007 19:52 <DIR> ..

28/08/2007 13:32 <DIR> Scanner

20/06/2007 18:24 <DIR> System

0 fichier(s) 0 octets

4 Rép(s) 16 170 229 760 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 7063-DE16

 

Répertoire de C:\

 

18/06/2007 17:17 <DIR> .exe

02/08/2007 16:25 68 608 1je.exe

08/08/2007 18:15 68 608 8il.exe

30/07/2007 10:54 68 608 aasdf.exe

31/07/2007 16:31 68 608 ahee.exe

06/07/2007 20:17 65 763 amske.exe

01/08/2007 12:03 68 608 ares.exe

14/08/2007 23:06 185 464 asdd.exe

01/08/2007 15:47 68 608 asde.exe

17/08/2007 08:32 68 608 asdkjoe.exe

22/09/2007 11:56 69 120 asdm3e.exe

29/07/2007 23:09 68 608 asdmew.exe

04/07/2007 22:07 68 608 asi2j3d.exe

23/07/2007 19:58 68 608 cmdstp.exe

24/07/2007 21:57 68 608 cmdu.exe

25/07/2007 08:32 68 608 cmsi.exe

10/09/2007 20:35 5 632 d3h3.exe

22/07/2007 22:57 701 660 d4rk.exe

14/08/2007 23:05 690 750 d4rky.exe

10/09/2007 15:23 5 632 dgkki.exe

20/08/2007 08:31 68 608 dkeo3.exe

12/09/2007 15:53 5 632 dki.exe

12/09/2007 15:53 30 770 driver64.exe

16/07/2007 18:46 184 294 evil.exe

23/07/2007 09:10 68 608 fixxer.exe

27/07/2007 15:43 208 fjem.exe

02/09/2007 11:36 30 770 g4.exe

30/08/2007 10:41 30 770 gro.exe

06/07/2007 20:10 39 424 he1.exe

07/07/2007 14:02 65 763 he1sv.exe

30/08/2007 20:39 68 608 Hiss.exe

07/07/2007 18:03 65 763 hsddsv.exe

29/06/2007 23:47 68 608 httpmicro.exe

06/08/2007 22:10 30 770 idsf.exe

13/09/2007 20:34 324 jpgmon.exe

25/07/2007 20:15 68 608 krye.exe

03/08/2007 15:03 68 608 m65.exe

06/08/2007 22:20 68 608 m82.exe

06/08/2007 22:37 68 608 m88.exe

11/08/2007 06:05 58 162 mj8.exe

10/08/2007 13:22 68 608 mlk.exe

08/08/2007 18:55 68 608 mu4.exe

07/08/2007 18:58 68 608 mu6.exe

07/08/2007 08:31 68 608 mu8.exe

16/08/2007 08:32 185 976 my2.exe

04/07/2007 22:28 39 424 ne2.exe

02/08/2007 18:06 68 608 nn32.exe

19/06/2007 15:17 148 480 Roma.exe

18/07/2007 10:21 68 608 sgf.exe

18/07/2007 10:21 68 608 sgfdgf.exe

30/08/2007 11:06 68 608 tiss.exe

26/06/2007 14:46 68 608 uuur.exe

04/09/2007 08:32 325 w4t22.exe

03/09/2007 17:01 325 we22.exe

13/08/2007 07:12 30 770 wod.exe

01/08/2007 19:00 30 770 x86.exe

55 fichier(s) 4 692 373 octets

1 Rép(s) 16 170 291 200 octets libres

 

 

 

 

c:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files\Kaspersky Anti-Virus 7.0.0.124\French\setup.exe

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\2AX4Z98C\mlp[1].exe

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\2AX4Z98C\sabb[1].exe

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\2AX4Z98C\sp_151133[1].exe

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\2AX4Z98C\viss[1].exe

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\2AX4Z98C\viss[2].exe

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\2AX4Z98C\viss[3].exe

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\2AX4Z98C\viss[4].exe

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\FYZIAKC4\mlp[1].exe

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\FYZIAKC4\ne1[1].exe

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\FYZIAKC4\viss[1].exe

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\PZ9J2U4W\mlp[1].exe

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\PZ9J2U4W\ne1[1].exe

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\PZ9J2U4W\sp_151133[1].exe

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\PZ9J2U4W\viss[1].exe

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\PZ9J2U4W\viss[2].exe

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\PZ9J2U4W\viss[3].exe

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\PZ9J2U4W\viss[4].exe

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\X1TXGHFA\hellgate[1].exe

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\X1TXGHFA\setoff[1].exe

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\X1TXGHFA\sp_151133[1].exe

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\X1TXGHFA\viss[1].exe

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\X1TXGHFA\viss[2].exe

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\X1TXGHFA\viss[3].exe

c:\Documents and Settings\user\Application Data\install_fr[2].exe

c:\Documents and Settings\user\Bureau\HJTInstall.exe

c:\Documents and Settings\user\Bureau\Preparation_Messenger.exe

c:\Documents and Settings\user\Bureau\DiagHelp\catchme.exe

c:\Documents and Settings\user\Bureau\DiagHelp\diff.exe

c:\Documents and Settings\user\Bureau\DiagHelp\dumphive.exe

c:\Documents and Settings\user\Bureau\DiagHelp\FilesInfoCmd.exe

c:\Documents and Settings\user\Bureau\DiagHelp\find2.exe

c:\Documents and Settings\user\Bureau\DiagHelp\Fport.exe

c:\Documents and Settings\user\Bureau\DiagHelp\grep.exe

c:\Documents and Settings\user\Bureau\DiagHelp\KProcCheck.exe

c:\Documents and Settings\user\Bureau\DiagHelp\LFiles.exe

c:\Documents and Settings\user\Bureau\DiagHelp\LISTDLLS.exe

c:\Documents and Settings\user\Bureau\DiagHelp\md5sums.exe

c:\Documents and Settings\user\Bureau\DiagHelp\pslist.exe

c:\Documents and Settings\user\Bureau\DiagHelp\streams.exe

c:\Documents and Settings\user\Bureau\DiagHelp\swreg.exe

c:\Documents and Settings\user\Local Settings\Temp\~uga6psetup.exe

c:\Documents and Settings\user\Local Settings\Temp\12116.exe

c:\Documents and Settings\user\Local Settings\Temp\hjnxvxkk.exe

c:\Documents and Settings\user\Local Settings\Temp\jre-6u2-windows-i586-p-iftw_7070c3f7.exe

c:\Documents and Settings\user\Local Settings\Temp\msnsearch.exe

c:\Documents and Settings\user\Local Settings\Temp\WinAntiSpyware2006Setup.exe

c:\Documents and Settings\user\Local Settings\Temp92207121318\rrwbzzqn.exe

c:\Documents and Settings\user\Local Settings\Temp\is-DN912.tmp\gfl.exe

c:\Documents and Settings\user\Local Settings\Temp\is-DN912.tmp\XmlReplacer.exe

c:\Documents and Settings\user\Local Settings\Temp\NI.UWAS6V_0001_N91M2606\setup.exe

c:\Documents and Settings\user\Mes documents\Install_Messenger.exe

c:\Documents and Settings\user\Mes documents\INSTALL_MSN_MESSENGER_NT.EXE

c:\Documents and Settings\user\Mes documents\zik\Timbaland - Shock Value (2007) - Hip Hop By FEFE2003\Install_Messenger.exe

c:\Documents and Settings\user\Mes documents\zik\Timbaland - Shock Value (2007) - Hip Hop By FEFE2003\INSTALL_MSN_MESSENGER_DL.EXE

 

****** Fin du rapport DiagHelp

et voici le rapport HijackThis2

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:34:31, on 07/10/2007

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\mnmsrvc.exe

C:\WINNT\system32\dllcache\ivchost.exe

C:\WINNT\system\msnntlp.exe

C:\WINNT\system32\urdvxc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\svchost.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

c:\3.tmp

C:\WINNT\TEMP\mss9.tmp

C:\WINNT\Explorer.EXE

C:\WINNT\wanmpsvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\mspmspsv.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe

C:\PROGRA~1\MESSAG~1\StartMessager.exe

C:\Program Files\Real\RealPlayer\RealPlay.exe

C:\winnt\system32\IE5.exe

C:\winnt\system32\iexplorer.exe

C:\winnt\system32\IEXPLORER.EXE

C:\WINNT\system32\Tilecomfree.com

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINNT\system32\internat.exe

C:\Program Files\NetMeeting\conf.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN

C:\WINNT\system32\notepad.exe

C:\WINNT\system32\notepad.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:110

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

F2 - REG:system.ini: UserInit=C:\WINNT\system32\Userinit.exe,c:\3.tmp,C:\WINNT\TEMP\mss9.tmp,c:\16.tmp,c:\A.tmp,c:\my2.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {69F4C192-7280-4ABB-A655-38A3A8284DAE} - C:\WINNT\system32\iiihf.dll

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINNT\system32\efcyxya.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe

O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo

O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [MRT] "C:\WINNT\system32\MRT.exe" /R

O4 - HKLM\..\Run: [movies] c:\winnt\system32\IE5.exe

O4 - HKLM\..\Run: [iSPSERVICE] c:\winnt\system32\iexplorer.exe

O4 - HKLM\..\Run: [TileFree] Tilecomfree.com

O4 - HKLM\..\Run: [Windows Server Peer Verification Service] "c:\3.tmp" *

O4 - HKLM\..\Run: [Windows Server Client Verification Service] "C:\WINNT\TEMP\mss9.tmp" *

O4 - HKLM\..\Run: [china] C:\jpgmon.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\RunServices: [TileFree] Tilecomfree.com

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [Microsoft NetMeeting] "C:\Program Files\NetMeeting\conf.exe" -Background

O4 - HKCU\..\Run: [Windows Service Agent] fixin.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Windows LoL Layer] zmlguap.exe

O4 - HKCU\..\Run: [Windows Server Client Verification Service] "C:\WINNT\TEMP\mss9.tmp" *

O4 - HKCU\..\Run: [Windows Server Peer Verification Service] "c:\3.tmp" *

O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\Run: [Windows Server Peer Verification Service] "c:\my2.exe" * (User 'Default user')

O4 - HKUS\.DEFAULT\..\Run: [Windows Server Client Verification Service] "C:\WINNT\TEMP\mss9.tmp" * (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')

O4 - Startup: ExtConfig.lnk = C:\Program Files\LibertySurf\Config\CONFIG.INI

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: Icône AOL.lnk = C:\Program Files\AOL 7.0\aoltray.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM95\AIM.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\system32\Shdocvw.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll

O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://s.tf1.fr/mmdia/static/rawflow/clien...1.0/Rawflow.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab56986.cab

O20 - Winlogon Notify: crypt - C:\WINNT\SYSTEM32\crypts.dll

O20 - Winlogon Notify: efcyxya - C:\WINNT\SYSTEM32\efcyxya.dll

O20 - Winlogon Notify: iiihf - C:\WINNT\system32\iiihf.dll

O20 - Winlogon Notify: nnnlkhh - C:\WINNT\SYSTEM32\nnnlkhh.dll

O20 - Winlogon Notify: pmnoppp - C:\WINNT\SYSTEM32\pmnoppp.dll

O20 - Winlogon Notify: rpcc - C:\WINNT\system32\rpcc.dll

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: ms hexidecimal defx (mshexdefx) - Unknown owner - C:\WINNT\system32\dllcache\ivchost.exe

O23 - Service: msnntlp - Unknown owner - C:\WINNT\system\msnntlp.exe

O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:\WINNT\system32\urdvxc.exe

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINNT\wanmpsvc.exe

 

--

End of file - 8110 bytes

 

Que dois-je faire ensuite ???????

 

Bonsoir

 

@wizard42

 

Je vais prendre le relais ici. Le scan AVG AS n'y changera pas grand chose très certainement.

 

Bonsoir Bailing

 

Bienvenue sur les forums de Zebulon.

 

Quelques liens pour t'aider à commencer :

• Comment participer à un forum
  
• retrouver ses messages et activer la notification par email
  

Ton système est très infecté. Il est possible qu'une désinfection ne puisse tout nettoyer et que ton système en soit très sérieusement altéré. Il te faut te préparer à cette éventualité en sauvegardant les données que tu souhaiterais conserver sur un autre support (cd, usb, disque externe, etc).

 

Génère un rapport comme ceci je te prie :

 

Télécharge DiagHelp.zip de Malekal_morte sur ton bureau.

• Décompresse le, sur ton bureau par exemple.
  
• Un nouveau dossier chercher va être créé DiagHelp.
  
• Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
  
• Une fenêtre va s'ouvrir, choisis l'option 1
  
• L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
  
• Copie/colle le contenu du bloc-note qui s'ouvre et joins le à ta prochaine réponse.
  

Puis un nouveau log Hijackthis avec la version V2 de l'outil.

 

Télécharge HijackThisV2 sur ton bureau.

• Double-clique sur HJTInstall.exe et suis les instructions d'installation.
  
• Tu trouveras un tutoriel pour l'installation et la génération d'un rapport ici
  
• Poste le rapport généré sur le forum.
  

A bientôt.

[Gof]

Re

 

Lorsque tu réponds, privilégie le "répondre" entre "flash" et "nouveau", cela évite de reprendre tout le contenu du message précédent, c'est ainsi plus lisible.

 

Vu comment tu es infecté, je te répète qu'il n'est pas certain que tu retrouves un système sain. Si tu as effectué tes sauvegardes, poursuis avec ce que je t'indiquerais. Sinon, prends le temps de les faire avant d'effectuer la manipulation suivante.

 

Télécharge Navilog1 de Il-Mafioso et enregistre-le sur ton bureau.

• Ensuite double clique sur navilog1.exe pour lancer l'installation.
  
• Une fois l'installation terminée, le fix s'exécutera automatiquement.
  (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
  
• Laisse-toi guider. Au menu principal, choisis 1 et valide.
  Patiente jusqu'au message : *** Analyse Termine le ..... ***
  
• Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.
  
• Copie-colle l'intégralité dans ta prochaine réponse. Referme le bloc-notes.
  Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
  

Enchaine sur une option 2. Double-clique sur le raccourci Navilog1 présent sur le bureau

• Laisse-toi guider. Au menu principal, choisis 2 et valide.
  Patiente jusqu'au message : *** Analyse Termine le ..... ***
  
• Appuie sur une touche comme demandé, le bloc-notes va s'ouvrir.
  
• Copie-colle l'intégralité dans ta prochaine réponse. Referme le bloc-notes.
  Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
  

Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau.

• Double-clique combofix.exe afin de l'exécuter et suis les instructions.
  
• Lorsque l'analyse sera complétée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  

Joins moi les 3 rapports générés, dans l'ordre de passage.

[Bailing]

Merci pour l'astuce. Je viens de faire les rapports.

Voici le 1er :

Clean Navipromo version 3.2.1 commencé le dim. 07/10/2007 à 12:34:15,47

 

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 03.10.2007 a 20h00 by IL-MAFIOSO

 

 

Microsoft Windows 2000 [Version 5.00.2195]

Internet Explorer : 6.0.2800.1106

 

Mode suppression automatique

 

 

 

*** fsbl1.txt non trouvé ***

(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)

 

 

*** Suppression avec Backups résultats GenericNaviSearch ***

 

* Scan C:\WINNT\system32 *

 

 

* Scan C:\DOCUME~1\user\LOCALS~1\APPLIC~1 *

 

 

 

*** Suppression dossiers dans C:\WINNT ***

 

 

*** Suppression dossiers dans C:\Program Files ***

 

 

*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

*** Suppression dossiers dans C:\Documents and Settings\user\Application Data ***

 

 

 

*** Suppression fichiers ***

 

C:\WINNT\pack.epk supprimé !

C:\WINNT\system32\nvs2.inf supprimé !

 

*** Suppression fichiers temporaires ***

 

Nettoyage contenu C:\WINNT\Temp effectué !

Nettoyage contenu C:\Documents and Settings\user\Local Settings\Temp effectué !

 

*** Traitement Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

 

C:\WINNT\system32\fhiii.ini2 trouvé ! infection Vundo possible non traité par cet outil !

C:\WINNT\system32\fhiii.bak1 trouvé ! infection Vundo possible non traité par cet outil !

C:\WINNT\system32\fhiii.bak2 trouvé ! infection Vundo possible non traité par cet outil !

 

2)Recherche et Suppression Heuristique :

 

C:\WINNT\System32\freglzr.dat trouvé !

Copie C:\WINNT\system32\freglzr.dat réalise avec succès !

C:\WINNT\system32\freglzr.dat supprimé !

 

C:\WINNT\System32\freglzr_nav.dat trouvé !

Copie C:\WINNT\system32\freglzr_nav.dat réalise avec succès !

C:\WINNT\system32\freglzr_nav.dat supprimé !

 

C:\WINNT\system32\freglzr.exe trouvé !

Copie C:\WINNT\system32\freglzr.exe réalise avec succès !

C:\WINNT\system32\freglzr.exe supprimé !

 

C:\WINNT\system32\freglzr_navps.dat trouvé !

Copie C:\WINNT\system32\freglzr_navps.dat réalise avec succès !

C:\WINNT\system32\freglzr_navps.dat supprimé !

 

 

*** Sauvegarde du registre vers dossier Backupnavi ***

 

sauvegarde du registre réalise avec succès !

 

*** Nettoyage registre ***

 

Nettoyage registre Ok

 

 

*** Certificats ***

 

Certificat Egroup absent !

 

 

 

*** Nettoyage termine le dim. 07/10/2007 à 12:39:52,94 ***

 

 

Voici le 2e :

Search Navipromo version 3.2.1 commencé le dim. 07/10/2007 à 12:24:45,80

 

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Poster ce rapport sur le forum pour le faire analyser !!!

!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

 

Fix lancé depuis C:\Program Files\navilog1

Mise a jour le 03.10.2007 a 20h00 by IL-MAFIOSO

 

 

Microsoft Windows 2000 [Version 5.00.2195]

Internet Explorer : 6.0.2800.1106

 

 

*** Recherche Programmes installes ***

 

 

 

 

*** Recherche dossiers dans C:\WINNT ***

 

 

 

*** Recherche dossiers dans C:\Program Files ***

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

 

 

 

 

*** Recherche dossiers dans C:\Documents and Settings\user\Application Data ***

 

 

*** Recherche avec Catchme-rootkit/stealth malware detector by gmer ***

pour + d'infos : http://www.gmer.net

 

Aucun fichier trouvé dans :

 

- C:\WINNT\system32

- C:\DOCUME~1\user\LOCALS~1\APPLIC~1

 

 

 

*** Recherche avec GenericNaviSearch ***

!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!

!!! A verifier impérativement avant toute suppression manuelle !!!

 

* Scan C:\WINNT\system32 *

 

* Scan C:\DOCUME~1\user\LOCALS~1\APPLIC~1 *

 

 

 

*** Recherche fichiers ***

 

 

C:\WINNT\pack.epk trouvé !

C:\WINNT\system32\nvs2.inf trouvé !

 

 

*** Recherche cles registre ***

 

HKEY_CURRENT_USER\Software\Lanconfig trouvé !

 

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

 

1)Recherche fichiers connus:

C:\WINNT\system32\fhiii.ini2 trouvé ! infection Vundo possible non traité par cet outil !

C:\WINNT\system32\fhiii.bak1 trouvé ! infection Vundo possible non traité par cet outil !

C:\WINNT\system32\fhiii.bak2 trouvé ! infection Vundo possible non traité par cet outil !

 

2)Recherche Heuristique :

 

C:\WINNT\system32\freglzr.dat trouvé !

 

 

3)Recherche Certificats :

 

Certificat Egroup absent !

 

 

*** Analyse Terminé le dim. 07/10/2007 à 12:30:50,97 ***

 

et le 3e :

ComboFix 07-10-07.1 - user 07/10/2007 12:46:08.1 - NTFSx86

Le temps d'ex‚cution du script a ‚t‚ d‚pass‚ pour le script "C:\ComboFix\osid.vbs".

L'ex‚cution du script a pris fin.

Running from: C:\Documents and Settings\user\Bureau\ComboFix.exe

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\1.tmp

C:\2.tmp

C:\4.tmp

C:\6.tmp

C:\8.tmp

C:\9.tmp

C:\B.tmp

C:\C.tmp

C:\Documents and Settings\user\Application Data\install_fr[2].exe

C:\Documents and Settings\user\Application Data\WinAntiSpyware 2006

C:\Documents and Settings\user\Application Data\WinAntiSpyware 2006\Logs\update.log

C:\Documents and Settings\user\Application Data\WinAntiSpyware 2006\Logs\update.log

C:\WINNT\Downloaded Program Files\UWAS6V_0001_N91M2606NetInstaller.exe

C:\WINNT\Downloaded Program Files\UWAS6V_0001_N91M2606NetInstaller.exe

C:\WINNT\opera6.ini

C:\WINNT\system32\3_exception.nls

C:\WINNT\system32\argonsmt.exe

C:\WINNT\system32\crypts.dll

C:\WINNT\system32\fccaaya.dll

C:\WINNT\system32\fccdawt.dll

C:\WINNT\system32\fhiii.bak1

C:\WINNT\system32\fhiii.bak1

C:\WINNT\system32\fhiii.bak1

C:\WINNT\system32\fhiii.bak2

C:\WINNT\system32\fhiii.bak2

C:\WINNT\system32\fhiii.bak2

C:\WINNT\system32\fhiii.ini

C:\WINNT\system32\fhiii.ini

C:\WINNT\system32\fhiii.ini

C:\WINNT\system32\fhiii.ini2

C:\WINNT\system32\fhiii.ini2

C:\WINNT\system32\fhiii.ini2

C:\WINNT\system32\gebaawx.dll

C:\WINNT\system32\iexplorer.exe

C:\WINNT\system32\iiihf.dll

C:\WINNT\system32\nbnxpxmi.exe

C:\WINNT\system32\nnnlkhh.dll

C:\WINNT\system32\nnnmjig.dll

C:\WINNT\system32\opnmklj.dll

C:\WINNT\system32\opnolll.dll

C:\WINNT\system32\pmnmm.dll

C:\WINNT\system32\pmnoppp.dll

C:\WINNT\system32\rpcc.dll

C:\WINNT\system32\tuvvuur.dll

C:\WINNT\system32\urqpqqn.dll

C:\WINNT\system32\vturstq.dll

C:\WINNT\system32\vtuttst.dll

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

 

 

-------\LEGACY_RUNTIME

-------\poof

 

 

((((((((((((((((((((((((((((( Fichiers créés 2007-09-07 to 2007-10-07 ))))))))))))))))))))))))))))))))))))

.

 

2007-10-07 12:55 <DIR> d-------- C:\WINNT\system32\AVGUARD_4709862c

2007-10-07 12:42 51,200 --a------ C:\WINNT\NirCmd.exe

2007-10-07 12:24 17,920 --a------ C:\WINNT\system32\reg.exe

2007-10-07 12:23 <DIR> d-------- C:\Program Files\Navilog1

2007-10-07 11:32 <DIR> d-------- C:\Program Files\Trend Micro

2007-10-07 10:10 45,116 --a------ C:\WINNT\system32\10418822ld.exe

2007-10-07 09:11 <DIR> d-------- C:\WINNT\system32\AVGUARD_470e7c30

2007-10-07 00:43 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic

2007-10-06 19:34 <DIR> d-------- C:\Program Files\Hijackthis Version Fran‡aise

2007-09-22 12:15 45,116 --a------ C:\WINNT\system32\15399242ld.exe

2007-09-22 12:05 45,116 --a------ C:\WINNT\system32\5305572ld.exe

2007-09-22 11:56 69,120 --a------ C:\asdm3e.exe

2007-09-22 11:55 45,116 --a------ C:\WINNT\system32\55433642ld.exe

2007-09-17 12:38 45,116 --a------ C:\WINNT\system32\38283302ld.exe

2007-09-17 12:27 45,116 --a------ C:\WINNT\system32\27568822ld.exe

2007-09-17 07:16 45,116 --a------ C:\WINNT\system32\1617652ld.exe

2007-09-17 07:05 45,116 --a------ C:\WINNT\system32\5427252ld.exe

2007-09-16 19:20 45,116 --a------ C:\WINNT\system32\2036792ld.exe

2007-09-16 19:09 45,116 --a------ C:\WINNT\system32\9556952ld.exe

2007-09-16 18:59 45,116 --a------ C:\WINNT\system32\59441252ld.exe

2007-09-13 20:54 45,116 --a------ C:\WINNT\system32\54375322ld.exe

2007-09-13 20:44 45,116 --a------ C:\WINNT\system32\44251512ld.exe

2007-09-13 20:34 45,116 --a------ C:\WINNT\system32\3489352ld.exe

2007-09-12 22:44 45,116 --a------ C:\WINNT\system32\44439912ld.exe

2007-09-12 22:33 45,116 --a------ C:\WINNT\system32\33406272ld.exe

2007-09-12 22:23 45,116 --a------ C:\WINNT\system32\23149672ld.exe

2007-09-12 22:12 45,116 --a------ C:\WINNT\system32\12465042ld.exe

2007-09-12 22:02 45,116 --a------ C:\WINNT\system32\2162672ld.exe

2007-09-12 21:51 45,116 --a------ C:\WINNT\system32\51388012ld.exe

2007-09-12 21:41 45,116 --a------ C:\WINNT\system32\41142632ld.exe

2007-09-12 21:30 45,116 --a------ C:\WINNT\system32\30366462ld.exe

2007-09-12 21:19 45,116 --a------ C:\WINNT\system32\1955932ld.exe

2007-09-12 21:09 45,116 --a------ C:\WINNT\system32\9217032ld.exe

2007-09-12 20:58 45,116 --a------ C:\WINNT\system32\58443862ld.exe

2007-09-12 20:48 45,116 --a------ C:\WINNT\system32\48121172ld.exe

2007-09-12 20:38 324 --a------ C:\jpgmon.exe

2007-09-12 20:37 45,116 --a------ C:\WINNT\system32\37378652ld.exe

2007-09-12 16:48 45,116 --a------ C:\WINNT\system32\48507072ld.exe

2007-09-12 16:38 45,116 --a------ C:\WINNT\system32\38131102ld.exe

2007-09-12 16:27 45,116 --a------ C:\WINNT\system32\27506752ld.exe

2007-09-12 15:53 45,116 --a------ C:\WINNT\system32\53101842ld.exe

2007-09-12 15:41 45,116 --a------ C:\WINNT\system32\41163992ld.exe

2007-09-12 15:30 45,116 --a------ C:\WINNT\system32\30448212ld.exe

2007-09-12 15:20 45,116 --a------ C:\WINNT\system32\20132732ld.exe

2007-09-12 15:09 45,116 --a------ C:\WINNT\system32\9497962ld.exe

2007-09-12 14:59 45,116 --a------ C:\WINNT\system32\59232662ld.exe

2007-09-12 09:52 45,116 --a------ C:\WINNT\system32\52532342ld.exe

2007-09-12 09:42 45,116 --a------ C:\WINNT\system32\42455602ld.exe

2007-09-12 09:32 45,116 --a------ C:\WINNT\system32\32339512ld.exe

2007-09-12 09:22 45,116 --a------ C:\WINNT\system32\22233732ld.exe

2007-09-12 09:12 45,116 --a------ C:\WINNT\system32\12124442ld.exe

2007-09-12 09:02 45,116 --a------ C:\WINNT\system32\208452ld.exe

2007-09-12 08:51 45,116 --a------ C:\WINNT\system32\51515892ld.exe

2007-09-12 08:41 45,116 --a------ C:\WINNT\system32\41399692ld.exe

2007-09-12 08:31 45,116 --a------ C:\WINNT\system32\31297322ld.exe

2007-09-11 22:56 45,116 --a------ C:\WINNT\system32\56116462ld.exe

2007-09-11 20:49 45,116 --a------ C:\WINNT\system32\49331272ld.exe

2007-09-11 20:39 45,116 --a------ C:\WINNT\system32\39159592ld.exe

2007-09-11 09:02 45,116 --a------ C:\WINNT\system32\2173062ld.exe

2007-09-11 08:52 45,116 --a------ C:\WINNT\system32\5286112ld.exe

2007-09-11 08:42 45,116 --a------ C:\WINNT\system32\41584632ld.exe

2007-09-11 08:32 5,632 --a------ C:\dki.exe

2007-09-11 08:31 45,116 --a------ C:\WINNT\system32\31473952ld.exe

2007-09-10 20:45 45,116 --a------ C:\WINNT\system32\45112102ld.exe

2007-09-10 20:35 5,632 --a------ C:\d3h3.exe

2007-09-10 20:34 45,116 --a------ C:\WINNT\system32\34557652ld.exe

2007-09-10 15:32 45,116 --a------ C:\WINNT\system32\3226432ld.exe

2007-09-10 15:21 45,116 --a------ C:\WINNT\system32\21493012ld.exe

2007-09-10 08:51 45,116 --a------ C:\WINNT\system32\51424032ld.exe

2007-09-10 08:41 45,116 --a------ C:\WINNT\system32\41352302ld.exe

2007-09-10 08:31 45,116 --a------ C:\WINNT\system32\31273862ld.exe

2007-09-08 21:24 45,116 --a------ C:\WINNT\system32\24238322ld.exe

2007-09-08 15:04 45,116 --a------ C:\WINNT\system32\4315232ld.exe

2007-09-08 14:54 45,116 --a------ C:\WINNT\system32\54158782ld.exe

2007-09-07 22:10 45,116 --a------ C:\WINNT\system32\10355242ld.exe

2007-09-07 22:00 45,116 --a------ C:\WINNT\system32162432ld.exe

2007-09-07 21:50 45,116 --a------ C:\WINNT\system32\5049742ld.exe

2007-09-07 21:39 45,116 --a------ C:\WINNT\system32\39259952ld.exe

2007-09-07 21:29 5,632 --a------ C:\dgkki.exe

2007-09-07 21:28 45,116 --a------ C:\WINNT\system32\28564002ld.exe

2007-09-07 09:22 45,116 --a------ C:\WINNT\system32\22119342ld.exe

2007-09-07 09:12 45,116 --a------ C:\WINNT\system32\1204242ld.exe

2007-09-07 09:01 45,116 --a------ C:\WINNT\system32\1502772ld.exe

2007-09-07 08:51 45,116 --a------ C:\WINNT\system32\51407302ld.exe

2007-09-07 08:41 45,116 --a------ C:\WINNT\system32\41316552ld.exe

2007-09-07 08:31 45,116 --a------ C:\WINNT\system32\3124912ld.exe

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

07-10-07 12:59 --------- d-------- C:\Documents and Settings\user\Application Data\OpenOffice.org2

07-10-07 12:52 14648 --a------ C:\WINNT\system32\841.reg

07-10-07 12:52 14344 --a------ C:\WINNT\system32\610.reg

07-10-07 12:52 14001 --a------ C:\WINNT\system32\769.reg

07-10-07 12:52 13644 --a------ C:\WINNT\system32\578.reg

07-10-07 12:52 13239 --a------ C:\WINNT\system32\625.reg

07-10-07 12:52 12835 --a------ C:\WINNT\system32\751.reg

07-10-07 12:52 12459 --a------ C:\WINNT\system32\974.reg

07-10-07 12:52 12217 --a------ C:\WINNT\system32\782.reg

07-10-07 12:52 11560 --a------ C:\WINNT\system32\132.reg

07-10-07 12:52 11547 --a------ C:\WINNT\system32\448.reg

07-10-07 12:52 11451 --a------ C:\WINNT\system32\824.reg

07-10-07 12:52 10930 --a------ C:\WINNT\system32\861.reg

07-10-07 12:52 10834 --a------ C:\WINNT\system32\196.reg

07-10-07 12:51 16012 --a------ C:\WINNT\system32\426.reg

07-10-07 12:51 14091 --a------ C:\WINNT\system32\265.reg

07-10-07 12:51 13760 --a------ C:\WINNT\system32\223.reg

07-10-07 12:51 13537 --a------ C:\WINNT\system32\883.reg

07-10-07 12:51 13062 --a------ C:\WINNT\system32\998.reg

07-10-07 12:51 12965 --a------ C:\WINNT\system32\466.reg

07-10-07 12:51 12954 --a------ C:\WINNT\system32\140.reg

07-10-07 12:51 12877 --a------ C:\WINNT\system32\313.reg

07-10-07 12:51 12736 --a------ C:\WINNT\system32\424.reg

07-10-07 12:51 12672 --a------ C:\WINNT\system32\432.reg

07-10-07 12:51 12647 --a------ C:\WINNT\system32\214.reg

07-10-07 12:51 12571 --a------ C:\WINNT\system32\645.reg

07-10-07 12:51 12534 --a------ C:\WINNT\system32\817.reg

07-10-07 12:51 12475 --a------ C:\WINNT\system32\618.reg

07-10-07 12:51 12310 --a------ C:\WINNT\system32\169.reg

07-10-07 12:51 12287 --a------ C:\WINNT\system32\451.reg

07-10-07 12:51 12081 --a------ C:\WINNT\system32\606.reg

07-10-07 12:51 11715 --a------ C:\WINNT\system32\555.reg

07-10-07 12:51 11404 --a------ C:\WINNT\system32\728.reg

07-10-07 12:51 10406 --a------ C:\WINNT\system32\410.reg

07-10-07 12:50 8657 --a------ C:\WINNT\system32\463.reg

07-10-07 12:50 8410 --a------ C:\WINNT\system32\380.reg

07-10-07 12:50 14801 --a------ C:\WINNT\system32\450.reg

07-10-07 12:50 13740 --a------ C:\WINNT\system32\659.reg

07-10-07 12:50 13489 --a------ C:\WINNT\system32\656.reg

07-10-07 12:50 13482 --a------ C:\WINNT\system32\524.reg

07-10-07 12:50 13069 --a------ C:\WINNT\system32\288.reg

07-10-07 12:50 12768 --a------ C:\WINNT\system32\332.reg

07-10-07 12:50 12410 --a------ C:\WINNT\system32\101.reg

07-10-07 12:50 12162 --a------ C:\WINNT\system32\361.reg

07-10-07 12:50 12072 --a------ C:\WINNT\system32\569.reg

07-10-07 12:50 11944 --a------ C:\WINNT\system32\615.reg

07-10-07 12:49 9812 --a------ C:\WINNT\system32\392.reg

07-10-07 12:49 14383 --a------ C:\WINNT\system32\355.reg

07-10-07 12:49 13561 --a------ C:\WINNT\system32\174.reg

07-10-07 12:49 13364 --a------ C:\WINNT\system32\123.reg

07-10-07 12:49 13101 --a------ C:\WINNT\system32\170.reg

07-10-07 12:49 12706 --a------ C:\WINNT\system32\518.reg

07-10-07 12:49 12580 --a------ C:\WINNT\system32\772.reg

07-10-07 12:49 12563 --a------ C:\WINNT\system32\311.reg

07-10-07 12:49 12550 --a------ C:\WINNT\system32\915.reg

07-10-07 12:49 12084 --a------ C:\WINNT\system32\292.reg

07-10-07 12:49 11806 --a------ C:\WINNT\system32\908.reg

07-10-07 12:48 14096 --a------ C:\WINNT\system32\191.reg

07-10-07 12:48 13698 --a------ C:\WINNT\system32\484.reg

07-10-07 12:48 13343 --a------ C:\WINNT\system32\234.reg

07-10-07 12:48 13008 --a------ C:\WINNT\system32\559.reg

07-10-07 12:48 13002 --a------ C:\WINNT\system32\167.reg

07-10-07 12:48 12681 --a------ C:\WINNT\system32\832.reg

07-10-07 12:48 11843 --a------ C:\WINNT\system32\149.reg

07-10-07 12:48 11805 --a------ C:\WINNT\system32\533.reg

07-10-07 12:48 11313 --a------ C:\WINNT\system32\212.reg

07-10-07 12:48 10915 --a------ C:\WINNT\system32\213.reg

07-10-07 12:48 10822 --a------ C:\WINNT\system32\611.reg

07-10-07 12:47 13107 --a------ C:\WINNT\system32\246.reg

07-10-07 12:47 11820 --a------ C:\WINNT\system32\982.reg

07-10-07 12:47 11670 --a------ C:\WINNT\system32\880.reg

07-10-07 12:47 11611 --a------ C:\WINNT\system32\530.reg

07-10-07 12:47 11093 --a------ C:\WINNT\system32\207.reg

07-10-07 12:46 12927 --a------ C:\WINNT\system32\274.reg

07-10-07 12:46 12873 --a------ C:\WINNT\system32\113.reg

07-10-07 12:46 12776 --a------ C:\WINNT\system32\632.reg

07-10-07 12:46 11712 --a------ C:\WINNT\system32\357.reg

07-10-07 12:46 11699 --a------ C:\WINNT\system32\867.reg

07-10-07 12:45 12305 --a------ C:\WINNT\system32\532.reg

07-10-07 12:45 12048 --a------ C:\WINNT\system32\846.reg

07-10-07 12:45 10275 --a------ C:\WINNT\system32\766.reg

07-10-07 12:44 13798 --a------ C:\WINNT\system32\813.reg

07-10-07 12:44 13589 --a------ C:\WINNT\system32\226.reg

07-10-07 12:44 12928 --a------ C:\WINNT\system32\953.reg

07-10-07 12:44 12845 --a------ C:\WINNT\system32\331.reg

07-10-07 12:44 12823 --a------ C:\WINNT\system32\796.reg

07-10-07 12:44 12330 --a------ C:\WINNT\system32\630.reg

07-10-07 12:44 11964 --a------ C:\WINNT\system32\111.reg

07-10-07 12:44 11207 --a------ C:\WINNT\system32\975.reg

07-10-07 12:44 11139 --a------ C:\WINNT\system32\267.reg

07-10-07 12:44 10662 --a------ C:\WINNT\system32\822.reg

07-10-07 12:43 13065 --a------ C:\WINNT\system32\425.reg

07-10-07 12:43 11727 --a------ C:\WINNT\system32\177.reg

07-10-07 12:43 11440 --a------ C:\WINNT\system32\833.reg

07-10-07 12:43 11327 --a------ C:\WINNT\system32\173.reg

07-10-07 12:42 15364 --a------ C:\WINNT\system32\665.reg

07-10-07 12:42 14664 --a------ C:\WINNT\system32\703.reg

07-10-07 12:42 14186 --a------ C:\WINNT\system32\335.reg

07-10-07 12:42 13380 --a------ C:\WINNT\system32\804.reg

07-10-07 12:42 13098 --a------ C:\WINNT\system32\359.reg

2007-06-24 20:51:47 41,472 --sh--r C:\WINNT\system\msnntlp.exe

2007-07-04 18:46:11 39,424 -csh--r C:\WINNT\system32\dllcache\ivchost.exe

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}]

07-07-11 22:30 287254 --a------ C:\WINNT\system32\efcyxya.dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"@"="" []

"Synchronization Manager"="mobsync.exe" [03-06-23 15:00 C:\WINNT\system32\mobsync.exe]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe" [05-08-26 20:14 ]

"MessagerStarter Wanadoo"="C:\PROGRA~1\MESSAG~1\StartMessager.exe" [03-01-10 11:08 ]

"RealTray"="C:\Program Files\Real\RealPlayer\RealPlay.exe" [07-06-20 19:19 ]

"MRT"="C:\WINNT\system32\MRT.exe" [07-06-05 23:38 ]

"movies"="c:\winnt\system32\IE5.exe" [07-08-05 00:29 ]

"ISPSERVICE"="c:\winnt\system32\iexplorer.exe" []

"TileFree"="Tilecomfree.com" [07-07-30 11:15 C:\WINNT\system32\Tilecomfree.com]

"Windows Server Peer Verification Service"="c:\3.tmp *" []

"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [06-01-18 15:52 ]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"internat.exe"="internat.exe" [03-06-23 15:00 C:\WINNT\system32\internat.exe]

"Microsoft NetMeeting"="C:\Program Files\NetMeeting\conf.exe" [03-06-23 15:00 ]

"Windows Service Agent"="fixin.exe" []

"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [05-06-14 17:05 ]

"Windows LoL Layer"="zmlguap.exe" []

"Windows Server Client Verification Service"="C:\WINNT\TEMP\mss9.tmp *" []

"Windows Server Peer Verification Service"="c:\3.tmp *" []

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]

"TileFree"=Tilecomfree.com

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]

"^SetupICWDesktop"=C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]

"<NO NAME>"=

"internat.exe"=internat.exe

"Windows Server Peer Verification Service"="c:\my2.exe" *

"Windows Server Client Verification Service"="C:\WINNT\TEMP\mss9.tmp" *

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"= C:\WINNT\system32\efcyxya.dll [07-07-11 22:30 287254]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\efcyxya]

efcyxya.dll 07-07-11 22:30 287254 C:\WINNT\system32\efcyxya.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nwprovau]

nwprovau.dll 06-09-01 08:49 143632 C:\WINNT\system32\NWPROVAU.DLL

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

"Authentication Packages"= msv1_0 nwprovau

 

R0 avgntmgr;avgntmgr;C:\WINNT\system32\drivers\avgntmgr.sys

R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys

R1 fwdrv;Firewall Driver;C:\WINNT\system32\drivers\fwdrv.sys

R1 khips;Kerio HIPS Driver;C:\WINNT\system32\drivers\khips.sys

R3 EL90BC;Pilote de carte 3Com EtherLink XL B/C;C:\WINNT\system32\DRIVERS\el90xbc5.sys

S3 ichaud;Service pour pilote AC'97 (WDM);C:\WINNT\system32\drivers\ichaud.sys

 

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2007-09-30 15:52:04 C:\WINNT\Tasks\AOL Compagnon.job"

- C:\PROGRA~1\AOLCOM~1\COMPAN~1.EXE

.

**************************************************************************

 

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-10-07 12:57:52

Windows 5.0.2195 Service Pack 4 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2007-10-07 13:01:40 - machine was rebooted

C:\ComboFix-quarantined-files.txt ... 07-10-07 13:01

.

--- E O F ---

[Gof]

Re Bailing

 

Bon travail, mais ce n'est pas fini. Combofix n'a pu réaliser tout son travail, il y en avait de trop.

 

Relance le alors, de la même manière, à l'identique, et poste le nouveau rapport généré.

 

Pour rappel :

(...)

• Double-clique combofix.exe afin de l'exécuter et suis les instructions.
  
• Lorsque l'analyse sera complétée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  

 

A plus tard

[Bailing]

Voici mon rapport Logcombfix2

ComboFix 07-10-07.1 - user 07/10/2007 21:30:58.2 - NTFSx86

Microsoft Windows 2000 Professionnel 5.0.2195.4.1252.1.1036.18.81 [GMT 3:00]

Running from: C:\Documents and Settings\user\Bureau\ComboFix.exe

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINNT\system32\prsru.ini

C:\WINNT\system32\ursrp.dll

 

.

((((((((((((((((((((((((((((( Fichiers créés 2007-09-07 to 2007-10-07 ))))))))))))))))))))))))))))))))))))

.

 

2007-10-07 21:36 <DIR> d-------- C:\WINNT\system32\AVGUARD_470ad0aa

2007-10-07 12:42 51,200 --a------ C:\WINNT\NirCmd.exe

2007-10-07 12:24 17,920 --a------ C:\WINNT\system32\reg.exe

2007-10-07 12:23 <DIR> d-------- C:\Program Files\Navilog1

2007-10-07 11:32 <DIR> d-------- C:\Program Files\Trend Micro

2007-10-07 10:10 45,116 --a------ C:\WINNT\system32\10418822ld.exe

2007-10-07 09:11 <DIR> d-------- C:\WINNT\system32\AVGUARD_470e7c30

2007-10-07 00:43 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic

2007-10-06 19:34 <DIR> d-------- C:\Program Files\Hijackthis Version Fran‡aise

2007-09-22 12:15 45,116 --a------ C:\WINNT\system32\15399242ld.exe

2007-09-22 12:05 45,116 --a------ C:\WINNT\system32\5305572ld.exe

2007-09-22 11:56 69,120 --a------ C:\asdm3e.exe

2007-09-22 11:55 45,116 --a------ C:\WINNT\system32\55433642ld.exe

2007-09-17 12:38 45,116 --a------ C:\WINNT\system32\38283302ld.exe

2007-09-17 12:27 45,116 --a------ C:\WINNT\system32\27568822ld.exe

2007-09-17 07:16 45,116 --a------ C:\WINNT\system32\1617652ld.exe

2007-09-17 07:05 45,116 --a------ C:\WINNT\system32\5427252ld.exe

2007-09-16 19:20 45,116 --a------ C:\WINNT\system32\2036792ld.exe

2007-09-16 19:09 45,116 --a------ C:\WINNT\system32\9556952ld.exe

2007-09-16 18:59 45,116 --a------ C:\WINNT\system32\59441252ld.exe

2007-09-13 20:54 45,116 --a------ C:\WINNT\system32\54375322ld.exe

2007-09-13 20:44 45,116 --a------ C:\WINNT\system32\44251512ld.exe

2007-09-13 20:34 45,116 --a------ C:\WINNT\system32\3489352ld.exe

2007-09-12 22:44 45,116 --a------ C:\WINNT\system32\44439912ld.exe

2007-09-12 22:33 45,116 --a------ C:\WINNT\system32\33406272ld.exe

2007-09-12 22:23 45,116 --a------ C:\WINNT\system32\23149672ld.exe

2007-09-12 22:12 45,116 --a------ C:\WINNT\system32\12465042ld.exe

2007-09-12 22:02 45,116 --a------ C:\WINNT\system32\2162672ld.exe

2007-09-12 21:51 45,116 --a------ C:\WINNT\system32\51388012ld.exe

2007-09-12 21:41 45,116 --a------ C:\WINNT\system32\41142632ld.exe

2007-09-12 21:30 45,116 --a------ C:\WINNT\system32\30366462ld.exe

2007-09-12 21:19 45,116 --a------ C:\WINNT\system32\1955932ld.exe

2007-09-12 21:09 45,116 --a------ C:\WINNT\system32\9217032ld.exe

2007-09-12 20:58 45,116 --a------ C:\WINNT\system32\58443862ld.exe

2007-09-12 20:48 45,116 --a------ C:\WINNT\system32\48121172ld.exe

2007-09-12 20:38 324 --a------ C:\jpgmon.exe

2007-09-12 20:37 45,116 --a------ C:\WINNT\system32\37378652ld.exe

2007-09-12 16:48 45,116 --a------ C:\WINNT\system32\48507072ld.exe

2007-09-12 16:38 45,116 --a------ C:\WINNT\system32\38131102ld.exe

2007-09-12 16:27 45,116 --a------ C:\WINNT\system32\27506752ld.exe

2007-09-12 15:53 45,116 --a------ C:\WINNT\system32\53101842ld.exe

2007-09-12 15:41 45,116 --a------ C:\WINNT\system32\41163992ld.exe

2007-09-12 15:30 45,116 --a------ C:\WINNT\system32\30448212ld.exe

2007-09-12 15:20 45,116 --a------ C:\WINNT\system32\20132732ld.exe

2007-09-12 15:09 45,116 --a------ C:\WINNT\system32\9497962ld.exe

2007-09-12 14:59 45,116 --a------ C:\WINNT\system32\59232662ld.exe

2007-09-12 09:52 45,116 --a------ C:\WINNT\system32\52532342ld.exe

2007-09-12 09:42 45,116 --a------ C:\WINNT\system32\42455602ld.exe

2007-09-12 09:32 45,116 --a------ C:\WINNT\system32\32339512ld.exe

2007-09-12 09:22 45,116 --a------ C:\WINNT\system32\22233732ld.exe

2007-09-12 09:12 45,116 --a------ C:\WINNT\system32\12124442ld.exe

2007-09-12 09:02 45,116 --a------ C:\WINNT\system32\208452ld.exe

2007-09-12 08:51 45,116 --a------ C:\WINNT\system32\51515892ld.exe

2007-09-12 08:41 45,116 --a------ C:\WINNT\system32\41399692ld.exe

2007-09-12 08:31 45,116 --a------ C:\WINNT\system32\31297322ld.exe

2007-09-11 22:56 45,116 --a------ C:\WINNT\system32\56116462ld.exe

2007-09-11 20:49 45,116 --a------ C:\WINNT\system32\49331272ld.exe

2007-09-11 20:39 45,116 --a------ C:\WINNT\system32\39159592ld.exe

2007-09-11 09:02 45,116 --a------ C:\WINNT\system32\2173062ld.exe

2007-09-11 08:52 45,116 --a------ C:\WINNT\system32\5286112ld.exe

2007-09-11 08:42 45,116 --a------ C:\WINNT\system32\41584632ld.exe

2007-09-11 08:32 5,632 --a------ C:\dki.exe

2007-09-11 08:31 45,116 --a------ C:\WINNT\system32\31473952ld.exe

2007-09-10 20:45 45,116 --a------ C:\WINNT\system32\45112102ld.exe

2007-09-10 20:35 5,632 --a------ C:\d3h3.exe

2007-09-10 20:34 45,116 --a------ C:\WINNT\system32\34557652ld.exe

2007-09-10 15:32 45,116 --a------ C:\WINNT\system32\3226432ld.exe

2007-09-10 15:21 45,116 --a------ C:\WINNT\system32\21493012ld.exe

2007-09-10 08:51 45,116 --a------ C:\WINNT\system32\51424032ld.exe

2007-09-10 08:41 45,116 --a------ C:\WINNT\system32\41352302ld.exe

2007-09-10 08:31 45,116 --a------ C:\WINNT\system32\31273862ld.exe

2007-09-08 21:24 45,116 --a------ C:\WINNT\system32\24238322ld.exe

2007-09-08 15:04 45,116 --a------ C:\WINNT\system32\4315232ld.exe

2007-09-08 14:54 45,116 --a------ C:\WINNT\system32\54158782ld.exe

2007-09-07 22:10 45,116 --a------ C:\WINNT\system32\10355242ld.exe

2007-09-07 22:00 45,116 --a------ C:\WINNT\system32162432ld.exe

2007-09-07 21:50 45,116 --a------ C:\WINNT\system32\5049742ld.exe

2007-09-07 21:39 45,116 --a------ C:\WINNT\system32\39259952ld.exe

2007-09-07 21:29 5,632 --a------ C:\dgkki.exe

2007-09-07 21:28 45,116 --a------ C:\WINNT\system32\28564002ld.exe

2007-09-07 09:22 45,116 --a------ C:\WINNT\system32\22119342ld.exe

2007-09-07 09:12 45,116 --a------ C:\WINNT\system32\1204242ld.exe

2007-09-07 09:01 45,116 --a------ C:\WINNT\system32\1502772ld.exe

2007-09-07 08:51 45,116 --a------ C:\WINNT\system32\51407302ld.exe

2007-09-07 08:41 45,116 --a------ C:\WINNT\system32\41316552ld.exe

2007-09-07 08:31 45,116 --a------ C:\WINNT\system32\3124912ld.exe

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

07-10-07 21:39 --------- d-------- C:\Documents and Settings\user\Application Data\OpenOffice.org2

07-10-07 12:52 14648 --a------ C:\WINNT\system32\841.reg

07-10-07 12:52 14344 --a------ C:\WINNT\system32\610.reg

07-10-07 12:52 14001 --a------ C:\WINNT\system32\769.reg

07-10-07 12:52 13644 --a------ C:\WINNT\system32\578.reg

07-10-07 12:52 13239 --a------ C:\WINNT\system32\625.reg

07-10-07 12:52 12835 --a------ C:\WINNT\system32\751.reg

07-10-07 12:52 12459 --a------ C:\WINNT\system32\974.reg

07-10-07 12:52 12217 --a------ C:\WINNT\system32\782.reg

07-10-07 12:52 11560 --a------ C:\WINNT\system32\132.reg

07-10-07 12:52 11547 --a------ C:\WINNT\system32\448.reg

07-10-07 12:52 11451 --a------ C:\WINNT\system32\824.reg

07-10-07 12:52 10930 --a------ C:\WINNT\system32\861.reg

07-10-07 12:52 10834 --a------ C:\WINNT\system32\196.reg

07-10-07 12:51 16012 --a------ C:\WINNT\system32\426.reg

07-10-07 12:51 14091 --a------ C:\WINNT\system32\265.reg

07-10-07 12:51 13760 --a------ C:\WINNT\system32\223.reg

07-10-07 12:51 13537 --a------ C:\WINNT\system32\883.reg

07-10-07 12:51 13062 --a------ C:\WINNT\system32\998.reg

07-10-07 12:51 12965 --a------ C:\WINNT\system32\466.reg

07-10-07 12:51 12954 --a------ C:\WINNT\system32\140.reg

07-10-07 12:51 12877 --a------ C:\WINNT\system32\313.reg

07-10-07 12:51 12736 --a------ C:\WINNT\system32\424.reg

07-10-07 12:51 12672 --a------ C:\WINNT\system32\432.reg

07-10-07 12:51 12647 --a------ C:\WINNT\system32\214.reg

07-10-07 12:51 12571 --a------ C:\WINNT\system32\645.reg

07-10-07 12:51 12534 --a------ C:\WINNT\system32\817.reg

07-10-07 12:51 12475 --a------ C:\WINNT\system32\618.reg

07-10-07 12:51 12310 --a------ C:\WINNT\system32\169.reg

07-10-07 12:51 12287 --a------ C:\WINNT\system32\451.reg

07-10-07 12:51 12081 --a------ C:\WINNT\system32\606.reg

07-10-07 12:51 11715 --a------ C:\WINNT\system32\555.reg

07-10-07 12:51 11404 --a------ C:\WINNT\system32\728.reg

07-10-07 12:51 10406 --a------ C:\WINNT\system32\410.reg

07-10-07 12:50 8657 --a------ C:\WINNT\system32\463.reg

07-10-07 12:50 8410 --a------ C:\WINNT\system32\380.reg

07-10-07 12:50 14801 --a------ C:\WINNT\system32\450.reg

07-10-07 12:50 13740 --a------ C:\WINNT\system32\659.reg

07-10-07 12:50 13489 --a------ C:\WINNT\system32\656.reg

07-10-07 12:50 13482 --a------ C:\WINNT\system32\524.reg

07-10-07 12:50 13069 --a------ C:\WINNT\system32\288.reg

07-10-07 12:50 12768 --a------ C:\WINNT\system32\332.reg

07-10-07 12:50 12410 --a------ C:\WINNT\system32\101.reg

07-10-07 12:50 12162 --a------ C:\WINNT\system32\361.reg

07-10-07 12:50 12072 --a------ C:\WINNT\system32\569.reg

07-10-07 12:50 11944 --a------ C:\WINNT\system32\615.reg

07-10-07 12:49 9812 --a------ C:\WINNT\system32\392.reg

07-10-07 12:49 14383 --a------ C:\WINNT\system32\355.reg

07-10-07 12:49 13561 --a------ C:\WINNT\system32\174.reg

07-10-07 12:49 13364 --a------ C:\WINNT\system32\123.reg

07-10-07 12:49 13101 --a------ C:\WINNT\system32\170.reg

07-10-07 12:49 12706 --a------ C:\WINNT\system32\518.reg

07-10-07 12:49 12580 --a------ C:\WINNT\system32\772.reg

07-10-07 12:49 12563 --a------ C:\WINNT\system32\311.reg

07-10-07 12:49 12550 --a------ C:\WINNT\system32\915.reg

07-10-07 12:49 12084 --a------ C:\WINNT\system32\292.reg

07-10-07 12:49 11806 --a------ C:\WINNT\system32\908.reg

07-10-07 12:48 14096 --a------ C:\WINNT\system32\191.reg

07-10-07 12:48 13698 --a------ C:\WINNT\system32\484.reg

07-10-07 12:48 13343 --a------ C:\WINNT\system32\234.reg

07-10-07 12:48 13008 --a------ C:\WINNT\system32\559.reg

07-10-07 12:48 13002 --a------ C:\WINNT\system32\167.reg

07-10-07 12:48 12681 --a------ C:\WINNT\system32\832.reg

07-10-07 12:48 11843 --a------ C:\WINNT\system32\149.reg

07-10-07 12:48 11805 --a------ C:\WINNT\system32\533.reg

07-10-07 12:48 11313 --a------ C:\WINNT\system32\212.reg

07-10-07 12:48 10915 --a------ C:\WINNT\system32\213.reg

07-10-07 12:48 10822 --a------ C:\WINNT\system32\611.reg

07-10-07 12:47 13107 --a------ C:\WINNT\system32\246.reg

07-10-07 12:47 11820 --a------ C:\WINNT\system32\982.reg

07-10-07 12:47 11670 --a------ C:\WINNT\system32\880.reg

07-10-07 12:47 11611 --a------ C:\WINNT\system32\530.reg

07-10-07 12:47 11093 --a------ C:\WINNT\system32\207.reg

07-10-07 12:46 12927 --a------ C:\WINNT\system32\274.reg

07-10-07 12:46 12873 --a------ C:\WINNT\system32\113.reg

07-10-07 12:46 12776 --a------ C:\WINNT\system32\632.reg

07-10-07 12:46 11712 --a------ C:\WINNT\system32\357.reg

07-10-07 12:46 11699 --a------ C:\WINNT\system32\867.reg

07-10-07 12:45 12305 --a------ C:\WINNT\system32\532.reg

07-10-07 12:45 12048 --a------ C:\WINNT\system32\846.reg

07-10-07 12:45 10275 --a------ C:\WINNT\system32\766.reg

07-10-07 12:44 13798 --a------ C:\WINNT\system32\813.reg

07-10-07 12:44 13589 --a------ C:\WINNT\system32\226.reg

07-10-07 12:44 12928 --a------ C:\WINNT\system32\953.reg

07-10-07 12:44 12845 --a------ C:\WINNT\system32\331.reg

07-10-07 12:44 12823 --a------ C:\WINNT\system32\796.reg

07-10-07 12:44 12330 --a------ C:\WINNT\system32\630.reg

07-10-07 12:44 11964 --a------ C:\WINNT\system32\111.reg

07-10-07 12:44 11207 --a------ C:\WINNT\system32\975.reg

07-10-07 12:44 11139 --a------ C:\WINNT\system32\267.reg

07-10-07 12:44 10662 --a------ C:\WINNT\system32\822.reg

07-10-07 12:43 13065 --a------ C:\WINNT\system32\425.reg

07-10-07 12:43 11727 --a------ C:\WINNT\system32\177.reg

07-10-07 12:43 11440 --a------ C:\WINNT\system32\833.reg

07-10-07 12:43 11327 --a------ C:\WINNT\system32\173.reg

07-10-07 12:42 15364 --a------ C:\WINNT\system32\665.reg

07-10-07 12:42 14664 --a------ C:\WINNT\system32\703.reg

07-10-07 12:42 14186 --a------ C:\WINNT\system32\335.reg

07-10-07 12:42 13380 --a------ C:\WINNT\system32\804.reg

07-10-07 12:42 13098 --a------ C:\WINNT\system32\359.reg

2007-06-24 20:51:47 41,472 --sh--r C:\WINNT\system\msnntlp.exe

2007-07-04 18:46:11 39,424 -csh--r C:\WINNT\system32\dllcache\ivchost.exe

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}]

07-07-11 22:30 287254 --a------ C:\WINNT\system32\efcyxya.dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"@"="" []

"Synchronization Manager"="mobsync.exe" [03-06-23 15:00 C:\WINNT\system32\mobsync.exe]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe" [05-08-26 20:14 ]

"MessagerStarter Wanadoo"="C:\PROGRA~1\MESSAG~1\StartMessager.exe" [03-01-10 11:08 ]

"RealTray"="C:\Program Files\Real\RealPlayer\RealPlay.exe" [07-06-20 19:19 ]

"MRT"="C:\WINNT\system32\MRT.exe" [07-06-05 23:38 ]

"movies"="c:\winnt\system32\IE5.exe" [07-08-05 00:29 ]

"ISPSERVICE"="c:\winnt\system32\iexplorer.exe" []

"TileFree"="Tilecomfree.com" [07-07-30 11:15 C:\WINNT\system32\Tilecomfree.com]

"Windows Server Peer Verification Service"="c:\3.tmp *" []

"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [06-01-18 15:52 ]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"internat.exe"="internat.exe" [03-06-23 15:00 C:\WINNT\system32\internat.exe]

"Microsoft NetMeeting"="C:\Program Files\NetMeeting\conf.exe" [03-06-23 15:00 ]

"Windows Service Agent"="fixin.exe" []

"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [05-06-14 17:05 ]

"Windows LoL Layer"="zmlguap.exe" []

"Windows Server Client Verification Service"="C:\WINNT\TEMP\mss9.tmp *" []

"Windows Server Peer Verification Service"="c:\3.tmp *" []

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]

"TileFree"=Tilecomfree.com

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]

"^SetupICWDesktop"=C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]

"<NO NAME>"=

"internat.exe"=internat.exe

"Windows Server Peer Verification Service"="c:\my2.exe" *

"Windows Server Client Verification Service"="C:\WINNT\TEMP\mss9.tmp" *

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"= C:\WINNT\system32\efcyxya.dll [07-07-11 22:30 287254]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\efcyxya]

efcyxya.dll 07-07-11 22:30 287254 C:\WINNT\system32\efcyxya.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nwprovau]

nwprovau.dll 06-09-01 08:49 143632 C:\WINNT\system32\NWPROVAU.DLL

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

"Authentication Packages"= msv1_0 nwprovau

 

R0 avgntmgr;avgntmgr;C:\WINNT\system32\drivers\avgntmgr.sys

R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys

R1 fwdrv;Firewall Driver;C:\WINNT\system32\drivers\fwdrv.sys

R1 khips;Kerio HIPS Driver;C:\WINNT\system32\drivers\khips.sys

R2 mshexdefx;ms hexidecimal defx;"C:\WINNT\system32\dllcache\ivchost.exe"

R2 msnntlp;msnntlp;"C:\WINNT\system\msnntlp.exe"

R2 MSWindows;Network Windows Service;"C:\WINNT\system32\urdvxc.exe" /service

R2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe"

R3 EL90BC;Pilote de carte 3Com EtherLink XL B/C;C:\WINNT\system32\DRIVERS\el90xbc5.sys

S3 ichaud;Service pour pilote AC'97 (WDM);C:\WINNT\system32\drivers\ichaud.sys

 

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2007-09-30 15:52:04 C:\WINNT\Tasks\AOL Compagnon.job"

- C:\PROGRA~1\AOLCOM~1\COMPAN~1.EXE

.

**************************************************************************

 

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-10-07 21:37:59

Windows 5.0.2195 Service Pack 4 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2007-10-07 21:41:32 - machine was rebooted

C:\ComboFix-quarantined-files.txt ... 07-10-07 21:41

C:\ComboFix2.txt ... 07-10-07 13:01

.

--- E O F ---

 

Qu'y aurait-il d'autre à faire ??????

[Gof]

Bonsoir Bailing

 

Bien, on continue.

 

Télécharge CFScript.txt et enregistre le sur ton bureau.

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
   
  
  
• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
  

[Bailing]

Voici le rapport demandé. merci pour ton aide.

ComboFix 07-10-07.1 - user 07/10/2007 22:32:37.3 - NTFSx86

Microsoft Windows 2000 Professionnel 5.0.2195.4.1252.1.1036.18.55 [GMT 3:00]

Running from: C:\Documents and Settings\user\Bureau\ComboFix.exe

Command switches used :: E:\Logicielsd‚contamination\CFScript-1.txt

 

FILE::

c:\16.tmp

c:\3.tmp

c:\A.tmp

C:\asdm3e.exe

C:\d3h3.exe

C:\dgkki.exe

C:\dki.exe

C:\jpgmon.exe

c:\my2.exe

C:\WINNT\system\msnntlp.exe

C:\WINNT\system32\101.reg

C:\WINNT\system32\10355242ld.exe

C:\WINNT\system32\10418822ld.exe

C:\WINNT\system32\111.reg

C:\WINNT\system32\113.reg

C:\WINNT\system32\1204242ld.exe

C:\WINNT\system32\12124442ld.exe

C:\WINNT\system32\123.reg

C:\WINNT\system32\12465042ld.exe

C:\WINNT\system32\132.reg

C:\WINNT\system32\140.reg

C:\WINNT\system32\149.reg

C:\WINNT\system32\1502772ld.exe

C:\WINNT\system32\15399242ld.exe

C:\WINNT\system32\1617652ld.exe

C:\WINNT\system32\167.reg

C:\WINNT\system32\169.reg

C:\WINNT\system32\170.reg

C:\WINNT\system32\173.reg

C:\WINNT\system32\174.reg

C:\WINNT\system32\177.reg

C:\WINNT\system32\191.reg

C:\WINNT\system32\1955932ld.exe

C:\WINNT\system32\196.reg

C:\WINNT\system32\20132732ld.exe

C:\WINNT\system32\2036792ld.exe

C:\WINNT\system32\207.reg

C:\WINNT\system32\208452ld.exe

C:\WINNT\system32\212.reg

C:\WINNT\system32\213.reg

C:\WINNT\system32\214.reg

C:\WINNT\system32\21493012ld.exe

C:\WINNT\system32\2162672ld.exe

C:\WINNT\system32\2173062ld.exe

C:\WINNT\system32\22119342ld.exe

C:\WINNT\system32\22233732ld.exe

C:\WINNT\system32\223.reg

C:\WINNT\system32\226.reg

C:\WINNT\system32\23149672ld.exe

C:\WINNT\system32\234.reg

C:\WINNT\system32\24238322ld.exe

C:\WINNT\system32\246.reg

C:\WINNT\system32\265.reg

C:\WINNT\system32\267.reg

C:\WINNT\system32\274.reg

C:\WINNT\system32\27506752ld.exe

C:\WINNT\system32\27568822ld.exe

C:\WINNT\system32\28564002ld.exe

C:\WINNT\system32\288.reg

C:\WINNT\system32\292.reg

C:\WINNT\system32\30366462ld.exe

C:\WINNT\system32\30448212ld.exe

C:\WINNT\system32\311.reg

C:\WINNT\system32\3124912ld.exe

C:\WINNT\system32\31273862ld.exe

C:\WINNT\system32\31297322ld.exe

C:\WINNT\system32\313.reg

C:\WINNT\system32\31473952ld.exe

C:\WINNT\system32\3226432ld.exe

C:\WINNT\system32\32339512ld.exe

C:\WINNT\system32\331.reg

C:\WINNT\system32\332.reg

C:\WINNT\system32\33406272ld.exe

C:\WINNT\system32\335.reg

C:\WINNT\system32\34557652ld.exe

C:\WINNT\system32\3489352ld.exe

C:\WINNT\system32\355.reg

C:\WINNT\system32\357.reg

C:\WINNT\system32\359.reg

C:\WINNT\system32\361.reg

C:\WINNT\system32\37378652ld.exe

C:\WINNT\system32\380.reg

C:\WINNT\system32\38131102ld.exe

C:\WINNT\system32\38283302ld.exe

C:\WINNT\system32\39159592ld.exe

C:\WINNT\system32\392.reg

C:\WINNT\system32\39259952ld.exe

C:\WINNT\system32\410.reg

C:\WINNT\system32\41142632ld.exe

C:\WINNT\system32\41163992ld.exe

C:\WINNT\system32\41316552ld.exe

C:\WINNT\system32\41352302ld.exe

C:\WINNT\system32\41399692ld.exe

C:\WINNT\system32\41584632ld.exe

C:\WINNT\system32\424.reg

C:\WINNT\system32\42455602ld.exe

C:\WINNT\system32\425.reg

C:\WINNT\system32\426.reg

C:\WINNT\system32\4315232ld.exe

C:\WINNT\system32\432.reg

C:\WINNT\system32\44251512ld.exe

C:\WINNT\system32\44439912ld.exe

C:\WINNT\system32\448.reg

C:\WINNT\system32\450.reg

C:\WINNT\system32\451.reg

C:\WINNT\system32\45112102ld.exe

C:\WINNT\system32\463.reg

C:\WINNT\system32\466.reg

C:\WINNT\system32\48121172ld.exe

C:\WINNT\system32\484.reg

C:\WINNT\system32\48507072ld.exe

C:\WINNT\system32\49331272ld.exe

C:\WINNT\system32\5049742ld.exe

C:\WINNT\system32\51388012ld.exe

C:\WINNT\system32\51407302ld.exe

C:\WINNT\system32\51424032ld.exe

C:\WINNT\system32\51515892ld.exe

C:\WINNT\system32\518.reg

C:\WINNT\system32\524.reg

C:\WINNT\system32\52532342ld.exe

C:\WINNT\system32\5286112ld.exe

C:\WINNT\system32\530.reg

C:\WINNT\system32\5305572ld.exe

C:\WINNT\system32\53101842ld.exe

C:\WINNT\system32\532.reg

C:\WINNT\system32\533.reg

C:\WINNT\system32\54158782ld.exe

C:\WINNT\system32\5427252ld.exe

C:\WINNT\system32\54375322ld.exe

C:\WINNT\system32\55433642ld.exe

C:\WINNT\system32\555.reg

C:\WINNT\system32\559.reg

C:\WINNT\system32\56116462ld.exe

C:\WINNT\system32\569.reg

C:\WINNT\system32\578.reg

C:\WINNT\system32\58443862ld.exe

C:\WINNT\system32\59232662ld.exe

C:\WINNT\system32\59441252ld.exe

C:\WINNT\system32\606.reg

C:\WINNT\system32\610.reg

C:\WINNT\system32\611.reg

C:\WINNT\system32\615.reg

C:\WINNT\system32\618.reg

C:\WINNT\system32\625.reg

C:\WINNT\system32\630.reg

C:\WINNT\system32\632.reg

C:\WINNT\system32\645.reg

C:\WINNT\system32\656.reg

C:\WINNT\system32\659.reg

C:\WINNT\system32\665.reg

C:\WINNT\system32\703.reg

C:\WINNT\system32\728.reg

C:\WINNT\system32\751.reg

C:\WINNT\system32\766.reg

C:\WINNT\system32\769.reg

C:\WINNT\system32\772.reg

C:\WINNT\system32\782.reg

C:\WINNT\system32\796.reg

C:\WINNT\system32\804.reg

C:\WINNT\system32\813.reg

C:\WINNT\system32\817.reg

C:\WINNT\system32\822.reg

C:\WINNT\system32\824.reg

C:\WINNT\system32\832.reg

C:\WINNT\system32\833.reg

C:\WINNT\system32\841.reg

C:\WINNT\system32\846.reg

C:\WINNT\system32\861.reg

C:\WINNT\system32\867.reg

C:\WINNT\system32\880.reg

C:\WINNT\system32\883.reg

C:\WINNT\system32\908.reg

C:\WINNT\system32\915.reg

C:\WINNT\system32\9217032ld.exe

C:\WINNT\system32\9497962ld.exe

C:\WINNT\system32\953.reg

C:\WINNT\system32\9556952ld.exe

C:\WINNT\system32\974.reg

C:\WINNT\system32\975.reg

C:\WINNT\system32\982.reg

C:\WINNT\system32\998.reg

C:\WINNT\SYSTEM32\crypts.dll

C:\WINNT\system32\dllcache\ivchost.exe

C:\WINNT\system32\efcyxya.dll

c:\winnt\system32\IE5.exe

c:\winnt\system32\iexplorer.exe

C:\WINNT\system32\iiihf.dll

C:\WINNT\system32\irdvxc.exe

C:\winnt\system32\lrsausle.exe

C:\WINNT\SYSTEM32\nnnlkhh.dll

C:\WINNT\SYSTEM32\pmnoppp.dll

C:\winnt\system32\qsqfefuyfh.exe

C:\WINNT\system32\rpcc.dll

C:\WINNT\system32\Tilecomfree.com

C:\WINNT\system32\urdvxc.exe

C:\WINNT\system32162432ld.exe

C:\WINNT\TEMP\129806.exe

C:\WINNT\TEMP\mss9.tmp

C:\WINNT\TEMP\NSIS_SpywareSecure_repaironce_setup.exe

C:\WINNT\TEMP\NSIS_SpywareSecure_trial_setup.exe

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\16.tmp

c:\3.tmp

c:\A.tmp

C:\asdm3e.exe

C:\d3h3.exe

C:\dgkki.exe

C:\dki.exe

C:\jpgmon.exe

c:\my2.exe

C:\Program Files\Spyware-Secure

C:\Program Files\Spyware-Secure\config.s3db

C:\Program Files\Spyware-Secure\Gfx_fr.bin

C:\Program Files\Spyware-Secure\help\help_Trial_FR.zip

C:\Program Files\Spyware-Secure\help\help_Trial_FR\explo_intro.htm

C:\Program Files\Spyware-Secure\help\help_Trial_FR\explo_menu.htm

C:\Program Files\Spyware-Secure\help\help_Trial_FR\file.gif

C:\Program Files\Spyware-Secure\help\help_Trial_FR\folder.gif

C:\Program Files\Spyware-Secure\help\help_Trial_FR\folder_f.gif

C:\Program Files\Spyware-Secure\help\help_Trial_FR\folder_o.gif

C:\Program Files\Spyware-Secure\help\help_Trial_FR\hsxnkzhh.exe

C:\Program Files\Spyware-Secure\help\help_Trial_FR\images\fleche.gif

C:\Program Files\Spyware-Secure\help\help_Trial_FR\images\folder.gif

C:\Program Files\Spyware-Secure\help\help_Trial_FR\images\FR\dowload-file-antispyware.gif

C:\Program Files\Spyware-Secure\help\help_Trial_FR\images\FR\menu.gif

C:\Program Files\Spyware-Secure\help\help_Trial_FR\images\FR\scstep2.gif

C:\Program Files\Spyware-Secure\help\help_Trial_FR\images\key.gif

C:\Program Files\Spyware-Secure\help\help_Trial_FR\images\menu.gif

C:\Program Files\Spyware-Secure\help\help_Trial_FR\images\support.gif

C:\Program Files\Spyware-Secure\help\help_Trial_FR\images\title-hepfile.gif

C:\Program Files\Spyware-Secure\help\help_Trial_FR\index.htm

C:\Program Files\Spyware-Secure\help\help_Trial_FR\klljnnln.exe

C:\Program Files\Spyware-Secure\help\help_Trial_FR\ksxbjlhe.exe

C:\Program Files\Spyware-Secure\help\help_Trial_FR\menu3.js

C:\Program Files\Spyware-Secure\help\help_Trial_FR\rubs\3differentscan.htm

C:\Program Files\Spyware-Secure\help\help_Trial_FR\rubs\beebbntn.exe

C:\Program Files\Spyware-Secure\help\help_Trial_FR\rubs\brqjlrrn.exe

C:\Program Files\Spyware-Secure\help\help_Trial_FR\rubs\contactus.htm

C:\Program Files\Spyware-Secure\help\help_Trial_FR\rubs\ebqkvvhn.exe

C:\Program Files\Spyware-Secure\help\help_Trial_FR\rubs\found-objects.htm

C:\Program Files\Spyware-Secure\help\help_Trial_FR\rubs\hjwqxtzv.exe

C:\Program Files\Spyware-Secure\help\help_Trial_FR\rubs\lexic.htm

C:\Program Files\Spyware-Secure\help\help_Trial_FR\rubs\lsrcnkqq.exe

C:\Program Files\Spyware-Secure\help\help_Trial_FR\rubs\navigtabs.htm

C:\Program Files\Spyware-Secure\help\help_Trial_FR\rubs\quarantine.htm

C:\Program Files\Spyware-Secure\help\help_Trial_FR\rubs\register.htm

C:\Program Files\Spyware-Secure\help\help_Trial_FR\rubs\twwskkrl.exe

C:\Program Files\Spyware-Secure\help\help_Trial_FR\rubs\vsrbqlve.exe

C:\Program Files\Spyware-Secure\help\help_Trial_FR\spy.gif

C:\Program Files\Spyware-Secure\help\help_Trial_FR\trait_coud.gif

C:\Program Files\Spyware-Secure\help\help_Trial_FR\trait_droit.gif

C:\Program Files\Spyware-Secure\help\help_Trial_FR\trait_vert.gif

C:\Program Files\Spyware-Secure\language

C:\Program Files\Spyware-Secure\nbmw

C:\Program Files\Spyware-Secure\quarantine.s3db

C:\Program Files\Spyware-Secure\resources\cookies_1-8.dat

C:\Program Files\Spyware-Secure\resources\filesDesc_1-8.dat

C:\Program Files\Spyware-Secure\resources\filesDesc_1-8.dic

C:\Program Files\Spyware-Secure\resources\filesExt_1-8.dat

C:\Program Files\Spyware-Secure\resources\filesMulti_1-8.idx

C:\Program Files\Spyware-Secure\resources\filesSimple_1-8.idx

C:\Program Files\Spyware-Secure\resources\malwaresDB_1-8

C:\Program Files\Spyware-Secure\resources\register_1-8.dat

C:\Program Files\Spyware-Secure\resources\trad_demo_EN.txt

C:\Program Files\Spyware-Secure\resources\trad_demo_ES.txt

C:\Program Files\Spyware-Secure\resources\trad_demo_FR.txt

C:\Program Files\Spyware-Secure\skin

C:\Program Files\Spyware-Secure\Spyware-Secure.url

C:\Program Files\Spyware-Secure\Spyware-Secure_trial.exe

C:\Program Files\Spyware-Secure\sqlite3.dll

C:\Program Files\Spyware-Secure\uninst.exe

C:\Program Files\Spyware-Secure\unrar.dll

C:\WINNT\system\msnntlp.exe

C:\WINNT\system32\101.reg

C:\WINNT\system32\10355242ld.exe

C:\WINNT\system32\10418822ld.exe

C:\WINNT\system32\111.reg

C:\WINNT\system32\113.reg

C:\WINNT\system32\1204242ld.exe

C:\WINNT\system32\12124442ld.exe

C:\WINNT\system32\123.reg

C:\WINNT\system32\12465042ld.exe

C:\WINNT\system32\132.reg

C:\WINNT\system32\140.reg

C:\WINNT\system32\149.reg

C:\WINNT\system32\1502772ld.exe

C:\WINNT\system32\15399242ld.exe

C:\WINNT\system32\1617652ld.exe

C:\WINNT\system32\167.reg

C:\WINNT\system32\169.reg

C:\WINNT\system32\170.reg

C:\WINNT\system32\173.reg

C:\WINNT\system32\174.reg

C:\WINNT\system32\177.reg

C:\WINNT\system32\191.reg

C:\WINNT\system32\1955932ld.exe

C:\WINNT\system32\196.reg

C:\WINNT\system32\20132732ld.exe

C:\WINNT\system32\2036792ld.exe

C:\WINNT\system32\207.reg

C:\WINNT\system32\208452ld.exe

C:\WINNT\system32\212.reg

C:\WINNT\system32\213.reg

C:\WINNT\system32\214.reg

C:\WINNT\system32\21493012ld.exe

C:\WINNT\system32\2162672ld.exe

C:\WINNT\system32\2173062ld.exe

C:\WINNT\system32\22119342ld.exe

C:\WINNT\system32\22233732ld.exe

C:\WINNT\system32\223.reg

C:\WINNT\system32\226.reg

C:\WINNT\system32\23149672ld.exe

C:\WINNT\system32\234.reg

C:\WINNT\system32\24238322ld.exe

C:\WINNT\system32\246.reg

C:\WINNT\system32\265.reg

C:\WINNT\system32\267.reg

C:\WINNT\system32\274.reg

C:\WINNT\system32\27506752ld.exe

C:\WINNT\system32\27568822ld.exe

C:\WINNT\system32\28564002ld.exe

C:\WINNT\system32\288.reg

C:\WINNT\system32\292.reg

C:\WINNT\system32\30366462ld.exe

C:\WINNT\system32\30448212ld.exe

C:\WINNT\system32\311.reg

C:\WINNT\system32\3124912ld.exe

C:\WINNT\system32\31273862ld.exe

C:\WINNT\system32\31297322ld.exe

C:\WINNT\system32\313.reg

C:\WINNT\system32\31473952ld.exe

C:\WINNT\system32\3226432ld.exe

C:\WINNT\system32\32339512ld.exe

C:\WINNT\system32\331.reg

C:\WINNT\system32\332.reg

C:\WINNT\system32\33406272ld.exe

C:\WINNT\system32\335.reg

C:\WINNT\system32\34557652ld.exe

C:\WINNT\system32\3489352ld.exe

C:\WINNT\system32\355.reg

C:\WINNT\system32\357.reg

C:\WINNT\system32\359.reg

C:\WINNT\system32\361.reg

C:\WINNT\system32\37378652ld.exe

C:\WINNT\system32\380.reg

C:\WINNT\system32\38131102ld.exe

C:\WINNT\system32\38283302ld.exe

C:\WINNT\system32\39159592ld.exe

C:\WINNT\system32\392.reg

C:\WINNT\system32\39259952ld.exe

C:\WINNT\system32\410.reg

C:\WINNT\system32\41142632ld.exe

C:\WINNT\system32\41163992ld.exe

C:\WINNT\system32\41316552ld.exe

C:\WINNT\system32\41352302ld.exe

C:\WINNT\system32\41399692ld.exe

C:\WINNT\system32\41584632ld.exe

C:\WINNT\system32\424.reg

C:\WINNT\system32\42455602ld.exe

C:\WINNT\system32\425.reg

C:\WINNT\system32\426.reg

C:\WINNT\system32\4315232ld.exe

C:\WINNT\system32\432.reg

C:\WINNT\system32\44251512ld.exe

C:\WINNT\system32\44439912ld.exe

C:\WINNT\system32\448.reg

C:\WINNT\system32\450.reg

C:\WINNT\system32\451.reg

C:\WINNT\system32\45112102ld.exe

C:\WINNT\system32\463.reg

C:\WINNT\system32\466.reg

C:\WINNT\system32\48121172ld.exe

C:\WINNT\system32\484.reg

C:\WINNT\system32\48507072ld.exe

C:\WINNT\system32\49331272ld.exe

C:\WINNT\system32\5049742ld.exe

C:\WINNT\system32\51388012ld.exe

C:\WINNT\system32\51407302ld.exe

C:\WINNT\system32\51424032ld.exe

C:\WINNT\system32\51515892ld.exe

C:\WINNT\system32\518.reg

C:\WINNT\system32\524.reg

C:\WINNT\system32\52532342ld.exe

C:\WINNT\system32\5286112ld.exe

C:\WINNT\system32\530.reg

C:\WINNT\system32\5305572ld.exe

C:\WINNT\system32\53101842ld.exe

C:\WINNT\system32\532.reg

C:\WINNT\system32\533.reg

C:\WINNT\system32\54158782ld.exe

C:\WINNT\system32\5427252ld.exe

C:\WINNT\system32\54375322ld.exe

C:\WINNT\system32\55433642ld.exe

C:\WINNT\system32\555.reg

C:\WINNT\system32\559.reg

C:\WINNT\system32\56116462ld.exe

C:\WINNT\system32\569.reg

C:\WINNT\system32\578.reg

C:\WINNT\system32\58443862ld.exe

C:\WINNT\system32\59232662ld.exe

C:\WINNT\system32\59441252ld.exe

C:\WINNT\system32\606.reg

C:\WINNT\system32\610.reg

C:\WINNT\system32\611.reg

C:\WINNT\system32\615.reg

C:\WINNT\system32\618.reg

C:\WINNT\system32\625.reg

C:\WINNT\system32\630.reg

C:\WINNT\system32\632.reg

C:\WINNT\system32\645.reg

C:\WINNT\system32\656.reg

C:\WINNT\system32\659.reg

C:\WINNT\system32\665.reg

C:\WINNT\system32\703.reg

C:\WINNT\system32\728.reg

C:\WINNT\system32\751.reg

C:\WINNT\system32\766.reg

C:\WINNT\system32\769.reg

C:\WINNT\system32\772.reg

C:\WINNT\system32\782.reg

C:\WINNT\system32\796.reg

C:\WINNT\system32\804.reg

C:\WINNT\system32\813.reg

C:\WINNT\system32\817.reg

C:\WINNT\system32\822.reg

C:\WINNT\system32\824.reg

C:\WINNT\system32\832.reg

C:\WINNT\system32\833.reg

C:\WINNT\system32\841.reg

C:\WINNT\system32\846.reg

C:\WINNT\system32\861.reg

C:\WINNT\system32\867.reg

C:\WINNT\system32\880.reg

C:\WINNT\system32\883.reg

C:\WINNT\system32\908.reg

C:\WINNT\system32\915.reg

C:\WINNT\system32\9217032ld.exe

C:\WINNT\system32\9497962ld.exe

C:\WINNT\system32\953.reg

C:\WINNT\system32\9556952ld.exe

C:\WINNT\system32\974.reg

C:\WINNT\system32\975.reg

C:\WINNT\system32\982.reg

C:\WINNT\system32\998.reg

C:\WINNT\system32\dllcache\ivchost.exe

C:\WINNT\system32\efcyxya.dll

c:\winnt\system32\IE5.exe

C:\WINNT\system32\nopoq.ini

C:\WINNT\system32\qopon.dll

C:\WINNT\system32\Tilecomfree.com

C:\WINNT\system32\urdvxc.exe

 

.

((((((((((((((((((((((((((((( Fichiers créés 2007-09-07 to 2007-10-07 ))))))))))))))))))))))))))))))))))))

.

 

2007-10-07 22:41 <DIR> d-------- C:\WINNT\system32\AVGUARD_470e0eb9

2007-10-07 12:42 51,200 --a------ C:\WINNT\NirCmd.exe

2007-10-07 12:24 17,920 --a------ C:\WINNT\system32\reg.exe

2007-10-07 12:23 <DIR> d-------- C:\Program Files\Navilog1

2007-10-07 11:32 <DIR> d-------- C:\Program Files\Trend Micro

2007-10-07 09:11 <DIR> d-------- C:\WINNT\system32\AVGUARD_470e7c30

2007-10-07 00:43 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic

2007-10-06 19:34 <DIR> d-------- C:\Program Files\Hijackthis Version Fran‡aise

2007-09-07 22:00 45,116 --a------ C:\WINNT\system32162432ld.exe

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

07-10-07 22:43 --------- d-------- C:\Documents and Settings\user\Application Data\OpenOffice.org2

07-10-07 12:42 12977 --a------ C:\WINNT\system32\704.reg

07-10-07 12:42 12769 --a------ C:\WINNT\system32\294.reg

07-10-07 12:42 12713 --a------ C:\WINNT\system32\205.reg

07-10-07 12:42 12453 --a------ C:\WINNT\system32\523.reg

07-10-07 12:42 12413 --a------ C:\WINNT\system32\329.reg

07-10-07 12:42 12245 --a------ C:\WINNT\system32\106.reg

07-10-07 12:42 12054 --a------ C:\WINNT\system32\155.reg

07-10-07 12:42 11696 --a------ C:\WINNT\system32\737.reg

07-10-07 12:42 11552 --a------ C:\WINNT\system32\441.reg

07-10-07 12:42 11544 --a------ C:\WINNT\system32\903.reg

07-10-07 12:42 11061 --a------ C:\WINNT\system32\958.reg

07-10-07 12:42 10900 --a------ C:\WINNT\system32\834.reg

07-10-07 12:42 10562 --a------ C:\WINNT\system32\107.reg

07-10-07 12:41 13684 --a------ C:\WINNT\system32\967.reg

07-10-07 12:41 13117 --a------ C:\WINNT\system32\966.reg

07-10-07 12:41 13064 --a------ C:\WINNT\system32\619.reg

07-10-07 12:41 12330 --a------ C:\WINNT\system32\587.reg

07-10-07 12:41 11860 --a------ C:\WINNT\system32\938.reg

07-10-07 12:41 10184 --a------ C:\WINNT\system32\247.reg

07-10-07 12:34 13618 --a------ C:\WINNT\system32\297.reg

07-10-07 12:34 13612 --a------ C:\WINNT\system32\855.reg

07-10-07 12:34 13554 --a------ C:\WINNT\system32\281.reg

07-10-07 12:34 13353 --a------ C:\WINNT\system32\488.reg

07-10-07 12:34 13221 --a------ C:\WINNT\system32\604.reg

07-10-07 12:34 13072 --a------ C:\WINNT\system32\458.reg

07-10-07 12:34 13065 --a------ C:\WINNT\system32\527.reg

07-10-07 12:34 12959 --a------ C:\WINNT\system32\866.reg

07-10-07 12:34 12953 --a------ C:\WINNT\system32\810.reg

07-10-07 12:34 12874 --a------ C:\WINNT\system32\564.reg

07-10-07 12:34 12643 --a------ C:\WINNT\system32\554.reg

07-10-07 12:34 12072 --a------ C:\WINNT\system32\296.reg

07-10-07 12:34 11401 --a------ C:\WINNT\system32\890.reg

07-10-07 12:34 11166 --a------ C:\WINNT\system32\422.reg

07-10-07 12:34 10919 --a------ C:\WINNT\system32\486.reg

07-10-07 12:33 11970 --a------ C:\WINNT\system32\840.reg

07-10-07 12:33 11969 --a------ C:\WINNT\system32\743.reg

07-10-07 12:32 13594 --a------ C:\WINNT\system32\929.reg

07-10-07 12:32 11857 --a------ C:\WINNT\system32\987.reg

07-10-07 12:31 13272 --a------ C:\WINNT\system32\236.reg

07-10-07 12:31 13048 --a------ C:\WINNT\system32\898.reg

07-10-07 12:31 12842 --a------ C:\WINNT\system32\284.reg

07-10-07 12:31 11546 --a------ C:\WINNT\system32\811.reg

07-10-07 12:31 10694 --a------ C:\WINNT\system32\277.reg

07-10-07 12:30 14183 --a------ C:\WINNT\system32\327.reg

07-10-07 12:30 13332 --a------ C:\WINNT\system32\677.reg

07-10-07 12:30 13051 --a------ C:\WINNT\system32\244.reg

07-10-07 12:30 12717 --a------ C:\WINNT\system32\663.reg

07-10-07 12:30 12592 --a------ C:\WINNT\system32\997.reg

07-10-07 12:30 12366 --a------ C:\WINNT\system32\202.reg

07-10-07 12:30 12276 --a------ C:\WINNT\system32\640.reg

07-10-07 12:30 12255 --a------ C:\WINNT\system32\241.reg

07-10-07 12:30 12204 --a------ C:\WINNT\system32\150.reg

07-10-07 12:30 11970 --a------ C:\WINNT\system32\864.reg

07-10-07 12:30 11573 --a------ C:\WINNT\system32\717.reg

07-10-07 12:30 11204 --a------ C:\WINNT\system32\905.reg

07-10-07 12:30 11182 --a------ C:\WINNT\system32\583.reg

07-10-07 12:30 11131 --a------ C:\WINNT\system32\475.reg

07-10-07 12:30 11015 --a------ C:\WINNT\system32\598.reg

07-10-07 12:29 15036 --a------ C:\WINNT\system32\768.reg

07-10-07 12:29 13379 --a------ C:\WINNT\system32\899.reg

07-10-07 12:29 13250 --a------ C:\WINNT\system32\348.reg

07-10-07 12:29 13182 --a------ C:\WINNT\system32\666.reg

07-10-07 12:29 12795 --a------ C:\WINNT\system32\725.reg

07-10-07 12:29 12562 --a------ C:\WINNT\system32\119.reg

07-10-07 12:29 12212 --a------ C:\WINNT\system32\473.reg

07-10-07 12:29 12203 --a------ C:\WINNT\system32\504.reg

07-10-07 12:29 12178 --a------ C:\WINNT\system32\461.reg

07-10-07 12:29 12056 --a------ C:\WINNT\system32\385.reg

07-10-07 12:29 11860 --a------ C:\WINNT\system32\184.reg

07-10-07 12:29 11563 --a------ C:\WINNT\system32\642.reg

07-10-07 12:29 11052 --a------ C:\WINNT\system32\624.reg

07-10-07 12:29 10360 --a------ C:\WINNT\system32\676.reg

07-10-07 12:28 14599 --a------ C:\WINNT\system32\809.reg

07-10-07 12:28 13074 --a------ C:\WINNT\system32\503.reg

07-10-07 12:28 13045 --a------ C:\WINNT\system32\168.reg

07-10-07 12:28 12845 --a------ C:\WINNT\system32\121.reg

07-10-07 12:28 12737 --a------ C:\WINNT\system32\845.reg

07-10-07 12:28 12548 --a------ C:\WINNT\system32\141.reg

07-10-07 12:28 12459 --a------ C:\WINNT\system32\831.reg

07-10-07 12:28 12182 --a------ C:\WINNT\system32\955.reg

07-10-07 12:28 12152 --a------ C:\WINNT\system32\773.reg

07-10-07 12:28 12026 --a------ C:\WINNT\system32\856.reg

07-10-07 12:28 11970 --a------ C:\WINNT\system32\825.reg

07-10-07 12:28 11465 --a------ C:\WINNT\system32\360.reg

07-10-07 12:28 10734 --a------ C:\WINNT\system32\572.reg

07-10-07 12:28 10690 --a------ C:\WINNT\system32\176.reg

07-10-07 12:28 10570 --a------ C:\WINNT\system32\758.reg

07-10-07 12:28 10446 --a------ C:\WINNT\system32\352.reg

07-10-07 12:27 13272 --a------ C:\WINNT\system32\552.reg

07-10-07 12:27 13250 --a------ C:\WINNT\system32\308.reg

07-10-07 12:27 12539 --a------ C:\WINNT\system32\731.reg

07-10-07 12:27 11699 --a------ C:\WINNT\system32\718.reg

07-10-07 12:27 11371 --a------ C:\WINNT\system32\423.reg

07-10-07 12:27 11175 --a------ C:\WINNT\system32\266.reg

07-10-07 12:26 13092 --a------ C:\WINNT\system32\558.reg

07-10-07 12:26 12195 --a------ C:\WINNT\system32\562.reg

07-10-07 12:26 11909 --a------ C:\WINNT\system32\917.reg

07-10-07 12:26 11879 --a------ C:\WINNT\system32\160.reg

07-10-07 12:26 11042 --a------ C:\WINNT\system32\342.reg

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"@"="" []

"Synchronization Manager"="mobsync.exe" [03-06-23 15:00 C:\WINNT\system32\mobsync.exe]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe" [05-08-26 20:14 ]

"MessagerStarter Wanadoo"="C:\PROGRA~1\MESSAG~1\StartMessager.exe" [03-01-10 11:08 ]

"RealTray"="C:\Program Files\Real\RealPlayer\RealPlay.exe" [07-06-20 19:19 ]

"MRT"="C:\WINNT\system32\MRT.exe" [07-06-05 23:38 ]

"movies"="c:\winnt\system32\IE5.exe" []

"ISPSERVICE"="c:\winnt\system32\iexplorer.exe" []

"TileFree"="Tilecomfree.com" []

"Windows Server Peer Verification Service"="c:\3.tmp *" []

"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [06-01-18 15:52 ]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"internat.exe"="internat.exe" [03-06-23 15:00 C:\WINNT\system32\internat.exe]

"Microsoft NetMeeting"="C:\Program Files\NetMeeting\conf.exe" [03-06-23 15:00 ]

"Windows Service Agent"="fixin.exe" []

"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [05-06-14 17:05 ]

"Windows LoL Layer"="zmlguap.exe" []

"Windows Server Client Verification Service"="C:\WINNT\TEMP\mss9.tmp *" []

"Windows Server Peer Verification Service"="c:\3.tmp *" []

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]

"TileFree"=Tilecomfree.com

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]

"^SetupICWDesktop"=C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]

"<NO NAME>"=

"internat.exe"=internat.exe

"Windows Server Peer Verification Service"="c:\my2.exe" *

"Windows Server Client Verification Service"="C:\WINNT\TEMP\mss9.tmp" *

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\efcyxya]

efcyxya.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nwprovau]

nwprovau.dll 06-09-01 08:49 143632 C:\WINNT\system32\NWPROVAU.DLL

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

"Authentication Packages"= msv1_0 nwprovau

 

R0 avgntmgr;avgntmgr;C:\WINNT\system32\drivers\avgntmgr.sys

R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys

R1 fwdrv;Firewall Driver;C:\WINNT\system32\drivers\fwdrv.sys

R1 khips;Kerio HIPS Driver;C:\WINNT\system32\drivers\khips.sys

R2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe"

R3 EL90BC;Pilote de carte 3Com EtherLink XL B/C;C:\WINNT\system32\DRIVERS\el90xbc5.sys

S2 mshexdefx;ms hexidecimal defx;"C:\WINNT\system32\dllcache\ivchost.exe"

S2 msnntlp;msnntlp;"C:\WINNT\system\msnntlp.exe"

S2 MSWindows;Network Windows Service;"C:\WINNT\system32\urdvxc.exe" /service

S3 ichaud;Service pour pilote AC'97 (WDM);C:\WINNT\system32\drivers\ichaud.sys

 

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2007-09-30 15:52:04 C:\WINNT\Tasks\AOL Compagnon.job"

- C:\PROGRA~1\AOLCOM~1\COMPAN~1.EXE

.

**************************************************************************

 

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-10-07 22:42:11

Windows 5.0.2195 Service Pack 4 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2007-10-07 22:45:00 - machine was rebooted

C:\ComboFix-quarantined-files.txt ... 07-10-07 22:44

C:\ComboFix2.txt ... 07-10-07 21:41

C:\ComboFix3.txt ... 07-10-07 13:01

.

--- E O F ---

Merci encore!!!!!