Connexion Internet ne fonctionne plus

[Bailing]

Merci,

J'ai refait la deuxième étape.

Voici le 1er rapport

 

WINSeeker 1.0 - bibi26

 

Fichier/dossier recherché : Aucun

Date recherchée : Aucune (jj/mm/aaaa)

Analyse des fichiers

 

--> Analyse des fichiers

 

- [Fichier introuvable] c:/.exe

 

--> Fin du rapport

 

le deuxième :

WINSeeker 1.0 - bibi26

 

Fichier/dossier recherché : .exe

Date recherchée : Aucune (jj/mm/aaaa)

Répertoire à scanner : C: (Non récursif)

 

--> Fichiers/Dossiers trouvés

 

- [Créé le 18/06/2007 17:17:55] [MD5 : -] [sHA-1 : -] [----d] C:\.exe

 

--> Fin du rapport

 

et le rapport HijackThis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:53:22, on 10/10/2007

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\mnmsrvc.exe

C:\WINNT\system32\MSTask.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\WINNT\wanmpsvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\WINNT\system32\internat.exe

C:\Program Files\NetMeeting\conf.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN

C:\WINNT\system32\NOTEPAD.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:110

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [Microsoft NetMeeting] "C:\Program Files\NetMeeting\conf.exe" -Background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')

O4 - Startup: ExtConfig.lnk = C:\Program Files\LibertySurf\Config\CONFIG.INI

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: Icône AOL.lnk = C:\Program Files\AOL 7.0\aoltray.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM95\AIM.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\system32\Shdocvw.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll

O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://s.tf1.fr/mmdia/static/rawflow/clien...1.0/Rawflow.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab56986.cab

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINNT\wanmpsvc.exe

 

--

End of file - 5142 bytes

[Gof]

Re

 

Bien, bonne manipulation J'ai eu l'information que je désirais sur un fichier... qui s'avère être un répertoire !

 

Supprime le fichier texte CFScript.txt si encore présent sur ton bureau. Je vais t'en faire télécharger un autre.

 

Télécharge CFScript.txt et enregistre le sur ton bureau.

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
   
  
  
• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
  

Par ce script je te fais supprimer encore des fichiers/répertoires et clés liés aux infections.

 

Une fois l'outil passé et que tu as redémarré le pc.

 

Rends toi sur ce répertoire : c:\Qoobox et crée une archive zip (ou cab) sur ton bureau. Fais le moi parvenir de cette manière la :

 

Rends toi sur ce lien : http://www.mytempdir.com/.

• Clique sur Parcourir.
  
• Une fenêtre va s'ouvrir, pointe jusque sur le fichier zip qui nous intéresse.
  
• Clique sur Host it.
  
• Une nouvelle page va s'ouvrir.
  
• Fais moi parvenir en message privé, via mon profil dans le forum le lien se trouvant sous cette indication : Link to the file:.
  
• Et le lien suivant, se trouvant sous cette indication : To remove this file from our server use this link:. Note le également de sorte de le retrouver facilement par la suite quand si on en a encore besoin.
  

Ne poste pas le lien sur le forum stp.

 

Si l'archive est trop volumineuse, et que tu ne peux pas la "charger" sur le lien donné. Essaie sur celui-ci : http://dl-b.free.fr/.

 

Tu te l'envoies à toi même de sorte de récupérer l'adresse de téléchargement, que tu me communiqueras par privé via mon profil. Sur ce dernier lien tu peux ajouter un mot de passe, n'hésite pas (mais donne le moi ) .

 

En me permettant de récupérer ces fichiers, je pourrais les distribuer à tout ce petit monde qui les décortique afin de mettre les outils à jour. En cas de soucis, n'hésite pas à demander. Je file pour ce soir, à demain

[Gof]

Bonsoir Bailing

 

J'ai bien reçu le fichier RAR, je te remercie

 

As tu le dernier rapport combofix suite au dernier script ?

[Bailing]

Bonsoir Gof,

Voici le rapport Combofix :

ComboFix 07-10-07.1 - user 11/10/2007 0:15:39.7 - NTFSx86

Microsoft Windows 2000 Professionnel 5.0.2195.4.1252.1.1036.18.79 [GMT 3:00]

Running from: C:\Documents and Settings\user\Bureau\ComboFix.exe

Command switches used :: E:\CFScript.txt

 

FILE::

C:\WINNT\Help\vkrlrxeb.exe

C:\WINNT\system32\78488f2c91.exe

C:\WINNT\system32\rqrolli.exe

C:\WINNT\system32162432ld.exe

C:\WINNT\system32399162ld.exe

.

[Gof]

Re

 

Le rapport n'est pas complet Bailing, tu as du faire une fausse manip' sur le copier-coller

[Bailing]

J'ai recommencé le processus et voici le rapport :

ComboFix 07-10-07.1 - user 2007-10-11 21:03:28.8 - NTFSx86

Microsoft Windows 2000 Professionnel 5.0.2195.4.1252.1.1036.18.82 [GMT 3:00]

Running from: C:\Documents and Settings\user\Bureau\ComboFix.exe

Command switches used :: E:\CFScript_used_jeu. 11-10-2007@0.15.txt

 

FILE::

C:\WINNT\Help\vkrlrxeb.exe

C:\WINNT\system32\78488f2c91.exe

C:\WINNT\system32\rqrolli.exe

C:\WINNT\system32162432ld.exe

C:\WINNT\system32399162ld.exe

.

 

((((((((((((((((((((((((((((( Fichiers créés 2007-09-11 to 2007-10-11 ))))))))))))))))))))))))))))))))))))

.

 

2007-10-11 21:03 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_378.dat

2007-10-11 21:00 <DIR> d-------- C:\WINNT\system32\AVGUARD_4711d8b3

2007-10-11 00:15 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_394.dat

2007-10-10 22:35 <DIR> d-------- C:\WINNT\system32\AVGUARD_4710558c

2007-10-09 23:05 <DIR> d-------- C:\VundoFix Backups

2007-10-08 14:54 <DIR> d-------- C:\WINNT\ERUNT

2007-10-07 12:42 51,200 --a------ C:\WINNT\NirCmd.exe

2007-10-07 12:24 17,920 --a------ C:\WINNT\system32\reg.exe

2007-10-07 12:23 <DIR> d-------- C:\Program Files\Navilog1

2007-10-07 11:32 <DIR> d-------- C:\Program Files\Trend Micro

2007-10-07 09:11 <DIR> d-------- C:\WINNT\system32\AVGUARD_470e7c30

2007-10-07 00:43 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic

2007-10-06 19:34 <DIR> d-------- C:\Program Files\Hijackthis Version Fran‡aise

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

07-10-11 21:01 --------- d-------- C:\Documents and Settings\user\Application Data\OpenOffice.org2

07-10-08 14:49 10817371 --a------ C:\WINNT\system32\drivers\fwdrv.err

07-09-07 22:00 45116 --a------ C:\WINNT\system32162432ld.exe

07-08-28 19:00 45116 --a------ C:\WINNT\system32399162ld.exe

07-08-28 14:25 --------- d-------- C:\Program Files\MSN Messenger

07-08-28 13:33 --------- d-------- C:\Program Files\Yahoo!

07-08-21 20:33 157696 --a------ C:\WINNT\system32\fx.exe

07-07-30 19:19 92504 --a------ C:\WINNT\system32\cdm.dll

07-07-30 19:19 549720 --a------ C:\WINNT\system32\wuapi.dll

07-07-30 19:19 53080 --a------ C:\WINNT\system32\wuauclt.exe

07-07-30 19:19 43352 --a------ C:\WINNT\system32\wups2.dll

07-07-30 19:19 325976 --a------ C:\WINNT\system32\wucltui.dll

07-07-30 19:19 203096 --a------ C:\WINNT\system32\wuweb.dll

07-07-30 19:19 1712984 --a------ C:\WINNT\system32\wuaueng.dll

07-07-30 19:18 33624 --a------ C:\WINNT\system32\wups.dll

04-12-13 15:07 271 ---h----- C:\Program Files\desktop.ini

04-12-13 15:07 22115 ---h----- C:\Program Files\folder.htt

03-06-23 15:00 32528 --a------ C:\WINNT\inf\wbfirdma.sys

--------- C:\Program Files\Hijackthis Version Française

.

 

((((((((((((((((((((((((((((( snapshot@dim. 2007-10-07_13.00.19.32 )))))))))))))))))))))))))))))))))))))))))

.

----a-w 163,328 2007-09-27 19:03:23 C:\WINNT\ERUNT\SDFIX\ERDNT.EXE

----a-w 937,984 2007-10-08 11:54:32 C:\WINNT\ERUNT\SDFIX\Users000001\NTUSER.DAT

----a-w 8,192 2007-10-08 11:54:32 C:\WINNT\ERUNT\SDFIX\Users000002\UsrClass.dat

----a-w 163,328 2007-09-27 19:03:23 C:\WINNT\ERUNT\SDFIX_First_Run\ERDNT.EXE

----a-w 937,984 2007-10-08 11:54:26 C:\WINNT\ERUNT\SDFIX_First_Run\Users000001\NTUSER.DAT

----a-w 8,192 2007-10-08 11:54:26 C:\WINNT\ERUNT\SDFIX_First_Run\Users000002\UsrClass.dat

.

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Synchronization Manager"="mobsync.exe" [03-06-23 15:00 C:\WINNT\system32\mobsync.exe]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"internat.exe"="internat.exe" [03-06-23 15:00 C:\WINNT\system32\internat.exe]

"Microsoft NetMeeting"="C:\Program Files\NetMeeting\conf.exe" [03-06-23 15:00 ]

"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [05-06-14 17:05 ]

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]

"^SetupICWDesktop"=C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]

"internat.exe"=internat.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nwprovau]

nwprovau.dll 06-09-01 08:49 143632 C:\WINNT\system32\NWPROVAU.DLL

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

"Authentication Packages"= msv1_0 nwprovau

 

R0 avgntmgr;avgntmgr;C:\WINNT\system32\drivers\avgntmgr.sys

R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys

R1 fwdrv;Firewall Driver;C:\WINNT\system32\drivers\fwdrv.sys

R1 khips;Kerio HIPS Driver;C:\WINNT\system32\drivers\khips.sys

R2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe"

R3 EL90BC;Pilote de carte 3Com EtherLink XL B/C;C:\WINNT\system32\DRIVERS\el90xbc5.sys

S3 ichaud;Service pour pilote AC'97 (WDM);C:\WINNT\system32\drivers\ichaud.sys

 

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2007-09-30 15:52:04 C:\WINNT\Tasks\AOL Compagnon.job"

- C:\PROGRA~1\AOLCOM~1\COMPAN~1.EXE

.

**************************************************************************

 

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-10-11 21:06:05

Windows 5.0.2195 Service Pack 4 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2007-10-11 21:07:31

C:\ComboFix-quarantined-files.txt ... 07-10-11 21:07

C:\ComboFix2.txt ... 07-10-09 00:08

C:\ComboFix3.txt ... 07-10-08 15:20

.

--- E O F ---

[Gof]

Bonjour Bailing

 

Désolé de ne répondre que maintenant, ma fin de semaine fut chargée.

 

Si je ne me trompe pas, ce dernier rapport est le 5. Chaque rapport est en effet sauvegardé avec un numéro à la racine de ton disque :

(...)

C:\ComboFix2.txt ... 07-10-09 00:08

C:\ComboFix3.txt ... 07-10-08 15:20 (...)

 

Peux tu regarder si le 4 est présent, et me poster le 4 et 5 que je regarde s'il te plait ?

 

On va en profiter pour faire un point. Explique moi quels sont les disfonctionnements et désagréments que tu constates toujour présents à ton niveau.

[Bailing]

Bonjour Gof ,

ne t'en fais pas. je mettrai le temps qu'il faudra pour faire fonctionner ce PC. En plus, ça me permet d'apprendre et j'éviterai par la suite les mêmes problèmes .

 

Bon passons aux choses sérieuses. Les problèmes qui sont toujours présents sont les suivants (au démarrage uniquement).

 

- Le Bloc note s'ouvre avec un fichier nommé Config. Mais, il n' y a rien dedans;

- Message de Netmeeting : "Annuaire ne peut se connecter au serveur". Je ne veux plus que ce programme apparaisse au démarrage.

 

Voici le rapport 4

ComboFix 07-10-07.1 - user 08/10/2007 10:37:38.4 - NTFSx86

Microsoft Windows 2000 Professionnel 5.0.2195.4.1252.1.1036.18.74 [GMT 3:00]

Running from: C:\Documents and Settings\user\Bureau\ComboFix.exe

Command switches used :: E:\CFScript-1.txt

 

FILE::

c:\3.tmp

c:\my2.exe

C:\WINNT\system\msnntlp.exe

C:\WINNT\system32\106.reg

C:\WINNT\system32\107.reg

C:\WINNT\system32\119.reg

C:\WINNT\system32\121.reg

C:\WINNT\system32\141.reg

C:\WINNT\system32\150.reg

C:\WINNT\system32\155.reg

C:\WINNT\system32\160.reg

C:\WINNT\system32\168.reg

C:\WINNT\system32\176.reg

C:\WINNT\system32\184.reg

C:\WINNT\system32\202.reg

C:\WINNT\system32\205.reg

C:\WINNT\system32\236.reg

C:\WINNT\system32\241.reg

C:\WINNT\system32\244.reg

C:\WINNT\system32\247.reg

C:\WINNT\system32\266.reg

C:\WINNT\system32\277.reg

C:\WINNT\system32\281.reg

C:\WINNT\system32\284.reg

C:\WINNT\system32\294.reg

C:\WINNT\system32\296.reg

C:\WINNT\system32\297.reg

C:\WINNT\system32\308.reg

C:\WINNT\system32\327.reg

C:\WINNT\system32\329.reg

C:\WINNT\system32\342.reg

C:\WINNT\system32\348.reg

C:\WINNT\system32\352.reg

C:\WINNT\system32\360.reg

C:\WINNT\system32\385.reg

C:\WINNT\system32\422.reg

C:\WINNT\system32\423.reg

C:\WINNT\system32\441.reg

C:\WINNT\system32\458.reg

C:\WINNT\system32\461.reg

C:\WINNT\system32\473.reg

C:\WINNT\system32\475.reg

C:\WINNT\system32\486.reg

C:\WINNT\system32\488.reg

C:\WINNT\system32\503.reg

C:\WINNT\system32\504.reg

C:\WINNT\system32\523.reg

C:\WINNT\system32\527.reg

C:\WINNT\system32\552.reg

C:\WINNT\system32\554.reg

C:\WINNT\system32\558.reg

C:\WINNT\system32\562.reg

C:\WINNT\system32\564.reg

C:\WINNT\system32\572.reg

C:\WINNT\system32\583.reg

C:\WINNT\system32\587.reg

C:\WINNT\system32\598.reg

C:\WINNT\system32\604.reg

C:\WINNT\system32\619.reg

C:\WINNT\system32\624.reg

C:\WINNT\system32\640.reg

C:\WINNT\system32\642.reg

C:\WINNT\system32\663.reg

C:\WINNT\system32\666.reg

C:\WINNT\system32\676.reg

C:\WINNT\system32\677.reg

C:\WINNT\system32\704.reg

C:\WINNT\system32\717.reg

C:\WINNT\system32\718.reg

C:\WINNT\system32\725.reg

C:\WINNT\system32\731.reg

C:\WINNT\system32\737.reg

C:\WINNT\system32\743.reg

C:\WINNT\system32\758.reg

C:\WINNT\system32\768.reg

C:\WINNT\system32\773.reg

C:\WINNT\system32\809.reg

C:\WINNT\system32\810.reg

C:\WINNT\system32\811.reg

C:\WINNT\system32\825.reg

C:\WINNT\system32\831.reg

C:\WINNT\system32\834.reg

C:\WINNT\system32\840.reg

C:\WINNT\system32\845.reg

C:\WINNT\system32\855.reg

C:\WINNT\system32\856.reg

C:\WINNT\system32\864.reg

C:\WINNT\system32\866.reg

C:\WINNT\system32\890.reg

C:\WINNT\system32\898.reg

C:\WINNT\system32\899.reg

C:\WINNT\system32\903.reg

C:\WINNT\system32\905.reg

C:\WINNT\system32\917.reg

C:\WINNT\system32\929.reg

C:\WINNT\system32\938.reg

C:\WINNT\system32\955.reg

C:\WINNT\system32\958.reg

C:\WINNT\system32\966.reg

C:\WINNT\system32\967.reg

C:\WINNT\system32\987.reg

C:\WINNT\system32\997.reg

C:\WINNT\system32\dllcache\ivchost.exe

c:\winnt\system32\IE5.exe

c:\winnt\system32\iexplorer.exe

C:\WINNT\system32\urdvxc.exe

C:\WINNT\system32162432ld.exe

C:\WINNT\TEMP\mss9.tmp

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINNT\system32\106.reg

C:\WINNT\system32\107.reg

C:\WINNT\system32\119.reg

C:\WINNT\system32\121.reg

C:\WINNT\system32\141.reg

C:\WINNT\system32\150.reg

C:\WINNT\system32\155.reg

C:\WINNT\system32\160.reg

C:\WINNT\system32\168.reg

C:\WINNT\system32\176.reg

C:\WINNT\system32\184.reg

C:\WINNT\system32\202.reg

C:\WINNT\system32\205.reg

C:\WINNT\system32\236.reg

C:\WINNT\system32\241.reg

C:\WINNT\system32\244.reg

C:\WINNT\system32\247.reg

C:\WINNT\system32\266.reg

C:\WINNT\system32\277.reg

C:\WINNT\system32\281.reg

C:\WINNT\system32\284.reg

C:\WINNT\system32\294.reg

C:\WINNT\system32\296.reg

C:\WINNT\system32\297.reg

C:\WINNT\system32\308.reg

C:\WINNT\system32\327.reg

C:\WINNT\system32\329.reg

C:\WINNT\system32\342.reg

C:\WINNT\system32\348.reg

C:\WINNT\system32\352.reg

C:\WINNT\system32\360.reg

C:\WINNT\system32\385.reg

C:\WINNT\system32\422.reg

C:\WINNT\system32\423.reg

C:\WINNT\system32\441.reg

C:\WINNT\system32\458.reg

C:\WINNT\system32\461.reg

C:\WINNT\system32\473.reg

C:\WINNT\system32\475.reg

C:\WINNT\system32\486.reg

C:\WINNT\system32\488.reg

C:\WINNT\system32\503.reg

C:\WINNT\system32\504.reg

C:\WINNT\system32\523.reg

C:\WINNT\system32\527.reg

C:\WINNT\system32\552.reg

C:\WINNT\system32\554.reg

C:\WINNT\system32\558.reg

C:\WINNT\system32\562.reg

C:\WINNT\system32\564.reg

C:\WINNT\system32\572.reg

C:\WINNT\system32\583.reg

C:\WINNT\system32\587.reg

C:\WINNT\system32\598.reg

C:\WINNT\system32\604.reg

C:\WINNT\system32\619.reg

C:\WINNT\system32\624.reg

C:\WINNT\system32\640.reg

C:\WINNT\system32\642.reg

C:\WINNT\system32\663.reg

C:\WINNT\system32\666.reg

C:\WINNT\system32\676.reg

C:\WINNT\system32\677.reg

C:\WINNT\system32\704.reg

C:\WINNT\system32\717.reg

C:\WINNT\system32\718.reg

C:\WINNT\system32\725.reg

C:\WINNT\system32\731.reg

C:\WINNT\system32\737.reg

C:\WINNT\system32\743.reg

C:\WINNT\system32\758.reg

C:\WINNT\system32\768.reg

C:\WINNT\system32\773.reg

C:\WINNT\system32\809.reg

C:\WINNT\system32\810.reg

C:\WINNT\system32\811.reg

C:\WINNT\system32\825.reg

C:\WINNT\system32\831.reg

C:\WINNT\system32\834.reg

C:\WINNT\system32\840.reg

C:\WINNT\system32\845.reg

C:\WINNT\system32\855.reg

C:\WINNT\system32\856.reg

C:\WINNT\system32\864.reg

C:\WINNT\system32\866.reg

C:\WINNT\system32\890.reg

C:\WINNT\system32\898.reg

C:\WINNT\system32\899.reg

C:\WINNT\system32\903.reg

C:\WINNT\system32\905.reg

C:\WINNT\system32\917.reg

C:\WINNT\system32\929.reg

C:\WINNT\system32\938.reg

C:\WINNT\system32\955.reg

C:\WINNT\system32\958.reg

C:\WINNT\system32\966.reg

C:\WINNT\system32\967.reg

C:\WINNT\system32\987.reg

C:\WINNT\system32\997.reg

 

.

((((((((((((((((((((((((((((( Fichiers créés 2007-09-08 to 2007-10-08 ))))))))))))))))))))))))))))))))))))

.

 

2007-10-08 10:37 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_3ec.dat

2007-10-08 10:33 <DIR> d-------- C:\WINNT\system32\AVGUARD_4710aa70

2007-10-07 12:42 51,200 --a------ C:\WINNT\NirCmd.exe

2007-10-07 12:24 17,920 --a------ C:\WINNT\system32\reg.exe

2007-10-07 12:23 <DIR> d-------- C:\Program Files\Navilog1

2007-10-07 11:32 <DIR> d-------- C:\Program Files\Trend Micro

2007-10-07 09:11 <DIR> d-------- C:\WINNT\system32\AVGUARD_470e7c30

2007-10-07 00:43 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic

2007-10-06 19:34 <DIR> d-------- C:\Program Files\Hijackthis Version Fran‡aise

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

31/08/07 21:39 45116 --a------ C:\WINNT\system32\38595172ld.exe

31/08/07 21:28 45116 --a------ C:\WINNT\system32\28457852ld.exe

31/08/07 21:18 45116 --a------ C:\WINNT\system32\18366692ld.exe

31/08/07 20:44 45116 --a------ C:\WINNT\system32\43593562ld.exe

31/08/07 20:33 45116 --a------ C:\WINNT\system32\33444522ld.exe

31/08/07 10:23 45116 --a------ C:\WINNT\system32\2329032ld.exe

31/08/07 10:12 45116 --a------ C:\WINNT\system32\1253672ld.exe

31/08/07 10:02 45116 --a------ C:\WINNT\system32\2428092ld.exe

31/08/07 09:52 45116 --a------ C:\WINNT\system32\52346552ld.exe

31/08/07 09:42 45116 --a------ C:\WINNT\system32\42265102ld.exe

31/08/07 09:32 45116 --a------ C:\WINNT\system32\32189662ld.exe

31/08/07 09:22 45116 --a------ C:\WINNT\system32\2211322ld.exe

31/08/07 09:12 45116 --a------ C:\WINNT\system32\1205342ld.exe

31/08/07 09:01 45116 --a------ C:\WINNT\system32\1499972ld.exe

31/08/07 08:51 45116 --a------ C:\WINNT\system32\51425532ld.exe

31/08/07 08:41 45116 --a------ C:\WINNT\system32\41304932ld.exe

31/08/07 08:31 45116 --a------ C:\WINNT\system32\31223182ld.exe

31/07/07 16:31 68608 --a------ C:\ahee.exe

30/08/07 20:47 45116 --a------ C:\WINNT\system32\47486762ld.exe

30/08/07 20:39 68608 --a------ C:\Hiss.exe

30/08/07 20:37 45116 --a------ C:\WINNT\system32\37397302ld.exe

30/08/07 16:14 45116 --a------ C:\WINNT\system32\14322852ld.exe

30/08/07 16:04 45116 --a------ C:\WINNT\system32\426742ld.exe

30/08/07 15:54 45116 --a------ C:\WINNT\system32\54199922ld.exe

30/08/07 15:44 45116 --a------ C:\WINNT\system32\44126392ld.exe

30/08/07 15:34 45116 --a------ C:\WINNT\system32\3452862ld.exe

30/08/07 15:23 45116 --a------ C:\WINNT\system32\23561402ld.exe

30/08/07 15:13 45116 --a------ C:\WINNT\system32\13477652ld.exe

30/08/07 11:06 68608 --a------ C:\tiss.exe

30/08/07 10:41 30770 --a------ C:\gro.exe

30/08/07 09:22 45116 --a------ C:\WINNT\system32\2261152ld.exe

30/08/07 09:12 45116 --a------ C:\WINNT\system32\11577702ld.exe

30/08/07 09:01 45116 --a------ C:\WINNT\system32\1495762ld.exe

30/08/07 08:51 45116 --a------ C:\WINNT\system32\51413212ld.exe

30/08/07 08:41 45116 --a------ C:\WINNT\system32\41329572ld.exe

30/08/07 08:31 45116 --a------ C:\WINNT\system32\31235302ld.exe

30/07/07 19:19 92504 --a------ C:\WINNT\system32\cdm.dll

30/07/07 19:19 549720 --a------ C:\WINNT\system32\wuapi.dll

30/07/07 19:19 53080 --a------ C:\WINNT\system32\wuauclt.exe

30/07/07 19:19 43352 --a------ C:\WINNT\system32\wups2.dll

30/07/07 19:19 325976 --a------ C:\WINNT\system32\wucltui.dll

30/07/07 19:19 203096 --a------ C:\WINNT\system32\wuweb.dll

30/07/07 19:19 1712984 --a------ C:\WINNT\system32\wuaueng.dll

30/07/07 19:18 33624 --a------ C:\WINNT\system32\wups.dll

30/07/07 10:54 68608 --a------ C:\aasdf.exe

29/08/07 20:24 45116 --a------ C:\WINNT\system32\24486122ld.exe

29/08/07 17:25 45116 --a------ C:\WINNT\system32\25207722ld.exe

29/08/07 17:15 45116 --a------ C:\WINNT\system32\15133582ld.exe

29/08/07 17:05 45116 --a------ C:\WINNT\system32\551742ld.exe

29/08/07 16:55 45116 --a------ C:\WINNT\system32\54581512ld.exe

29/08/07 16:44 45116 --a------ C:\WINNT\system32\44497462ld.exe

29/08/07 16:34 45116 --a------ C:\WINNT\system32\34434242ld.exe

29/08/07 16:24 45116 --a------ C:\WINNT\system32\24356202ld.exe

29/08/07 11:46 45116 --a------ C:\WINNT\system32\46482ld.exe

29/08/07 11:35 45116 --a------ C:\WINNT\system32\35505562ld.exe

29/08/07 11:25 45116 --a------ C:\WINNT\system32\25416902ld.exe

29/08/07 11:15 45116 --a------ C:\WINNT\system32\15331452ld.exe

29/08/07 10:21 45116 --a------ C:\WINNT\system32\21143132ld.exe

29/08/07 10:11 45116 --a------ C:\WINNT\system32\1168292ld.exe

29/08/07 10:07 45116 --a------ C:\WINNT\system32\7209892ld.exe

29/08/07 10:02 45116 --a------ C:\WINNT\system32\241872ld.exe

29/08/07 09:52 45116 --a------ C:\WINNT\system32\52312402ld.exe

29/08/07 09:42 45116 --a------ C:\WINNT\system32\4223752ld.exe

29/08/07 09:32 45116 --a------ C:\WINNT\system32\32153812ld.exe

29/08/07 09:22 45116 --a------ C:\WINNT\system32\2275172ld.exe

29/08/07 09:12 45116 --a------ C:\WINNT\system32\11589722ld.exe

29/08/07 09:01 45116 --a------ C:\WINNT\system32\1507282ld.exe

29/08/07 08:51 45116 --a------ C:\WINNT\system32\51422332ld.exe

29/08/07 08:41 45116 --a------ C:\WINNT\system32\41316852ld.exe

29/08/07 08:31 45116 --a------ C:\WINNT\system32\31229492ld.exe

29/07/07 23:09 68608 --a------ C:\asdmew.exe

28/08/07 21:05 45116 --a------ C:\WINNT\system32\5321252ld.exe

28/08/07 20:55 45116 --a------ C:\WINNT\system32\55219482ld.exe

28/08/07 19:39 45116 --a------ C:\WINNT\system32\3955892ld.exe

28/08/07 19:10 45116 --a------ C:\WINNT\system32\10484412ld.exe

28/08/07 19:00 45116 --a------ C:\WINNT\system32399162ld.exe

28/08/07 18:50 45116 --a------ C:\WINNT\system32\50323632ld.exe

28/08/07 18:40 45116 --a------ C:\WINNT\system32\40246792ld.exe

28/08/07 17:39 45116 --a------ C:\WINNT\system32\38594032ld.exe

28/08/07 17:28 45116 --a------ C:\WINNT\system32\28523802ld.exe

28/08/07 17:18 45116 --a------ C:\WINNT\system32\18393792ld.exe

28/08/07 14:56 45116 --a------ C:\WINNT\system32\56352052ld.exe

28/08/07 14:45 45116 --a------ C:\WINNT\system32\45296582ld.exe

28/08/07 14:35 45116 --a------ C:\WINNT\system32\35228452ld.exe

28/08/07 14:25 --------- d-------- C:\Program Files\MSN Messenger

28/08/07 13:33 --------- d-------- C:\Program Files\Yahoo!

28/08/07 12:58 45116 --a------ C:\WINNT\system32\58162272ld.exe

28/08/07 12:48 45116 --a------ C:\WINNT\system32\4831252ld.exe

28/08/07 12:42 45116 --a------ C:\WINNT\system32\42338712ld.exe

28/08/07 12:32 45116 --a------ C:\WINNT\system32\32184362ld.exe

28/08/07 12:28 45116 --a------ C:\WINNT\system32\28103342ld.exe

28/08/07 12:17 45116 --a------ C:\WINNT\system32\17537682ld.exe

28/08/07 11:50 45116 --a------ C:\WINNT\system32\50259882ld.exe

27/08/07 22:32 45116 --a------ C:\WINNT\system32\32146762ld.exe

27/08/07 11:48 45116 --a------ C:\WINNT\system32\47591732ld.exe

27/08/07 11:37 45116 --a------ C:\WINNT\system32\37417752ld.exe

27/08/07 11:20 45116 --a------ C:\WINNT\system32\20239262ld.exe

27/08/07 11:10 45116 --a------ C:\WINNT\system32\10129782ld.exe

27/08/07 11:01 45116 --a------ C:\WINNT\system32\1112972ld.exe

27/08/07 10:31 45116 --a------ C:\WINNT\system32\31106962ld.exe

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Synchronization Manager"="mobsync.exe" [23/06/03 15:00 C:\WINNT\system32\mobsync.exe]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe" [26/08/05 20:14 ]

"MessagerStarter Wanadoo"="C:\PROGRA~1\MESSAG~1\StartMessager.exe" [10/01/03 11:08 ]

"RealTray"="C:\Program Files\Real\RealPlayer\RealPlay.exe" [20/06/07 19:19 ]

"MRT"="C:\WINNT\system32\MRT.exe" [05/06/07 23:38 ]

"movies"="c:\winnt\system32\IE5.exe" []

"ISPSERVICE"="c:\winnt\system32\iexplorer.exe" []

"TileFree"="Tilecomfree.com" []

"Windows Server Peer Verification Service"="c:\3.tmp *" []

"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [18/01/06 15:52 ]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"internat.exe"="internat.exe" [23/06/03 15:00 C:\WINNT\system32\internat.exe]

"Microsoft NetMeeting"="C:\Program Files\NetMeeting\conf.exe" [23/06/03 15:00 ]

"Windows Service Agent"="fixin.exe" []

"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [14/06/05 17:05 ]

"Windows LoL Layer"="zmlguap.exe" []

"Windows Server Client Verification Service"="C:\WINNT\TEMP\mss9.tmp *" []

"Windows Server Peer Verification Service"="c:\3.tmp *" []

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]

"TileFree"=Tilecomfree.com

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]

"^SetupICWDesktop"=C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]

"internat.exe"=internat.exe

"Windows Server Peer Verification Service"="c:\my2.exe" *

"Windows Server Client Verification Service"="C:\WINNT\TEMP\mss9.tmp" *

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\efcyxya]

efcyxya.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nwprovau]

nwprovau.dll 01/09/06 08:49 143632 C:\WINNT\system32\NWPROVAU.DLL

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

"Authentication Packages"= msv1_0 nwprovau

 

R0 avgntmgr;avgntmgr;C:\WINNT\system32\drivers\avgntmgr.sys

R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys

R1 fwdrv;Firewall Driver;C:\WINNT\system32\drivers\fwdrv.sys

R1 khips;Kerio HIPS Driver;C:\WINNT\system32\drivers\khips.sys

R2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe"

R3 EL90BC;Pilote de carte 3Com EtherLink XL B/C;C:\WINNT\system32\DRIVERS\el90xbc5.sys

S2 mshexdefx;ms hexidecimal defx;"C:\WINNT\system32\dllcache\ivchost.exe"

S2 msnntlp;msnntlp;"C:\WINNT\system\msnntlp.exe"

S2 MSWindows;Network Windows Service;"C:\WINNT\system32\urdvxc.exe" /service

S3 ichaud;Service pour pilote AC'97 (WDM);C:\WINNT\system32\drivers\ichaud.sys

 

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2007-09-30 15:52:04 C:\WINNT\Tasks\AOL Compagnon.job"

- C:\PROGRA~1\AOLCOM~1\COMPAN~1.EXE

.

**************************************************************************

 

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-10-08 10:40:53

Windows 5.0.2195 Service Pack 4 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 08/10/2007 10:42:21

C:\ComboFix-quarantined-files.txt ... 08/10/07 10:42

C:\ComboFix2.txt ... 07/10/07 22:45

C:\ComboFix3.txt ... 07/10/07 21:41

.

--- E O F ---

 

 

 

 

 

et le rapport 5

 

ComboFix 07-10-07.1 - user 08/10/2007 15:16:54.5 - NTFSx86

Microsoft Windows 2000 Professionnel 5.0.2195.4.1252.1.1036.18.96 [GMT 3:00]

Running from: C:\Documents and Settings\user\Bureau\ComboFix.exe

.

 

((((((((((((((((((((((((((((( Fichiers créés 2007-09-08 to 2007-10-08 ))))))))))))))))))))))))))))))))))))

.

 

2007-10-08 15:16 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_380.dat

2007-10-08 15:05 <DIR> d-------- C:\WINNT\system32\AVGUARD_470df62e

2007-10-08 14:54 <DIR> d-------- C:\WINNT\ERUNT

2007-10-07 12:42 51,200 --a------ C:\WINNT\NirCmd.exe

2007-10-07 12:24 17,920 --a------ C:\WINNT\system32\reg.exe

2007-10-07 12:23 <DIR> d-------- C:\Program Files\Navilog1

2007-10-07 11:32 <DIR> d-------- C:\Program Files\Trend Micro

2007-10-07 09:11 <DIR> d-------- C:\WINNT\system32\AVGUARD_470e7c30

2007-10-07 00:43 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic

2007-10-06 19:34 <DIR> d-------- C:\Program Files\Hijackthis Version Fran‡aise

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

31/08/07 21:39 45116 --a------ C:\WINNT\system32\38595172ld.exe

31/08/07 21:28 45116 --a------ C:\WINNT\system32\28457852ld.exe

31/08/07 21:18 45116 --a------ C:\WINNT\system32\18366692ld.exe

31/08/07 20:44 45116 --a------ C:\WINNT\system32\43593562ld.exe

31/08/07 20:33 45116 --a------ C:\WINNT\system32\33444522ld.exe

31/08/07 10:23 45116 --a------ C:\WINNT\system32\2329032ld.exe

31/08/07 10:12 45116 --a------ C:\WINNT\system32\1253672ld.exe

31/08/07 10:02 45116 --a------ C:\WINNT\system32\2428092ld.exe

31/08/07 09:52 45116 --a------ C:\WINNT\system32\52346552ld.exe

31/08/07 09:42 45116 --a------ C:\WINNT\system32\42265102ld.exe

31/08/07 09:32 45116 --a------ C:\WINNT\system32\32189662ld.exe

31/08/07 09:22 45116 --a------ C:\WINNT\system32\2211322ld.exe

31/08/07 09:12 45116 --a------ C:\WINNT\system32\1205342ld.exe

31/08/07 09:01 45116 --a------ C:\WINNT\system32\1499972ld.exe

31/08/07 08:51 45116 --a------ C:\WINNT\system32\51425532ld.exe

31/08/07 08:41 45116 --a------ C:\WINNT\system32\41304932ld.exe

31/08/07 08:31 45116 --a------ C:\WINNT\system32\31223182ld.exe

31/07/07 16:31 68608 --a------ C:\ahee.exe

30/08/07 20:47 45116 --a------ C:\WINNT\system32\47486762ld.exe

30/08/07 20:39 68608 --a------ C:\Hiss.exe

30/08/07 20:37 45116 --a------ C:\WINNT\system32\37397302ld.exe

30/08/07 16:14 45116 --a------ C:\WINNT\system32\14322852ld.exe

30/08/07 16:04 45116 --a------ C:\WINNT\system32\426742ld.exe

30/08/07 15:54 45116 --a------ C:\WINNT\system32\54199922ld.exe

30/08/07 15:44 45116 --a------ C:\WINNT\system32\44126392ld.exe

30/08/07 15:34 45116 --a------ C:\WINNT\system32\3452862ld.exe

30/08/07 15:23 45116 --a------ C:\WINNT\system32\23561402ld.exe

30/08/07 15:13 45116 --a------ C:\WINNT\system32\13477652ld.exe

30/08/07 11:06 68608 --a------ C:\tiss.exe

30/08/07 10:41 30770 --a------ C:\gro.exe

30/08/07 09:22 45116 --a------ C:\WINNT\system32\2261152ld.exe

30/08/07 09:12 45116 --a------ C:\WINNT\system32\11577702ld.exe

30/08/07 09:01 45116 --a------ C:\WINNT\system32\1495762ld.exe

30/08/07 08:51 45116 --a------ C:\WINNT\system32\51413212ld.exe

30/08/07 08:41 45116 --a------ C:\WINNT\system32\41329572ld.exe

30/08/07 08:31 45116 --a------ C:\WINNT\system32\31235302ld.exe

30/07/07 19:19 92504 --a------ C:\WINNT\system32\cdm.dll

30/07/07 19:19 549720 --a------ C:\WINNT\system32\wuapi.dll

30/07/07 19:19 53080 --a------ C:\WINNT\system32\wuauclt.exe

30/07/07 19:19 43352 --a------ C:\WINNT\system32\wups2.dll

30/07/07 19:19 325976 --a------ C:\WINNT\system32\wucltui.dll

30/07/07 19:19 203096 --a------ C:\WINNT\system32\wuweb.dll

30/07/07 19:19 1712984 --a------ C:\WINNT\system32\wuaueng.dll

30/07/07 19:18 33624 --a------ C:\WINNT\system32\wups.dll

30/07/07 10:54 68608 --a------ C:\aasdf.exe

29/08/07 20:24 45116 --a------ C:\WINNT\system32\24486122ld.exe

29/08/07 17:25 45116 --a------ C:\WINNT\system32\25207722ld.exe

29/08/07 17:15 45116 --a------ C:\WINNT\system32\15133582ld.exe

29/08/07 17:05 45116 --a------ C:\WINNT\system32\551742ld.exe

29/08/07 16:55 45116 --a------ C:\WINNT\system32\54581512ld.exe

29/08/07 16:44 45116 --a------ C:\WINNT\system32\44497462ld.exe

29/08/07 16:34 45116 --a------ C:\WINNT\system32\34434242ld.exe

29/08/07 16:24 45116 --a------ C:\WINNT\system32\24356202ld.exe

29/08/07 11:46 45116 --a------ C:\WINNT\system32\46482ld.exe

29/08/07 11:35 45116 --a------ C:\WINNT\system32\35505562ld.exe

29/08/07 11:25 45116 --a------ C:\WINNT\system32\25416902ld.exe

29/08/07 11:15 45116 --a------ C:\WINNT\system32\15331452ld.exe

29/08/07 10:21 45116 --a------ C:\WINNT\system32\21143132ld.exe

29/08/07 10:11 45116 --a------ C:\WINNT\system32\1168292ld.exe

29/08/07 10:07 45116 --a------ C:\WINNT\system32\7209892ld.exe

29/08/07 10:02 45116 --a------ C:\WINNT\system32\241872ld.exe

29/08/07 09:52 45116 --a------ C:\WINNT\system32\52312402ld.exe

29/08/07 09:42 45116 --a------ C:\WINNT\system32\4223752ld.exe

29/08/07 09:32 45116 --a------ C:\WINNT\system32\32153812ld.exe

29/08/07 09:22 45116 --a------ C:\WINNT\system32\2275172ld.exe

29/08/07 09:12 45116 --a------ C:\WINNT\system32\11589722ld.exe

29/08/07 09:01 45116 --a------ C:\WINNT\system32\1507282ld.exe

29/08/07 08:51 45116 --a------ C:\WINNT\system32\51422332ld.exe

29/08/07 08:41 45116 --a------ C:\WINNT\system32\41316852ld.exe

29/08/07 08:31 45116 --a------ C:\WINNT\system32\31229492ld.exe

29/07/07 23:09 68608 --a------ C:\asdmew.exe

28/08/07 21:05 45116 --a------ C:\WINNT\system32\5321252ld.exe

28/08/07 20:55 45116 --a------ C:\WINNT\system32\55219482ld.exe

28/08/07 19:39 45116 --a------ C:\WINNT\system32\3955892ld.exe

28/08/07 19:10 45116 --a------ C:\WINNT\system32\10484412ld.exe

28/08/07 19:00 45116 --a------ C:\WINNT\system32399162ld.exe

28/08/07 18:50 45116 --a------ C:\WINNT\system32\50323632ld.exe

28/08/07 18:40 45116 --a------ C:\WINNT\system32\40246792ld.exe

28/08/07 17:39 45116 --a------ C:\WINNT\system32\38594032ld.exe

28/08/07 17:28 45116 --a------ C:\WINNT\system32\28523802ld.exe

28/08/07 17:18 45116 --a------ C:\WINNT\system32\18393792ld.exe

28/08/07 14:56 45116 --a------ C:\WINNT\system32\56352052ld.exe

28/08/07 14:45 45116 --a------ C:\WINNT\system32\45296582ld.exe

28/08/07 14:35 45116 --a------ C:\WINNT\system32\35228452ld.exe

28/08/07 14:25 --------- d-------- C:\Program Files\MSN Messenger

28/08/07 13:33 --------- d-------- C:\Program Files\Yahoo!

28/08/07 12:58 45116 --a------ C:\WINNT\system32\58162272ld.exe

28/08/07 12:48 45116 --a------ C:\WINNT\system32\4831252ld.exe

28/08/07 12:42 45116 --a------ C:\WINNT\system32\42338712ld.exe

28/08/07 12:32 45116 --a------ C:\WINNT\system32\32184362ld.exe

28/08/07 12:28 45116 --a------ C:\WINNT\system32\28103342ld.exe

28/08/07 12:17 45116 --a------ C:\WINNT\system32\17537682ld.exe

28/08/07 11:50 45116 --a------ C:\WINNT\system32\50259882ld.exe

27/08/07 22:32 45116 --a------ C:\WINNT\system32\32146762ld.exe

27/08/07 11:48 45116 --a------ C:\WINNT\system32\47591732ld.exe

27/08/07 11:37 45116 --a------ C:\WINNT\system32\37417752ld.exe

27/08/07 11:20 45116 --a------ C:\WINNT\system32\20239262ld.exe

27/08/07 11:10 45116 --a------ C:\WINNT\system32\10129782ld.exe

27/08/07 11:01 45116 --a------ C:\WINNT\system32\1112972ld.exe

27/08/07 10:31 45116 --a------ C:\WINNT\system32\31106962ld.exe

.

 

((((((((((((((((((((((((((((( snapshot@dim. 2007-10-07_13.00.19.32 )))))))))))))))))))))))))))))))))))))))))

.

----a-w 163,328 2007-09-27 19:03:23 C:\WINNT\ERUNT\SDFIX\ERDNT.EXE

----a-w 937,984 2007-10-08 11:54:32 C:\WINNT\ERUNT\SDFIX\Users000001\NTUSER.DAT

----a-w 8,192 2007-10-08 11:54:32 C:\WINNT\ERUNT\SDFIX\Users000002\UsrClass.dat

----a-w 163,328 2007-09-27 19:03:23 C:\WINNT\ERUNT\SDFIX_First_Run\ERDNT.EXE

----a-w 937,984 2007-10-08 11:54:26 C:\WINNT\ERUNT\SDFIX_First_Run\Users000001\NTUSER.DAT

----a-w 8,192 2007-10-08 11:54:26 C:\WINNT\ERUNT\SDFIX_First_Run\Users000002\UsrClass.dat

.

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Synchronization Manager"="mobsync.exe" [23/06/03 15:00 C:\WINNT\system32\mobsync.exe]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe" [26/08/05 20:14 ]

"MessagerStarter Wanadoo"="C:\PROGRA~1\MESSAG~1\StartMessager.exe" [10/01/03 11:08 ]

"RealTray"="C:\Program Files\Real\RealPlayer\RealPlay.exe" [20/06/07 19:19 ]

"MRT"="C:\WINNT\system32\MRT.exe" [05/06/07 23:38 ]

"movies"="c:\winnt\system32\IE5.exe" []

"ISPSERVICE"="c:\winnt\system32\iexplorer.exe" []

"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [18/01/06 15:52 ]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"internat.exe"="internat.exe" [23/06/03 15:00 C:\WINNT\system32\internat.exe]

"Microsoft NetMeeting"="C:\Program Files\NetMeeting\conf.exe" [23/06/03 15:00 ]

"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [14/06/05 17:05 ]

"Windows Server Client Verification Service"="C:\WINNT\TEMP\mss9.tmp *" []

"Windows Server Peer Verification Service"="c:\3.tmp *" []

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]

"^SetupICWDesktop"=C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]

"internat.exe"=internat.exe

"Windows Server Peer Verification Service"="c:\my2.exe" *

"Windows Server Client Verification Service"="C:\WINNT\TEMP\mss9.tmp" *

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\efcyxya]

efcyxya.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nwprovau]

nwprovau.dll 01/09/06 08:49 143632 C:\WINNT\system32\NWPROVAU.DLL

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

"Authentication Packages"= msv1_0 nwprovau

 

R0 avgntmgr;avgntmgr;C:\WINNT\system32\drivers\avgntmgr.sys

R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys

R1 fwdrv;Firewall Driver;C:\WINNT\system32\drivers\fwdrv.sys

R1 khips;Kerio HIPS Driver;C:\WINNT\system32\drivers\khips.sys

R3 EL90BC;Pilote de carte 3Com EtherLink XL B/C;C:\WINNT\system32\DRIVERS\el90xbc5.sys

S2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe"

S3 ichaud;Service pour pilote AC'97 (WDM);C:\WINNT\system32\drivers\ichaud.sys

 

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2007-09-30 15:52:04 C:\WINNT\Tasks\AOL Compagnon.job"

- C:\PROGRA~1\AOLCOM~1\COMPAN~1.EXE

.

**************************************************************************

 

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-10-08 15:19:09

Windows 5.0.2195 Service Pack 4 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 08/10/2007 15:20:45

C:\ComboFix-quarantined-files.txt ... 08/10/07 15:20

C:\ComboFix2.txt ... 08/10/07 10:42

C:\ComboFix3.txt ... 07/10/07 22:45

.

--- E O F ---

 

 

Merci pour tout ce que tu as déjà fait .

[Gof]

Re

 

Houla.

 

Peux tu me dire combien de rapports sont présents dans les rapports Combofix.txt ? Quel numéro porte le tout dernier ?

[Bailing]

Il y en a 6 en tout.