Connexion Internet ne fonctionne plus

[Gof]

Bien. Bon, je m'embrouille dans les rapports.

 

Fais ceci que j'y vois plus clair alors :

 

Rends toi dans le répertoire DiagHelp.

• Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
  
• Une fenêtre va s'ouvrir, choisis l'option 1
  
• L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
  
• Copie/colle le contenu du bloc-note qui s'ouvre et joins le à ta prochaine réponse.
  

[Bailing]

Si je peux t'aider en te fournissant les rapports que tu veux n'hésite pas

Voici en attendant celui que tu m'as demandé :

DiagHelp version v1.2 - http://www.malekal.com

excute le sam. 13/10/2007 à 10:23:52,61

 

 

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch

 

C:\WINNT\System32\drivers\fwdrv.err -->08/10/2007 14:49:51

C:\WINNT\System32\drivers\asctrm.sys -->20/06/2007 19:19:47

C:\WINNT\System32\drivers\khips.sys -->26/04/2007 10:21:34

C:\WINNT\System32\drivers\fwdrv.sys -->26/04/2007 10:21:30

C:\WINNT\System32\drivers\nwrdr.sys -->01/09/2006 07:57:48

C:\WINNT\System32\drivers\SRV.SYS -->11/08/2006 17:17:00

C:\WINNT\System32\drivers\mrxsmb.sys -->31/05/2006 10:14:16

 

C:\WINNT\System32\Perflib_Perfdata_394.dat -->11/10/2007 00:15:40

C:\WINNT\System32\CONFIG.NT -->07/10/2007 00:56:48

C:\WINNT\System32\swreg.exe -->05/10/2007 10:07:31

C:\WINNT\System32\reg.exe -->15/09/2007 01:24:56

C:\WINNT\System32162432ld.exe -->07/09/2007 22:00:20

C:\WINNT\System32399162ld.exe -->28/08/2007 19:00:42

C:\WINNT\System32\fx.exe -->21/08/2007 20:33:58

C:\WINNT\System32\nz.exe.dat -->20/08/2007 21:04:52

C:\WINNT\System32\wuaucpl.cpl.mui -->30/07/2007 19:20:06

C:\WINNT\System32\wuapi.dll.mui -->30/07/2007 19:19:52

C:\WINNT\System32\wuaueng.dll -->30/07/2007 19:19:42

C:\WINNT\System32\wuapi.dll -->30/07/2007 19:19:36

C:\WINNT\System32\wucltui.dll -->30/07/2007 19:19:32

C:\WINNT\System32\wuweb.dll -->30/07/2007 19:19:28

C:\WINNT\System32\wuaucpl.cpl -->30/07/2007 19:19:28

C:\WINNT\System32\cdm.dll -->30/07/2007 19:19:20

C:\WINNT\System32\wuauclt.exe -->30/07/2007 19:19:16

C:\WINNT\System32\wups2.dll -->30/07/2007 19:19:12

C:\WINNT\System32\wucltui.dll.mui -->30/07/2007 19:19:04

C:\WINNT\System32\wuaueng.dll.mui -->30/07/2007 19:18:48

C:\WINNT\System32\wups.dll -->30/07/2007 19:18:40

C:\WINNT\System32\rmoc3260.dll -->20/06/2007 19:19:40

C:\WINNT\System32\prefscpl.cpl -->20/06/2007 19:19:37

C:\WINNT\System32\pndx5032.dll -->20/06/2007 19:19:37

C:\WINNT\System32\pndx5016.dll -->20/06/2007 19:19:37

 

C:\WINNT\WindowsUpdate.log -->13/10/2007 10:20:35

C:\WINNT\SchedLgU.Txt -->11/10/2007 22:51:55

C:\WINNT\MEMORY.DMP -->11/10/2007 00:22:49

C:\WINNT\msnfix.txt -->10/10/2007 22:36:52

C:\WINNT\presf.txt -->10/10/2007 22:35:47

C:\WINNT\ShellIconCache -->10/10/2007 21:36:34

C:\WINNT\ntbtlog.txt -->08/10/2007 14:50:05

C:\WINNT\setupapi.log -->07/10/2007 10:08:19

C:\WINNT\ModemLog_Câble de communication entre deux ordinateurs.txt -->06/10/2007 15:32:56

C:\WINNT\catchme.exe -->28/09/2007 09:06:08

C:\WINNT\ModemLog_Câble de communication entre deux ordinateurs #2.txt -->27/09/2007 20:46:31

C:\WINNT\UpdateRollupPack.log -->04/07/2007 14:31:58

C:\WINNT\updcustom.dll.log -->04/07/2007 14:29:57

C:\WINNT\win.ini -->28/06/2007 11:41:01

C:\WINNT\aolback.exe -->20/06/2007 19:20:18

 

 

MD5 des fichiers sensibles

tcpip.sys 0f62ffcd1c136103d7ea57e5b2b30994

ndis.sys fb4f2d0595bd3546a4dd915e4a9b4809

null.sys 280209cde798720a24d232bf9cfda8e9

svchost.exe 1206706a25c5b32652b4f465ede330e9

 

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 7063-DE16

 

Répertoire de C:\WINNT\system

 

14/08/2002 17:03 4 672 WOWPOST.EXE

1 fichier(s) 4 672 octets

0 Rép(s) 16 223 367 168 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 7063-DE16

 

Répertoire de C:\WINNT\system32

 

23/06/2003 15:00 5 392 csrss.exe

1 fichier(s) 5 392 octets

0 Rép(s) 16 223 367 168 octets libres

 

Contenu de Downloaded Program Files

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 7063-DE16

 

Répertoire de C:\WINNT\Downloaded Program Files

 

07/10/2007 12:52 <DIR> .

07/10/2007 12:52 <DIR> ..

08/06/2007 18:57 65 desktop.ini

13/04/2007 15:27 367 LegitCheckControl.inf

22/02/2007 23:41 304 544 MessengerStatsPAClient.dll

28/02/2007 14:21 130 472 MineSweeper.dll

09/07/2007 12:27 2 377 088 Rawflow.ocx

27/03/2007 16:00 5 021 swflash.inf

11/08/2004 02:22 3 036 wmv9dmo.inf

7 fichier(s) 2 820 593 octets

 

Total des fichiers listés :

7 fichier(s) 2 820 593 octets

2 Rép(s) 16 223 301 632 octets libres

 

Recherche de rootkit! (Merci S!Ri)

 

Recherche d'infections connues

 

Export des clefs sensibles..

 

Liste des fichiers en exception sur le pare-feu XP SP2

 

"C:\\WINNT\\svchost.exe"="C:\\WINNT\\svchost.exe:*:Enabled:svchost"

"c:\\3.tmp"="c:\\3.tmp:*:Enabled:Windows Server Peer Verification Service"

"\\??\\C:\\WINNT\\system32\\winlogon.exe"="\\??\\C:\\WINNT\\system32\\winlogon.exewinlogon.exe:*:Enabled:Windows Server Peer Verification Service"

"\\??\\C:\\WINNT\\system32\\csrss.exe"="\\??\\C:\\WINNT\\system32\\csrss.exeC:\\WINNT\\system32\\csrss.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4ss.exe"="C:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4ss.exeC:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4ss.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\WINNT\\system32\\MSTask.exe"="C:\\WINNT\\system32\\MSTask.exeC:\\WINNT\\system32\\MSTask.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\WINNT\\System32\\WBEM\\WinMgmt.exe"="C:\\WINNT\\System32\\WBEM\\WinMgmt.exeWINMGMT.EXE:*:Enabled:Windows Server Peer Verification Service"

"C:\\WINNT\\system32\\irdvxc.exe"="C:\\WINNT\\system32\\irdvxc.exeC:\\WINNT\\system32\\irdvxc.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\WINNT\\system32\\lsass.exe"="C:\\WINNT\\system32\\lsass.exeC:\\WINNT\\system32\\lsass.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\WINNT\\system32\\svchost.exe"="C:\\WINNT\\system32\\svchost.exeC:\\WINNT\\system32\\svchost.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\WINNT\\system32\\urdvxc.exe"="C:\\WINNT\\system32\\urdvxc.exeC:\\WINNT\\system32\\urdvxc.exe:*:Enabled:Windows Server Client Verification Service"

"C:\\WINNT\\wanmpsvc.exe"="C:\\WINNT\\wanmpsvc.exeC:\\WINNT\\wanmpsvc.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exe"="C:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exeC:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exe:*:Enabled:Windows Server Client Verification Service"

"C:\\WINNT\\Explorer.EXE"="C:\\WINNT\\Explorer.EXEC:\\WINNT\\Explorer.EXE:*:Enabled:Windows Server Peer Verification Service"

"C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exeC:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\Program Files\\Java\\jre1.5.0_05\\bin\\jusched.exe"="C:\\Program Files\\Java\\jre1.5.0_05\\bin\\jusched.exeC:\\Program Files\\Java\\jre1.5.0_05\\bin\\jusched.exe:*:Enabled:Windows Server Client Verification Service"

"C:\\Program Files\\Alwil Software\\Avast4\\aswUpdSv.exe"="C:\\Program Files\\Alwil Software\\Avast4\\aswUpdSv.exeC:\\Program Files\\Alwil Software\\Avast4\\aswUpdSv.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\WINNT\\system32\\mspmspsv.exe"="C:\\WINNT\\system32\\mspmspsv.exeC:\\WINNT\\system32\\mspmspsv.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\WINNT\\system32\\MRT.exe"="C:\\WINNT\\system32\\MRT.exeC:\\WINNT\\system32\\MRT.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\Program Files\\Alwil Software\\Avast4\\ashServ.exe"="C:\\Program Files\\Alwil Software\\Avast4\\ashServ.exeC:\\Program Files\\Alwil Software\\Avast4\\ashServ.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\PROGRA~1\\MESSAG~1\\StartMessager.exe"="C:\\PROGRA~1\\MESSAG~1\\StartMessager.exeC:\\PROGRA~1\\MESSAG~1\\StartMessager.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\Program Files\\Real\\RealPlayer\\RealPlay.exe"="C:\\Program Files\\Real\\RealPlayer\\RealPlay.exeC:\\Program Files\\Real\\RealPlayer\\RealPlay.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\Program Files\\Alwil Software\\Avast4\\setup\\avast.setup"="C:\\Program Files\\Alwil Software\\Avast4\\setup\\avast.setupC:\\Program Files\\Alwil Software\\Avast4\\setup\\avast.setup:*:Enabled:Windows Server Peer Verification Service"

"C:\\Program Files\\NetMeeting\\conf.exe"="C:\\Program Files\\NetMeeting\\conf.exeC:\\Program Files\\NetMeeting\\conf.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\WINNT\\system32\\mnmsrvc.exe"="C:\\WINNT\\system32\\mnmsrvc.exeC:\\WINNT\\system32\\mnmsrvc.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe"="C:\\Program Files\\MSN Messenger\\MsnMsgr.ExeC:\\Program Files\\MSN Messenger\\MsnMsgr.Exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\WINNT\\system32\\spoolsv.exe"="C:\\WINNT\\system32\\spoolsv.exeC:\\WINNT\\system32\\spoolsv.exe:*:Enabled:Windows Server Client Verification Service"

"C:\\WINNT\\system32\\internat.exe"="C:\\WINNT\\system32\\internat.exeC:\\WINNT\\system32\\internat.exe:*:Enabled:Windows Server Client Verification Service"

"C:\\Program Files\\Java\\jre1.5.0_05\\bin\\jucheck.exe"="C:\\Program Files\\Java\\jre1.5.0_05\\bin\\jucheck.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\Program Files\\Alwil Software\\Avast4\\setup\\avast02.setup"="C:\\Program Files\\Alwil Software\\Avast4\\setup\\avast02.setupC:\\Program Files\\Alwil Software\\Avast4\\setup\\avast02.setup:*:Enabled:Windows Server Peer Verification Service"

"C:\\WINNT\\system32\\services.exe"="C:\\WINNT\\system32\\services.exeC:\\WINNT\\system32\\services.exe:*:Enabled:Windows Server Client Verification Service"

"C:\\Program Files\\Alwil Software\\Avast4\\ashWebSv.exe"="C:\\Program Files\\Alwil Software\\Avast4\\ashWebSv.exeC:\\Program Files\\Alwil Software\\Avast4\\ashWebSv.exe:*:Enabled:Windows Server Peer Verification Service"

"C:\\WINNT\\system32\\drwtsn32.exe"="C:\\WINNT\\system32\\drwtsn32.exedrwtsn32:*:Enabled:Windows Server Peer Verification Service"

"C:\\Program Files\\Alwil Software\\Avast4\\setup\\setup.ovr"="C:\\Program Files\\Alwil Software\\Avast4\\setup\\setup.ovrC:\\Program Files\\Alwil Software\\Avast4\\setup\\setup.ovr:*:Enabled:Windows Server Client Verification Service"

 

 

Export de la clef SharedTaskScheduler

 

[sharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

 

 

 

exports des policies

REGEDIT4

 

[system]

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

 

 

 

Export des clefs sensibles..

Rechercher adresses sensibles dans le fichier HOSTS...

catchme 0.3.1160 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-10-13 10:24:32

Windows 5.0.2195 Service Pack 4 NTFS

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden services: 0

hidden files: 0

 

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Process list by traversal of KiWaitInListHead and KiWaitOutListHead

 

8 - System

140 - smss.exe

164 - csrss.exe

184 - winlogon.exe

212 - services.exe

224 - lsass.exe

396 - svchost.exe

428 - spoolsv.exe

460 - sched.exe

476 - avguard.exe

496 - svchost.exe

536 - mnmsrvc.exe

548 - mstask.exe

648 - internat.exe

676 - kpf4ss.exe

872 - cmd.exe

880 - wanmpsvc.exe

912 - winmgmt.exe

956 - mspmspsv.exe

976 - svchost.exe

1032 - explorer.exe

1188 - kpf4gui.exe

1376 - msnmsgr.exe

1384 - conf.exe

1448 - soffice.exe

1456 - kpf4gui.exe

1508 - soffice.bin

 

Total number of processes = 27

 

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

 

Driver/Module list by traversal of PsLoadedModuleList

 

80400000 - \WINNT\System32\ntoskrnl.exe

80062000 - \WINNT\System32\hal.dll

ED410000 - \WINNT\System32\BOOTVID.dll

BFFD8000 - ACPI.sys

ED5C8000 - \WINNT\system32\DRIVERS\WMILIB.SYS

ED000000 - pci.sys

ED010000 - isapnp.sys

ED5C9000 - pciide.sys

ED280000 - \WINNT\system32\DRIVERS\PCIIDEX.SYS

ED500000 - intelide.sys

ED288000 - MountMgr.sys

BFFBB000 - ftdisk.sys

ED502000 - Diskperf.sys

ED504000 - dmload.sys

BFF99000 - dmio.sys

ED414000 - PartMgr.sys

BFF83000 - atapi.sys

ED290000 - disk.sys

ED020000 - \WINNT\system32\DRIVERS\CLASSPNP.SYS

ED418000 - avgntmgr.sys

BFF71000 - KSecDD.sys

BFEEE000 - Ntfs.sys

BFEC4000 - NDIS.sys

BFEAE000 - Mup.sys

ED040000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

BFE63000 - \SystemRoot\system32\DRIVERS\i81xnt5.sys

ED050000 - \SystemRoot\system32\DRIVERS\el90xbc5.sys

ED2B8000 - \SystemRoot\system32\DRIVERS\fdc.sys

ED060000 - \SystemRoot\system32\DRIVERS\i8042prt.sys

ED2C8000 - \SystemRoot\system32\DRIVERS\kbdclass.sys

ED2D8000 - \SystemRoot\system32\DRIVERS\mouclass.sys

ED070000 - \SystemRoot\system32\DRIVERS\serial.sys

ED480000 - \SystemRoot\system32\DRIVERS\serenum.sys

ED2F0000 - \SystemRoot\system32\DRIVERS\parport.sys

ED300000 - \SystemRoot\system32\DRIVERS\cdrom.sys

ED320000 - \SystemRoot\system32\DRIVERS\USBD.SYS

ED308000 - \SystemRoot\system32\DRIVERS\uhcd.sys

ED5E5000 - \SystemRoot\system32\drivers\SENSUPGD.SYS

BFDAD000 - \SystemRoot\system32\drivers\KS.SYS

BFDC9000 - \SystemRoot\system32\drivers\portcls.sys

BFDEE000 - \SystemRoot\system32\drivers\smwdm.sys

ED50A000 - \SystemRoot\system32\drivers\aeaudio.sys

ED5EA000 - \SystemRoot\system32\DRIVERS\audstub.sys

ED50E000 - \SystemRoot\System32\Drivers\RootMdm.sys

ED338000 - \SystemRoot\System32\Drivers\Modem.SYS

ED080000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys

ED498000 - \SystemRoot\system32\DRIVERS\ndistapi.sys

BFD96000 - \SystemRoot\system32\DRIVERS\ndiswan.sys

ED4A8000 - \SystemRoot\system32\DRIVERS\TDI.SYS

ED090000 - \SystemRoot\system32\DRIVERS\raspptp.sys

ED358000 - \SystemRoot\system32\DRIVERS\ptilink.sys

ED368000 - \SystemRoot\system32\DRIVERS\raspti.sys

ED370000 - \SystemRoot\system32\DRIVERS\wanatw4.sys

ED0A0000 - \SystemRoot\system32\DRIVERS\parallel.sys

ED5F7000 - \SystemRoot\system32\DRIVERS\swenum.sys

BFD43000 - \SystemRoot\system32\DRIVERS\update.sys

ED390000 - \SystemRoot\system32\DRIVERS\flpydisk.sys

ED0D0000 - \SystemRoot\system32\DRIVERS\usbhub.sys

ED0E0000 - \SystemRoot\System32\Drivers\NDProxy.SYS

ED3A0000 - \SystemRoot\System32\Drivers\EFS.SYS

ED0F0000 - \SystemRoot\SYSTEM32\DRIVERS\avgntdd.sys

ED516000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS

ED603000 - \SystemRoot\System32\Drivers\Null.SYS

ED605000 - \SystemRoot\System32\Drivers\Beep.SYS

ED4D4000 - \SystemRoot\System32\drivers\vga.sys

ED608000 - \SystemRoot\System32\Drivers\mnmdd.SYS

BBC5A000 - \SystemRoot\system32\drivers\fwdrv.sys

ED3C8000 - \SystemRoot\System32\Drivers\Msfs.SYS

ED100000 - \SystemRoot\System32\Drivers\Npfs.SYS

ED520000 - \SystemRoot\system32\DRIVERS\rasacd.sys

BBC0B000 - \SystemRoot\system32\DRIVERS\tcpip.sys

ED110000 - \SystemRoot\system32\DRIVERS\msgpc.sys

ED3E8000 - \SystemRoot\system32\DRIVERS\wanarp.sys

BBBE1000 - \SystemRoot\system32\DRIVERS\netbt.sys

ED120000 - \SystemRoot\system32\DRIVERS\netbios.sys

BBBB7000 - \SystemRoot\system32\DRIVERS\rdbss.sys

BBB3F000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys

BBB2E000 - \SystemRoot\system32\drivers\khips.sys

ED636000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS

BBAF0000 - \SystemRoot\System32\Drivers\dump_atapi.sys

A0000000 - \??\C:\WINNT\system32\win32k.sys

BBA3B000 - \SystemRoot\System32\i81xdnt5.dll

ED350000 - \SystemRoot\System32\mnmdd.dll

BB90A000 - \SystemRoot\system32\DRIVERS\nbf.sys

BB8F3000 - \SystemRoot\system32\DRIVERS\nwlnkipx.sys

ED1F0000 - \SystemRoot\system32\DRIVERS\nwlnknb.sys

BB8D5000 - \SystemRoot\System32\drivers\afd.sys

ED270000 - \SystemRoot\system32\DRIVERS\nwlnkspx.sys

BB7D3000 - \SystemRoot\system32\drivers\wdmaud.sys

BBA2B000 - \SystemRoot\system32\drivers\sysaudio.sys

ED2E8000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS

ED2C0000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS

ED580000 - \SystemRoot\System32\Drivers\ParVdm.SYS

ED58A000 - \SystemRoot\System32\Drivers\ASCTRM.SYS

BB8C1000 - \SystemRoot\System32\Drivers\Aspi32.SYS

ED140000 - \SystemRoot\System32\Drivers\Fips.SYS

BB65B000 - \SystemRoot\system32\DRIVERS\srv.sys

BB56B000 - \SystemRoot\system32\DRIVERS\nwrdr.sys

BB70E000 - \SystemRoot\System32\Drivers\Cdfs.SYS

BB480000 - \SystemRoot\System32\Drivers\Fastfat.SYS

BB0D9000 - \SystemRoot\system32\DRIVERS\ipnat.sys

BB0C5000 - \SystemRoot\system32\DRIVERS\ipsec.sys

BB25A000 - \SystemRoot\system32\DRIVERS\nwlnkfwd.sys

BB470000 - \SystemRoot\system32\DRIVERS\nwlnkflt.sys

ED3B0000 - \SystemRoot\system32\DRIVERS\USBSTOR.SYS

ED655000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

 

Total number of drivers = 106

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 7063-DE16

 

Répertoire de C:\Program Files

 

07/10/2007 22:38 <DIR> .

07/10/2007 22:38 <DIR> ..

13/12/2004 15:04 <DIR> Accessoires

09/12/2005 13:49 <DIR> Adobe

26/06/2007 13:48 <DIR> AIM95

26/06/2007 12:33 <DIR> Alwil Software

14/12/2004 12:40 <DIR> Analog Devices

07/10/2007 00:43 <DIR> AntiVir PersonalEdition Classic

28/06/2007 11:41 <DIR> AOL 7.0

20/06/2007 19:08 <DIR> AOL 8.0

18/06/2007 14:55 <DIR> AOL Compagnon

25/06/2007 19:52 <DIR> Common Files

13/12/2004 15:06 <DIR> ComPlus Applications

20/06/2007 19:01 <DIR> Fichiers communs

16/07/2007 16:16 <DIR> Google

07/10/2007 10:34 <DIR> Hijackthis Version Française

14/12/2004 12:48 <DIR> Intel

20/06/2007 18:24 <DIR> Internet Explorer

09/12/2005 13:35 <DIR> Java

13/12/2004 15:05 <DIR> Lecteur Windows Media

08/06/2007 19:10 <DIR> LibertySurf

08/06/2007 18:55 <DIR> Messager Wanadoo

16/07/2007 16:49 <DIR> Messenger

13/12/2004 15:10 <DIR> microsoft frontpage

28/08/2007 14:25 <DIR> MSN Messenger

07/10/2007 12:39 <DIR> Navilog1

26/06/2007 13:12 <DIR> NetMeeting

08/06/2007 19:33 <DIR> Netscape

13/06/2007 19:02 <DIR> Nullsoft

26/06/2007 13:13 <DIR> OpenOffice.org 2.0

20/06/2007 18:24 <DIR> Outlook Express

13/06/2007 19:02 <DIR> Real

29/06/2007 22:36 <DIR> Spybot - Search & Destroy

29/06/2007 22:09 <DIR> Sunbelt Software

07/10/2007 11:32 <DIR> Trend Micro

13/06/2007 19:02 <DIR> Viewpoint

13/06/2007 19:48 <DIR> Wanadoo

20/06/2007 18:28 <DIR> Windows Media Player

13/12/2004 15:05 <DIR> Windows NT

26/06/2007 13:13 <DIR> WinRAR

28/08/2007 13:33 <DIR> Yahoo!

22/09/2007 12:13 <DIR> Zone Labs

0 fichier(s) 0 octets

42 Rép(s) 16 223 260 672 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 7063-DE16

 

Répertoire de C:\Program Files\fichiers communs

 

20/06/2007 19:01 <DIR> .

20/06/2007 19:01 <DIR> ..

08/06/2007 02:03 <DIR> Adobe

13/06/2007 19:01 <DIR> AOL

13/06/2007 19:02 <DIR> aolback

20/06/2007 19:19 <DIR> aolshare

14/12/2004 12:40 <DIR> InstallShield

09/12/2005 13:35 <DIR> Java

08/06/2007 18:57 <DIR> Microsoft Shared

13/12/2004 14:54 <DIR> ODBC

20/06/2007 19:19 <DIR> Real

08/06/2007 18:57 <DIR> Services

20/06/2007 18:23 <DIR> System

0 fichier(s) 0 octets

13 Rép(s) 16 223 195 136 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 7063-DE16

 

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

 

13/12/2004 15:15 <DIR> .

13/12/2004 15:15 <DIR> ..

04/11/1999 03:38 561 210 MSONSEXT.DLL

03/06/1999 22:09 122 937 MSOWS409.DLL

07/03/2001 17:00 127 033 MSOWS40c.DLL

3 fichier(s) 811 180 octets

2 Rép(s) 16 223 256 576 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 7063-DE16

 

Répertoire de C:\Program Files\common files

 

25/06/2007 19:52 <DIR> .

25/06/2007 19:52 <DIR> ..

28/08/2007 13:32 <DIR> Scanner

20/06/2007 18:24 <DIR> System

0 fichier(s) 0 octets

4 Rép(s) 16 223 256 576 octets libres

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 7063-DE16

 

Répertoire de C:\

 

 

 

 

 

c:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files\Kaspersky Anti-Virus 7.0.0.124\French\setup.exe

c:\Documents and Settings\user\Bureau\ComboFix.exe

c:\Documents and Settings\user\Bureau\HJTInstall.exe

c:\Documents and Settings\user\Bureau\Navilog1.exe

c:\Documents and Settings\user\Bureau\Preparation_Messenger.exe

c:\Documents and Settings\user\Bureau\SDFix.exe

c:\Documents and Settings\user\Bureau\VundoFix.exe

c:\Documents and Settings\user\Bureau\DiagHelp\catchme.exe

c:\Documents and Settings\user\Bureau\DiagHelp\diff.exe

c:\Documents and Settings\user\Bureau\DiagHelp\dumphive.exe

c:\Documents and Settings\user\Bureau\DiagHelp\FilesInfoCmd.exe

c:\Documents and Settings\user\Bureau\DiagHelp\find2.exe

c:\Documents and Settings\user\Bureau\DiagHelp\Fport.exe

c:\Documents and Settings\user\Bureau\DiagHelp\grep.exe

c:\Documents and Settings\user\Bureau\DiagHelp\KProcCheck.exe

c:\Documents and Settings\user\Bureau\DiagHelp\LFiles.exe

c:\Documents and Settings\user\Bureau\DiagHelp\LISTDLLS.exe

c:\Documents and Settings\user\Bureau\DiagHelp\md5sums.exe

c:\Documents and Settings\user\Bureau\DiagHelp\pslist.exe

c:\Documents and Settings\user\Bureau\DiagHelp\streams.exe

c:\Documents and Settings\user\Bureau\DiagHelp\swreg.exe

c:\Documents and Settings\user\Bureau\MSNFix\msnchk.exe

c:\Documents and Settings\user\Bureau\MSNFix\incl\MD5File.exe

c:\Documents and Settings\user\Bureau\MSNFix\incl\msnchk.exe

c:\Documents and Settings\user\Bureau\MSNFix\incl\Process.exe

c:\Documents and Settings\user\Bureau\MSNFix\incl\swreg.exe

c:\Documents and Settings\user\Bureau\MSNFix\incl\zip.exe

c:\Documents and Settings\user\Bureau\SDFix\SDFix\catchme.exe

c:\Documents and Settings\user\Bureau\SDFix\SDFix\apps\cliptext.exe

c:\Documents and Settings\user\Bureau\SDFix\SDFix\apps\download.exe

c:\Documents and Settings\user\Bureau\SDFix\SDFix\apps\drivers.exe

c:\Documents and Settings\user\Bureau\SDFix\SDFix\apps\ERUNT.EXE

c:\Documents and Settings\user\Bureau\SDFix\SDFix\apps\FixPath.exe

c:\Documents and Settings\user\Bureau\SDFix\SDFix\apps\ISADMIN.EXE

c:\Documents and Settings\user\Bureau\SDFix\SDFix\apps\LS.exe

c:\Documents and Settings\user\Bureau\SDFix\SDFix\apps\MD5File.exe

c:\Documents and Settings\user\Bureau\SDFix\SDFix\apps\moveex.exe

c:\Documents and Settings\user\Bureau\SDFix\SDFix\apps\Process.exe

c:\Documents and Settings\user\Bureau\SDFix\SDFix\apps\procs.exe

c:\Documents and Settings\user\Bureau\SDFix\SDFix\apps\psservice.exe

c:\Documents and Settings\user\Bureau\SDFix\SDFix\apps\RegDACL.exe

c:\Documents and Settings\user\Bureau\SDFix\SDFix\apps\RestartIt!.exe

c:\Documents and Settings\user\Bureau\SDFix\SDFix\apps\sc.exe

c:\Documents and Settings\user\Bureau\SDFix\SDFix\apps\SF.exe

c:\Documents and Settings\user\Bureau\SDFix\SDFix\apps\shutdown.exe

c:\Documents and Settings\user\Bureau\SDFix\SDFix\apps\swreg.exe

c:\Documents and Settings\user\Bureau\SDFix\SDFix\apps\swsc.exe

c:\Documents and Settings\user\Bureau\SDFix\SDFix\apps\unzip.exe

c:\Documents and Settings\user\Bureau\SDFix\SDFix\apps\WINMSG.EXE

c:\Documents and Settings\user\Bureau\SDFix\SDFix\apps\zip.exe

c:\Documents and Settings\user\Bureau\SDFix\SDFix\apps\Replace\W2K.exe

c:\Documents and Settings\user\Bureau\SDFix\SDFix\apps\Replace\XP.exe

c:\Documents and Settings\user\Bureau\SDFix\SDFix\backups\attrib.exe

c:\Documents and Settings\user\Bureau\SDFix\SDFix\backups\find.exe

c:\Documents and Settings\user\Bureau\SDFix\SDFix\backups\findstr.exe

c:\Documents and Settings\user\Bureau\SDFix\SDFix\backups\regedit.exe

c:\Documents and Settings\user\Bureau\Winseeker\WINSeeker.exe

c:\Documents and Settings\user\Mes documents\Install_Messenger.exe

c:\Documents and Settings\user\Mes documents\INSTALL_MSN_MESSENGER_NT.EXE

c:\Documents and Settings\user\Mes documents\zik\Timbaland - Shock Value (2007) - Hip Hop By FEFE2003\Install_Messenger.exe

c:\Documents and Settings\user\Mes documents\zik\Timbaland - Shock Value (2007) - Hip Hop By FEFE2003\INSTALL_MSN_MESSENGER_DL.EXE

 

****** Fin du rapport DiagHelp

[Gof]

Bonjour Bailing

 

Curieux, le script pour nettoyer les clés des processus en exception dans le pare-feu windows ne semble pas avoir fonctionné. Ou je me suis trompé dans le script, ou les processus sont revenus. On va voir ça.

 

Regarde si tu trouves et supprimes les si possible :

• C:\WINNT\System32162432ld.exe <-ce fichier
  C:\WINNT\System32399162ld.exe <-ce fichier
  

Supprime le répertoire Qoobox et l'archive que tu avais crée sur ton bureau.

 

On va effectuer à nouveau un nettoyage en mode sans échec.

 

 

• Télécharge AVG AS - Mets le à jour.
  Ferme AVG AS. Ne pas le lancer tout de suite.
  Un tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_AVG_AntiSpyware.php
  

• Télécharge ATF Cleaner par Atribune.
  

• Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. Je te demande de le retélécharger afin d'avoir une version à jour.
  
• Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
  

Imprime ou sauvegarde ces instructions dans un fichier texte de manière à pouvoir les consulter en mode sans échec.Tu peux également enregistrer cette page à partir de ton navigateur (fichier>enregistrer sous) de sorte de conserver la mise en page

 

 

Redémarre en mode sans échec :

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.) C'est un mode de diagnostic et de débuggage de Windows, il est normal que cela mette du temps à démarrer et que l'affichage soit différent.

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].Sélectionne ensuite ta session habituelle.

NB:Si problème, consulte cette aide : http://www.malekal.com/modesansechec.php

• Double-clique ATF-Cleaner.exe afin de lancer le programme.
  

• Pour internet explorer
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected
  

• Pour Firefox
  Sous l'onglet Firefox, choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  

• Clique Exit, du menu prinicipal, afin de fermer le programme.
  

• Lance AVG AS et clique sur Analyse
  
• Puis sur l'onglets Puis l'onglet Paramètres, pour Comment réagir ? sélectionne Actions recommandées puis Quarantaine
  
• Reviens a l'onglet Analyse et clique sur Analyse complète du système, le scan démarre
  
• Si un fichier infecté a été détecté, en fin d'analyse clique sur Appliquer toutes les actions
  
• Clique sur Enregistrer le rapport et pour finir Enregistrer le rapport sous, enregistre sur le Bureau
  

• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  
• Appuie sur Y pour commencer le processus de nettoyage.
  
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  
• Appuie sur une touche pour redémarrer le PC.
  
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  

• Redémarre en mode normal.
  Poste :
  
• le rapport AVG AS
  
• le rapport SDFIX
  
• un nouveau log hijackthis
  

A plus tard. Prends le temps de bien lire tout ça, suis pas à pas les instructions.

[Bailing]

Bonjour Gof

 

J'ai suivi pas à pas les directives que tu m'as indiquées. Cependant, je n'ai pas pu supprimer les deux fichiers car je ne les ai pas trouvé (même en employant la fonction recherche de Windows).

La connexion Internet fonctionne de nouveau.

 

Voici le rapport AVG AS (J'ai sauvegardé le rapport et ensuite mis les fichiers en quarantaine)

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 16:30:37 14/10/2007

 

+ Résultat de l'analyse:

 

 

 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Aucune action entreprise.

HKU\S-1-5-21-1708537768-764733703-854245398-1000\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Aucune action entreprise.

C:\WINNT\system32\m4x[x] -> Backdoor.Flood : Aucune action entreprise.

C:\WINNT\system32\m4x[5] -> Backdoor.Sliv.a : Aucune action entreprise.

C:\WINNT\system32\m4x[4] -> Backdoor.Zapchast : Aucune action entreprise.

C:\WINNT\system32\m4x[6] -> Backdoor.Zapchast : Aucune action entreprise.

C:\WINNT\system32\m4x[7] -> Backdoor.Zapchast : Aucune action entreprise.

C:\WINNT\system32\m4x[c] -> Backdoor.Zapchast : Aucune action entreprise.

C:\11.tmp -> Hijacker.Agent.jn : Aucune action entreprise.

C:\14.tmp -> Hijacker.Agent.jn : Aucune action entreprise.

C:\Program Files\Internet Explorer\Connection Wizard\Swfwin32.dll -> Trojan.Flood : Aucune action entreprise.

C:\WINNT\system32\m4x[3] -> Worm.Randon.a : Aucune action entreprise.

 

 

Fin du rapport

 

 

 

Celui de SDFix

 

 

SDFix: Version 1.109

 

Run by user on dim. 14/10/2007 at 16:33

 

Microsoft Windows 2000 [Version 5.00.2195]

 

Running From: C:\DOCUME~1\user\Bureau\SDFix

 

Safe Mode:

Checking Services:

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

 

Rebooting...

 

 

Normal Mode:

Checking Files:

 

No Trojan Files Found

 

 

 

 

Removing Temp Files...

 

ADS Check:

 

C:\WINNT

No streams found.

 

C:\WINNT\system32

No streams found.

 

C:\WINNT\system32\svchost.exe

No streams found.

 

C:\WINNT\system32\ntoskrnl.exe

No streams found.

 

 

 

Final Check:

 

Remaining Services:

------------------

 

 

 

 

Remaining Files:

---------------

 

 

Files with Hidden Attributes:

 

Wed 22 May 2002 49,222 A..H. --- "C:\Program Files\AOL 7.0\aolphx.exe"

Wed 22 May 2002 32,842 A..H. --- "C:\Program Files\AOL 7.0\aoltray.exe"

Fri 10 May 2002 40,960 A..H. --- "C:\Program Files\AOL 7.0\RBM.exe"

Wed 22 May 2002 180,290 A..H. --- "C:\Program Files\AOL 7.0\waol.exe"

Wed 23 Apr 2003 49,221 A..H. --- "C:\Program Files\AOL 8.0\aolphx.exe"

Wed 23 Apr 2003 36,937 A..H. --- "C:\Program Files\AOL 8.0\aoltray.exe"

Wed 23 Apr 2003 40,960 A..H. --- "C:\Program Files\AOL 8.0\RBM.exe"

Wed 23 Apr 2003 237,633 A..H. --- "C:\Program Files\AOL 8.0\waol.exe"

Wed 22 May 2002 53,320 A..H. --- "C:\Program Files\AOL 7.0\COMIT\cswitch.exe"

Wed 23 Apr 2003 49,223 A..H. --- "C:\Program Files\AOL 8.0\COMIT\cswitch.exe"

Sat 3 Feb 2007 580,999 A..H. --- "C:\Program Files\Internet Explorer\Connection Wizard\winswf.com"

 

Finished!

 

et le rapport HijackThis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:48:47, on 14/10/2007

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\mnmsrvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\wanmpsvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\notepad.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINNT\system32\internat.exe

C:\Program Files\NetMeeting\conf.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:110

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [Microsoft NetMeeting] "C:\Program Files\NetMeeting\conf.exe" -Background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')

O4 - Startup: ExtConfig.lnk = C:\Program Files\LibertySurf\Config\CONFIG.INI

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: Icône AOL.lnk = C:\Program Files\AOL 7.0\aoltray.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM95\AIM.EXE

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\system32\Shdocvw.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll

O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://s.tf1.fr/mmdia/static/rawflow/clien...1.0/Rawflow.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab56986.cab

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINNT\wanmpsvc.exe

 

--

End of file - 5581 bytes

[Gof]

Bonjour Bailing

 

As tu bien suivi mes recommandations ? En l'état, je ne sais pas si tu as généré le rapport AVG AS avant de sélectionner Appliquer toutes les actions, ou si tu as bien généré le rapport après mais AVG AS ne les a pas traités. Peux tu me dire ce qu'il en est ?

 

Double-clique Winseeker.exe pour l'exécuter.

• Clique sur l'onglet Fichiers - Recherche
  
• Dans la fenêtre de saisie Fichier/dossier, copie-colle les éléments suivants :
  

• m4x*
  

• Laisse la fenêtre de saisie Date vide
  
• Dans Répertoire à scanner, copie-colle : %Windir%
  
• Assure toi que les cases Inscrire le chemin,Inscrire les attributs, Inscrire la date de création et scanner le répertoire de manière récursive soient cochées
  
• Clique sur l'onglet GO !
  
• Clique sur le bouton GO !
  

L'outil va travailler et générer un rapport, copie-colle le à la suite.

 

Cherche et supprime les fichiers suivants :

• C:\11.tmp <-ce fichier
  C:\14.tmp <- ce fichier
  C:\Program Files\Internet Explorer\Connection Wizard\Swfwin32.dll <- ce fichier
  

Vide ta corbeille.

 

Bonne journée

[Bailing]

Bonsoir Gof ,

 

En ce qui concerne AVG AS, j'ai analysé en mode sans échec mon PC (Comme dans tes indications). Ensuite, lorsque j'ai eu les résultats de l'analyse, j'ai sauvegardé le rapport dans un premier temps, puis j'ai mis les fichiers en quarantaine.

J'ai effectué une analyse et le résultat ne montre aucune présence des fichiers infectés.

 

Voici le rapport Winseeker :

WINSeeker 1.0 - bibi26

 

Fichier/dossier recherché : m4x

Date recherchée : Aucune (jj/mm/aaaa)

Répertoire à scanner : C:\WINNT (Récursif)

 

--> Fichiers/Dossiers trouvés

 

 

--> Fin du rapport

 

 

Je n'ai pas trouvé les trois fichiers que tu m'as indiqués.

Ps : Sous AVG AS, ils sont présents en quarantaine.

[Gof]

Bonsoir Bailing

 

Ok très bien, je n'étais pas certain que AVG AS les ai traités. Tu n'as pas complétement bien suivi la manipulation alors, c'est seulement après la mise en quarantaine que tu aurais du générer le rapport

 

Je serais partisant que tu optes pour un autre pare-feu que celui de windows, afin de pallier aux exceptions du pare-feu inscrites encore pour l'instant dans ta base de registre. Cela permettrait d'éviter la réinfection au cas où. Zone Alarm n'est pas le plus performant (pour les puristes), mais il me semble l'un des plus accessibles. Tu as d'autres choix sinon en gratuit.

 

Voila quelques liens pour des pare-feux gratuits (la liste n'est pas exhaustive) :

 

Zone Alarm (2 versions )

Lien de téléchargement de la version FREE : http://www.zonelabs.com/store/content/cata...&lid=nav_za

Lien de téléchargement de la version PRO : http://www.zonelabs.com/store/content/cata...lid=dbtopnav_za

La version pro est payante après une période d'essai.

Tuto de Tesgaz pour la version pro : http://speedweb1.free.fr/frames2.php?page=tuto1

Tuto de Odsen pour la version free : http://benoit.aun.free.fr/securite-facile-php/zonealarm.php

 

Kerio (2 versions également)

Lien de téléchargement : http://www.sunbelt-software.com/evaluation/440/kerio.exe

Tuto de Malekal_morte : http://www.malekal.com/kerio_firewall.html

 

Jetico

Lien de téléchargement éditeur : http://www.jetico.com/

Lien de téléchargement sur Zebulon (en fr) : http://telechargement.zebulon.fr/license-1-225.html

Tuto de Odsen (lien site) : http://benoit.aun.free.fr/securite-facile-php/jetico.php

Tuto de Odsen (lien zeb) : http://forum.zebulon.fr/index.php?showtopic=93489

 

Outpost firewall free

Lien de téléchargement éditeur : http://www.agnitum.com/products/outpostfree/download.php

Tuto de Odsen (lien site) : http://securite-facile.ovh.org/jetico.php

 

La liste n'est pas exhaustive, il en existe d'autres gratuits, et d'autres avec plus de fonctions payants. Télécharge l'exécutable d'installation du pare-feu que tu auras choisi. Déconnecte toi, débranche physiquement ta connexion, désactive le pare-feu windows et lance l'installation de ton pare-feu. Puis reconnecte toi et suis les instructions supplémentaires s'il y en a. Aide toi des tutos.

 

Il faut que l'on corrige les exceptions dans le pare-feu qui n'ont pas été corrigées dans le dernier script. Reposte un log Hijackthis également que l'on fasse un tour d'horizon, mais seulement après avoir installé un autre pare-feu (comme ça je m'assure qu'il n'y a pas eu de soucis pour l'installation). Tu m'as dit avoir récupéré ta connexion, constates-tu visuellement des soucis ?

[Bailing]

J'ai seulement une question :

Windows 2000 a-t-il un parefeu intégré ? J'utilise un firewall Sunbelt Personal Firewall mais je vais en changer pour un autre.

 

Voici le rapport demander :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:46:59, on 15/10/2007

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\MSTask.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\WINNT\wanmpsvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINNT\system32\internat.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.exe

C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\rundll32.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:110

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [Microsoft NetMeeting] "C:\Program Files\NetMeeting\conf.exe" -Background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')

O4 - Startup: ExtConfig.lnk = C:\Program Files\LibertySurf\Config\CONFIG.INI

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: Icône AOL.lnk = C:\Program Files\AOL 7.0\aoltray.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM95\AIM.EXE

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\system32\Shdocvw.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll

O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://s.tf1.fr/mmdia/static/rawflow/clien...1.0/Rawflow.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab56986.cab

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINNT\wanmpsvc.exe

 

--

End of file - 5707 bytes

[Gof]

 

Pardon.

 

Windows 2000 a-t-il un parefeu intégré ? J'utilise un firewall Sunbelt Personal Firewall mais je vais en changer pour un autre.

Non non, ok, conserve ton pare-feu. Pardonne moi de la confusion.

 

Relance un scan HijackThis

• Clique sur Do a system scan only et coche les lignes ci-dessous :
  

• O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
  

• Ferme toutes les fenêtres sauf HijackThis et Fix Checked.
  

Puis, rends toi sur ce fichier et supprime le :

• C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe
  

Vide ta corbeille.

 

Tu as antivir de présent sur ce pc. Je vais te demander de le mettre à jour et d'effectuer une analyse en mode sans échec. Je n'entre pas dans les détails, tu sais comment redémarrer en sans échec. Assure toi qu'il soit configuré comme indiqué sur ce lien. La version a un peu évolué suite au tuto, mais l'essentiel est présent.

 

Poste le rapport à l'issue.

[Bailing]

Je n'ai pas installé correctement le logiciel Antivir et je ne peux pas le supprimer en utilisant dans le panneau de configuration Ajout/suppression de programmes.

Saurai-tu comment faire ? En attendant je vais faire la dernière étape.