Infection par routing.exe, andt.sys, indt2.sys

[oGu]

Arf, erreur de mise à jour dans mon discours en conserve: le .bat a remplacé le .cmd...As-tu essayé en tapant sur RunThis.bat?

[G-Fox]

Arf, erreur de mise à jour dans mon discours en conserve: le .bat a remplacé le .cmd...As-tu essayé en tapant sur RunThis.bat?

 

Ma foi non. Du coup, j'essaye ?

C'est un fichier MS-DOS, ça ne craint pas un peu ou c'est good ?

[oGu]

Oui tu peux y aller, c'est une erreur de ma part, j'avais indiqué .cmd (c'était le cas sur l'ancienne version de SDFix) plutôt que .bat...

 

Navré!

[G-Fox]

J'ai effectué la manipulation.

Ici le rapport :

 

 

SDFix: Version 1.188

Run by GALLOT on 07/06/2008 at 07:58

 

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

 

Checking Services :

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

 

Rebooting

 

 

Checking Files :

 

Trojan Files Found:

 

C:\WINDOWS\photo album.zip - Deleted

C:\WINDOWS\system32\comsa32.sys - Deleted

 

 

 

 

 

Removing Temp Files

 

ADS Check :

 

 

 

Final Check :

 

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-06-07 08:13:47

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]

"s0"=dword:5aa8bd02

"s1"=dword:10ab4268

"s2"=dword:638db7f3

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

 

Remaining Services :

 

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe"="C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe:*:Enabled:Kaspersky Anti-Virus"

"C:\\Program Files\\Fichiers communs\\AOL\\Loader\\aolload.exe"="C:\\Program Files\\Fichiers communs\\AOL\\Loader\\aolload.exe:*:Enabled:AOL Loader"

"C:\\Program Files\\Fichiers communs\\AOL\\1159290908\\ee\\aolsoftware.exe"="C:\\Program Files\\Fichiers communs\\AOL\\1159290908\\ee\\aolsoftware.exe:*:Enabled:AOL Services"

"C:\\Program Files\\Fichiers communs\\AOL\\1159290908\\ee\\aim6.exe"="C:\\Program Files\\Fichiers communs\\AOL\\1159290908\\ee\\aim6.exe:*:Enabled:AIM"

"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"

"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"

"C:\\Program Files\\ICQLite\\ICQLite.exe"="C:\\Program Files\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"

"C:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"="C:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe:*:Enabled:BlueSoleil"

"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"

"C:\\Program Files\\Hewlett-Packard\\HP Share-to-Web\\hpgs2wnf.exe"="C:\\Program Files\\Hewlett-Packard\\HP Share-to-Web\\hpgs2wnf.exe:*:Disabled:hpgs2wnf Module"

"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"

"C:\\Program Files\\Sports Interactive\\Football Manager 2007\\fm.exe"="C:\\Program Files\\Sports Interactive\\Football Manager 2007\\fm.exe:*:Enabled:Football Manager 2007"

"C:\\Program Files\\KONAMI\\Pro Evolution Soccer 6\\PES6.exe"="C:\\Program Files\\KONAMI\\Pro Evolution Soccer 6\\PES6.exe:*:Disabled:pes6.exe"

"C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe"="C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe:*:Enabled:Kaspersky Anti-Virus"

"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"

"C:\\Program Files\\Sports Interactive\\Football Manager 2008\\fm.exe"="C:\\Program Files\\Sports Interactive\\Football Manager 2008\\fm.exe:*:Enabled:Football Manager 2008"

"C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"

"C:\\WINDOWS\\system32\\muzapp.exe"="C:\\WINDOWS\\system32\\muzapp.exe:*:Enabled:MUZ AOD APP player"

"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

"C:\\Program Files\\TVAnts\\Tvants.exe"="C:\\Program Files\\TVAnts\\Tvants.exe:*:Enabled:TVAnts"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

 

Remaining Files :

 

 

File Backups: - C:\SDFix\backups\backups.zip

 

Files with Hidden Attributes :

 

Fri 6 Oct 2006 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Sun 2 Mar 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"

Tue 26 Sep 2006 1,605 A..H. --- "C:\Program Files\Fichiers communs\AOL\IPHSend\IPH.BAK"

Sat 9 Feb 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\0a67b6c406b1d7e0f5c1e6f6d44a3f6e\BIT4.tmp"

Sat 9 Feb 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\18b19374451d28a8fbaf1939cf31ff45\BIT7.tmp"

Sat 9 Feb 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\22fb973e059470cc1b5d76c4ae605351\BITB.tmp"

Wed 7 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\24af2a69c06a4de03e35dc89d706475f\BIT1B.tmp"

Sat 9 Feb 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\26924cbc8132a10b438ce6e2b49d4652\BIT3.tmp"

Sat 9 Feb 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\2769b111678c52099a3b3123b12f2325\BIT8.tmp"

Sat 9 Feb 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\30285791903730fbf957a83562db4ff4\BIT5.tmp"

Thu 20 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\778fd2fc3fe6b905e366b5ddbba384c8\BIT2.tmp"

Sat 9 Feb 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\9e870549834e2bceb796e44a1e3ac6f5\BITA.tmp"

Sat 9 Feb 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\cb8921d0c7830b2f33c00fa4c8a10d17\BIT6.tmp"

Sat 9 Feb 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d77b9b5b8fed23dd91f50d167cce60d3\BIT9.tmp"

Fri 6 Oct 2006 4,348 ...H. --- "C:\Documents and Settings\GALLOT\Mes documents\Ma musique\Sauvegarde de la licence\drmv1key.bak"

Thu 25 Jan 2007 20 A..H. --- "C:\Documents and Settings\GALLOT\Mes documents\Ma musique\Sauvegarde de la licence\drmv1lic.bak"

Wed 27 Sep 2006 312 A.SH. --- "C:\Documents and Settings\GALLOT\Mes documents\Ma musique\Sauvegarde de la licence\drmv2key.bak"

 

Finished!

 

 

Ce qui est bizarre, c'est que dans mon Gestionnaire de tâche, j'ai toujours routing.exe, et que dans system 32 j'ai toujours andt.sys. Est-ce normal ?

[oGu]

Ce qui est bizarre, c'est que dans mon Gestionnaire de tâche, j'ai toujours routing.exe, et que dans system 32 j'ai toujours andt.sys. Est-ce normal ?

 

Oui. La désinfection n'est pas terminée!

 

COMBOFIX

• Télécharge ComboFix de sUBs SUR TON BUREAU (il est impératif de le mettre sur le Bureau) en cliquant sur cette image:
  

 

 

 

• Télécharge ensuite les fichiers de Console de Récupération
  
  • Ici si tu disposes de XP Home/Familial
    
  • Là si tu disposes de XP Pro
    

   

  Comme indiqué sur l'image, déplace le fichier Microsoft que tu viens de télécharger et dépose-le sur ComboFix:

   

  

   

  ComboFix va maintenant installer automatiquement la Console de Récupération Windows sur votre ordinateur, et celle-ci s'affichera en tant que nouvelle option au démarrage de votre ordinateur. La Console pourra être utile en cas de coup dur. C'est une simple précaution, qui a déjà sauvé nombre de machines!

  [*] Scanne enfin ta machine avec ComboFix de sUBs en suivant rigoureusement ce tuto (sauf la partie Console de récupération que l'on a déjà effectuée !!):

   

  http://www.bleepingcomputer.com/combofix/f...iliser-combofix

   

  jusqu'à arriver à la création du rapport que tu posteras.

 

 

Modifié le 7 juin 2008 par oGu

[G-Fox]

Salut !

 

J'ai effectué les dernières étapes que tu m'as décrit.

 

Voici le rapport ComboFix :

 

ComboFix 08-06-06.6 - G****T 2008-06-09 7:25:15.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.139 [GMT 2:00]

Endroit: C:\Documents and Settings\G****T\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\G****T\Bureau\WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

* Création d'un nouveau point de restauration

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\system32\afinding.exe

C:\WINDOWS\system32\comsa32.sys

C:\WINDOWS\system32\drmgs.sys

C:\WINDOWS\system32\Indt2.sys

C:\WINDOWS\system32\routing.exe

C:\WINDOWS\system32\tmp0_113505291105.bk

C:\WINDOWS\system32\tmp0_166604293667.bk

C:\WINDOWS\system32\tmp0_21773545635.bk

C:\WINDOWS\system32\tmp0_387520315072.bk

C:\WINDOWS\system32\tmp0_421987647091.bk

C:\WINDOWS\system32\tmp0_453999166154.bk

C:\WINDOWS\system32\tmp0_553007677030.bk

C:\WINDOWS\system32\tmp0_627457872381.bk

C:\WINDOWS\system32\tmp0_821232295730.bk

C:\WINDOWS\system32\tmp0_840164152778.bk

C:\WINDOWS\system32\tmp0_861455194280.bk

C:\WINDOWS\system32\tmp0_90986380947.bk

C:\WINDOWS\system32\tmp1_123851761305.bk

C:\WINDOWS\system32\tmp1_16662751682.bk

C:\WINDOWS\system32\tmp1_250399673872.bk

C:\WINDOWS\system32\tmp1_301815340738.bk

C:\WINDOWS\system32\tmp1_347290309942.bk

C:\WINDOWS\system32\tmp1_46759556358.bk

C:\WINDOWS\system32\tmp1_468166233351.bk

C:\WINDOWS\system32\tmp1_493611415740.bk

C:\WINDOWS\system32\tmp1_504554285941.bk

C:\WINDOWS\system32\tmp1_65947681824.bk

C:\WINDOWS\system32\tmp1_66965567199.bk

C:\WINDOWS\system32\tmp1_731011666690.bk

C:\WINDOWS\system32\tmp1_817586363817.bk

C:\WINDOWS\system32\tmp1_856649156278.bk

C:\WINDOWS\system32\tmp2_162331654387.bk

C:\WINDOWS\system32\tmp2_259994161527.bk

C:\WINDOWS\system32\tmp2_327675797100.bk

C:\WINDOWS\system32\tmp2_340862623778.bk

C:\WINDOWS\system32\tmp2_348483200153.bk

C:\WINDOWS\system32\tmp2_375470366933.bk

C:\WINDOWS\system32\tmp2_543419164525.bk

C:\WINDOWS\system32\tmp2_562207482181.bk

C:\WINDOWS\system32\tmp2_6035263158.bk

C:\WINDOWS\system32\tmp2_619933340966.bk

C:\WINDOWS\system32\tmp2_757733666926.bk

C:\WINDOWS\system32\tmp3_11495563699.bk

C:\WINDOWS\system32\tmp3_171476585793.bk

C:\WINDOWS\system32\tmp3_202314560525.bk

C:\WINDOWS\system32\tmp3_2464512673.bk

C:\WINDOWS\system32\tmp3_57612872643.bk

C:\WINDOWS\system32\tmp3_684688470537.bk

C:\WINDOWS\system32\tmp3_712066244711.bk

C:\WINDOWS\system32\tmp3_784488103307.bk

C:\WINDOWS\system32\tmp3_863667200523.bk

C:\WINDOWS\system32\tmp4_104887568866.bk

C:\WINDOWS\system32\tmp4_201897125559.bk

C:\WINDOWS\system32\tmp4_232853594046.bk

C:\WINDOWS\system32\tmp4_240453362997.bk

C:\WINDOWS\system32\tmp4_380313518988.bk

C:\WINDOWS\system32\tmp4_503399544755.bk

C:\WINDOWS\system32\tmp4_525250130070.bk

C:\WINDOWS\system32\tmp4_589848452357.bk

C:\WINDOWS\system32\tmp4_875862131282.bk

C:\WINDOWS\system32\WServing.exe

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_AFINDING

-------\Legacy_PERFMONS

-------\Legacy_ROUTING

-------\Legacy_WSERVING

-------\Service_AFinding

-------\Service_perfmons

-------\Service_Routing

-------\Service_WServing

 

 

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-09 to 2008-06-09 ))))))))))))))))))))))))))))))))))))

.

 

2008-06-05 20:28 . 2008-06-05 20:28 <REP> d-------- C:\WINDOWS\ERUNT

2008-06-05 19:54 . 2008-06-07 08:17 <REP> d-------- C:\SDFix

2008-06-04 08:53 . 2008-06-04 20:11 <REP> d-------- C:\Program Files\The Cleaner Free

2008-06-04 08:53 . 2008-06-04 08:53 5,376 --a------ C:\WINDOWS\system32\drivers\MS1000.sys

2008-06-04 08:26 . 2008-06-04 08:26 <REP> d-------- C:\Program Files\CCleaner

2008-05-23 19:32 . 2008-05-23 19:32 <REP> d-------- C:\WINDOWS\system32\Non-Existant

2008-05-23 19:30 . 2008-05-23 19:32 <REP> d-------- C:\Program Files\Fichiers communs\Risxtd

2008-05-23 19:30 . 2008-05-23 19:30 <REP> d-------- C:\Documents and Settings\G****T\Application Data\EndNote

2008-05-23 19:28 . 2008-05-23 19:31 <REP> d-------- C:\Program Files\EndNote 8

2008-05-18 08:36 . 2008-06-07 17:55 54,156 --ah----- C:\WINDOWS\QTFont.qfn

2008-05-18 08:36 . 2008-05-18 08:36 1,409 --a------ C:\WINDOWS\QTFont.for

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-06-09 05:36 136,512,800 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat

2008-06-09 05:33 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab

2008-06-09 05:31 3,371,040 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat

2008-06-09 05:28 320,168 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx

2008-06-09 05:28 1,832,384 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx

2008-06-07 22:08 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-06-07 21:11 --------- d-----w C:\Documents and Settings\G****T\Application Data\uTorrent

2008-05-30 16:01 88,774 ----a-w C:\WINDOWS\system32\drivers\klick.dat

2008-05-29 16:01 96,966 ----a-w C:\WINDOWS\system32\drivers\klin.dat

2008-05-29 16:01 112,144 ----a-w C:\WINDOWS\system32\drivers\kl1.sys

2008-05-27 05:35 --------- d-----w C:\Program Files\eMule

2008-05-23 17:27 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard

2008-05-14 04:10 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help

2008-05-06 16:40 --------- d-----w C:\Program Files\Winamp

2008-04-30 17:19 --------- d-----w C:\Program Files\Hewlett-Packard

2008-04-27 20:01 96,256 ----a-w C:\WINDOWS\system32\drivers\sptd4861.sys

2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll

2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\msjint40.dll

2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys

2006-10-09 15:04 122,880 ------w C:\Documents and Settings\ZEN V Series Media Explorer\AVConvU.dll

2006-09-25 13:56 761,856 ------w C:\Documents and Settings\ZEN V Series Media Explorer\ShCtMtp.dll

2006-07-06 17:33 258,048 ------w C:\Documents and Settings\ZEN V Series Media Explorer\CTImpt3u.exe

2006-07-03 16:31 57,344 ------w C:\Documents and Settings\ZEN V Series Media Explorer\VIDef.dll

2006-06-21 11:22 290,816 ------w C:\Documents and Settings\ZEN V Series Media Explorer\CTConfig.dll

2006-06-14 16:33 94,208 ------w C:\Documents and Settings\ZEN V Series Media Explorer\AVSrcU.dll

2006-05-26 13:12 212,992 ------w C:\Documents and Settings\ZEN V Series Media Explorer\CtMtpRc.dll

2006-05-22 10:22 708,608 ------w C:\Documents and Settings\ZEN V Series Media Explorer\PicRc.dll

2006-05-16 15:56 294,912 ------w C:\Documents and Settings\ZEN V Series Media Explorer\HookWndU.dll

2006-04-25 13:05 110,592 ------w C:\Documents and Settings\ZEN V Series Media Explorer\CTConvU.dll

2006-03-03 11:18 10,240 ------w C:\Documents and Settings\ZEN V Series Media Explorer\MFInfou.dll

2006-01-17 14:50 65,536 ------w C:\Documents and Settings\ZEN V Series Media Explorer\CTIntrfu.dll

2006-01-09 09:04 110,592 ------w C:\Documents and Settings\ZEN V Series Media Explorer\CTPlyLsU.exe

2005-12-23 15:00 249,856 ------w C:\Documents and Settings\ZEN V Series Media Explorer\CTPIMu.exe

2005-12-01 10:27 221,184 ------w C:\Documents and Settings\ZEN V Series Media Explorer\HomeRc.dll

2005-10-18 11:44 266,240 ------w C:\Documents and Settings\ZEN V Series Media Explorer\CTAboutu.dll

2005-04-26 10:59 40,960 ------w C:\Documents and Settings\ZEN V Series Media Explorer\CTSUAppu.exe

2005-04-26 09:06 86,016 ------w C:\Documents and Settings\ZEN V Series Media Explorer\QueTray.exe

2005-04-25 10:50 16,384 ------w C:\Documents and Settings\ZEN V Series Media Explorer\GenreRc.dll

2005-04-18 18:46 53,248 ------w C:\Documents and Settings\ZEN V Series Media Explorer\CTSUSDKu.dll

2005-03-07 01:00 23,552 ------w C:\Documents and Settings\ZEN V Series Media Explorer\CTRegSvu.exe

2004-12-15 07:44 102,400 ------w C:\Documents and Settings\ZEN V Series Media Explorer\ModeHlp.dll

2004-10-01 13:00 40,960 ----a-w C:\Program Files\Uninstall_CDS.exe

2004-06-15 08:25 279,552 ------w C:\Documents and Settings\ZEN V Series Media Explorer\Muce.dll

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Aim6"="" []

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-26 05:03 68856]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 21:43 7630848]

"nwiz"="nwiz.exe" [2006-08-11 21:43 1519616 C:\WINDOWS\system32\nwiz.exe]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-08-11 21:43 86016]

"RTHDCPL"="RTHDCPL.EXE" [2005-05-25 17:37 14477312 C:\WINDOWS\RTHDCPL.EXE]

"InCD"="C:\Program Files\Ahead\InCD\InCD.exe" [2005-07-08 16:25 1397760]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]

"DAEMON Tools-1033"="C:\Program Files\D-Tools\daemon.exe" [2003-03-12 19:41 77824]

"HostManager"="C:\Program Files\Fichiers communs\AOL\1159290908\ee\AOLSoftware.exe" [2006-05-25 16:35 50760]

"IPHSend"="C:\Program Files\Fichiers communs\AOL\IPHSend\IPHSend.exe" [2006-02-17 18:59 124520]

"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" [ ]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 06:24 286720]

"Acrobat Assistant 8.0"="C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 23:46 624248]

"SMSTray"="C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe" [2007-09-20 09:23 132624]

"SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 10:03 210472]

"PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2007-01-29 22:12 30248]

"IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2007-01-29 22:10 46632]

"PPort11reminder"="C:\Program Files\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 14:46 255528]

"BrMfcWnd"="C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 15:51 663552]

"ControlCenter3"="C:\Program Files\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 16:58 65536]

"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2007-05-19 22:36 218640]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{88485281-8b4b-4f8d-9ede-82e29a064277}"= C:\PROGRA~1\MarkAny\CONTEN~1\MACSMA~1.DLL [2004-11-23 17:51 192512]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.DIV4"= divxc32f.dll

"VIDC.DIV3"= divxc32.dll

"MSACM.DIVXA32"= divxa32.acm

"VIDC.YV12"= yv12vfw.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\Fichiers communs\\AOL\\Loader\\aolload.exe"=

"C:\\Program Files\\Fichiers communs\\AOL\\1159290908\\ee\\aolsoftware.exe"=

"C:\\Program Files\\Fichiers communs\\AOL\\1159290908\\ee\\aim6.exe"=

"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=

"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=

"C:\\Program Files\\ICQLite\\ICQLite.exe"=

"C:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=

"C:\\Program Files\\eMule\\emule.exe"=

"C:\\Program Files\\Messenger\\msmsgs.exe"=

"C:\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe"=

"C:\\Program Files\\Sports Interactive\\Football Manager 2008\\fm.exe"=

"C:\\Program Files\\uTorrent\\uTorrent.exe"=

"C:\\WINDOWS\\system32\\muzapp.exe"=

"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

 

R2 ahfprog;ahfP Service;C:\WINDOWS\system32\ahfp.exe [2006-09-26 18:30]

R2 Pctspk;PCTEL Speaker Phone;C:\WINDOWS\system32\pctspk.exe [2001-08-23 19:47]

R3 adiusbae;USB ADSL LAN Adapter;C:\WINDOWS\system32\DRIVERS\adiusbae.sys [2003-03-26 14:40]

R3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\DRIVERS\BrScnUsb.sys [2004-10-15 13:50]

R3 hfdrv;hfdrv;C:\WINDOWS\system32\hfdrv.sys [2006-09-26 18:30]

R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58]

R3 Ptserlp;PCTEL Serial Device Driver for PCI;C:\WINDOWS\system32\DRIVERS\ptserlp.sys [2001-08-17 23:28]

R3 st3tgbus;st3tgbus;C:\WINDOWS\system32\DRIVERS\st3tgbus.sys [2003-03-12 19:37]

R3 st3tiger;st3tiger;C:\WINDOWS\system32\DRIVERS\st3tiger.sys [2003-03-12 19:38]

S3 KS-959;Kingsun KS-959 USB Infrared Adapter;C:\WINDOWS\system32\DRIVERS\KS-959.sys [2005-10-09 05:26]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]

\Shell\AutoRun\command - F:\autorun.exe

 

.

Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

"2008-06-06 21:40:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

- C:\Program Files\Apple Software Update\SoftwareUpdate.exe

.

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-06-09 07:31:02

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

 

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe

C:\WINDOWS\system32\CTSVCCDA.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Brother\ControlCenter3\BrccMCtl.exe

C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe

C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe

C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-06-09 7:43:24 - machine was rebooted

ComboFix-quarantined-files.txt 2008-06-09 05:43:14

 

Pre-Run: 40,955,936,768 octets libres

Post-Run: 41,057,193,984 octets libres

 

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP ?dition familiale" /noexecute=optin /fastdetect

C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

 

254 --- E O F --- 2008-05-17 06:06:00

 

Et voici le nouveau rapport HiJackThis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 07:48:05, on 09/06/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ahfp.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Ahead\InCD\InCD.exe

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\Fichiers communs\AOL\1159290908\ee\AOLSoftware.exe

C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe

C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe

C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Brother\ControlCenter3\brccMCtl.exe

C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe

C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe

C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://home.free.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: BHO Barre de Confiance CM-CIC - {988B07F5-7392-455A-8A1F-64935CB8B6ED} - C:\Program Files\BarreConfCMCIC\TAPBar.dll

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: Barre de confiance CM-CIC - {55BDF3B0-C0A8-481A-B8A6-01CD2BE0F3FD} - C:\Program Files\BarreConfCMCIC\TAPBar.dll

O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1159290908\ee\AOLSoftware.exe

O4 - HKLM\..\Run: [iPHSend] C:\Program Files\Fichiers communs\AOL\IPHSend\IPHSend.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [sMSTray] C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe

O4 - HKLM\..\Run: [sSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [PaperPort PTD] "C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe"

O4 - HKLM\..\Run: [indexSearch] "C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe"

O4 - HKLM\..\Run: [PPort11reminder] "C:\Program Files\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Application Data\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini

O4 - HKLM\..\Run: [brMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN

O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: BlueSoleil.lnk = ?

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe

O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1159539586265

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: ahfP Service (ahfprog) - Unknown owner - C:\WINDOWS\system32\ahfp.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

 

--

End of file - 11100 bytes

 

Tu me diras si c'est bon ou les autres procédures à suivre.

Merci

[oGu]

ComboFix a fait du bon boulot.

 

 

AZUREUS et PEER-TO-PEER

 

Je note que tu as deux logiciels de peer-to-peer: eMule et uTorrent

 

Merci donc de relire:

• La Charte du forum
  
• L'article de Tesgaz sur les dangers du peer-to-peer et des cracks
  
• Le test d'eMule par Malekal
  

 

Va faire un tour sur le forum de désinfection: le peer-to-peer est l'un des principaux vecteurs de virus via les cracks, keygens, fakes... : merci donc de désinstaller eMule et uTorrent avant de poursuivre!!

 

 

 

 

 

TOOLBARS !

 

Nous déconseillons, sur nos forums de sécurité, l'utilisation de toolbars: en général elles n'aident en rien et ont des visées essentiellement publicitaires:voir ces liens:

 

• La Yahoo! Toolbar analysée par Assiste
  
• Les toolbars, c'est pas obligatoire ! (by Malekal)
  

 

 

Tiens, voilà les conditions d'utilisation de la toolbar Google:

 

 

Utilisation de Google (extrait des conditions d'utilisation):

 

"Informations personnelles et autres données collectées

 

* Google recueille des informations personnelles lorsque vous vous inscrivez à un service Google ou lorsque vous fournissez ces informations de votre propre initiative. Elles peuvent en outre être combinées avec les informations issues d'autres services Google ou de tiers, dans le but d'en rendre l'utilisation plus agréable et, le cas échéant, de proposer des contenus personnalisés.

* Google utilise des cookies et d'autres technologies afin de faciliter votre utilisation des services Google, afin d'étudier l'usage qui en est fait et plus généralement afin d'améliorer nos prestations.

* A chaque fois que vous consultez notre site Internet ou faites appel à nos services, les serveurs de Google enregistrent automatiquement des informations telles que l'URL, l'adresse IP, le type et la langue du navigateur, ainsi que la date et l'heure de la connexion.

* Pour plus d'informations, veuillez vous reporter à la version complète de la Charte de confidentialité de Google. "

Source: http://www.google.be/intl/fr/privacy.html

 

"La barre d'outils Google a été conçue pour être utilisée en combinaison avec les services de recherche Google. En conséquence, l'utilisation que vous faites de la barre d'outils Google est également définie par les Conditions d'utilisation et par les Règles de confidentialité énoncées par Google."

Source: http://tools.google.com/firefox/toolbar/FT...fr/install.html

 

 

Sous le langage policé ("améliorations de nos prestations, recueil des infos personnelles pour proposer un contenu personnalisé", etc...), il faut en fait comprendre que Google récupère des infos sur ton profil commercial pour mieux te cibler publicitairement...

 

Par ailleurs elles pourrissent les navigateurs en se greffant dessus...Procède comme suit:

 

 

DESINSTALLATION de BASE

• Ouvre Firefox
  
• Choisis Outils, puis Modules complémentaires
  
• Cherche les modules s'ils existent:
  Google Toolbar
  Adobe\Acrobat 8.0 Toolbar ou équivalent !
  
  et clique sur Désinstaller
  
• Redémarre Firefox
   
   
  
• Ouvre Internet Explorer
  
• Choisis Outils.
  
• Clique sur Gérer les modules complémentaires
  
• Cherche le module Google Toolbar ou équivalent et Adobe\Acrobat 8.0 Toolbar ou équivalent: désactive-les
  
• Redémarre Internet Explorer
  
• Désinstalle la toolbar Google et la toolbar Adobe Acrobat avec le module "ajouter/supprimer des programmes" du Panneau de Configuration
  

 

 

 

VIRUSTOTAL

 

Va sur le site VirusTotal

• Copie cette ligne:
   
  C:\WINDOWS\system32\hfdrv.sys
   
  
• Colle cette ligne dans la fenêtre suivante, sur la page VirusTotal, en faisant CTRL-V:
   
  
   
  
• Clique sur le bouton "Envoyer le fichier" et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
   
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
   
  Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
  

 

 

 

IE 7

 

Il faut mettre Internet Explorer à jour, tu tournes encore avec la version 6 qui est le plus mauvais navigateur de la création! Et ce, même si tu utilises Firefox, car certains logiciels utilisent encore IE (par xemple Windows Media Player), et les mises à jour XP se font via IE.

 

Télécharge IE7 en cliquant sur l'image, puis installe-le:

 

 

 

QUESTION ????

 

Sais-tu à quoi correspond ce dossier en rouge?

 

C:\WINDOWS\system32\Non-Existant

 

Si tu l'ignores, peux-tu l'ouvrir et me dire ce qu'il contient?

 

 

HIJACKTHIS

 

Poste un nouveau rapport s'il te plaît!

[G-Fox]

[G-Fox]

Mon antivirus me dit de restaurer andt.sys dans system 32, car il dit qu'il est sain.

Que faire ?

Quel risque est courru si je le restaure ?

[oGu]

Mon antivirus me dit de restaurer andt.sys dans system 32, car il dit qu'il est sain.

Que faire ?

Quel risque est courru si je le restaure ?

 

Ce fichier semble infectieux d'après mes recherches, mais il n'a pas été shooté ni par SDFix, ni par ComboFix... dans le doute ne le restaure pas, je vais affiner mes recherches.

Le risque si tu le restaures, c'est que ce driver réinfecte ta machine: laisse-le en quarantaine et dis-moi s'il te semble que son absence perturbe ta machine et ta connection Web.

 

C:\WINDOWS\system32\Non-Existant\Microsoft\Word\Modèles\ et dedans un raccourci vers EndNote. Ce raccourci me mène dans le dossier Templates de EndNote 8.

Je fais quoi ?

 

Ne fais rien, ce dossier est ok.

 

 

 

Quelques scans pour finir cette désinfection:

 

RAPPORT KASPERSKY

 

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
  
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  
• Choisis ton compte habituel.
  
• Connecte tes clés USB et disques externes.
  
• Puis lance un scan Kaspersky et supprime tout ce qu'il te trouve.
  
• Poste le rapport queKaspersky va générer
  

 

 

 

EWIDO

Télécharge Ewido Micro-Scanner sur ton bureau en cliquant sur cette image:

 

 

• Double-clique sur le fichier ewido_micro.exe pour l'exécuter.
  
• Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte.
  
• Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées.
  
• Connecte éventuellement tes clés USB et disques externes.
  
• Clique sur Start Scan et laisse l'outil travailler.
  
• Quand l'outil à fini, clique sur save report et sauvegarde le rapport sur ton bureau.
  
• Poste le dans ta prochaine réponse.
  

• Nb, ne clique pas tout de suite sur Remove infections; nous devons nous assurer que toutes les détections soient infectieuses car certains utilitaires légitimes pourraient apparaître dans le rapport.
  

 

 

MALWAREBYTES ' ANTI-MALWARE (MBAM)

 

Télécharge Malwarebytes' Anti-Malware en cliquant sur cette image:

 

 

• Installe-le puis lance-le
  
• Connecte éventuellement tes clés USB et disques externes.
  
• Dans l'onglet "mise à jour", cliquer sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rend-toi dans l'onglet "Recherche"
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• Le scan se lance
  
• A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre.
  
• Ferme tes navigateurs et clique en bas sur "Afficher les résultats"
  
• Si des malwares ont été détectés, leur liste s'affiche.
  En cliquant sur "Supprimer la sélection" , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le
  

 

 

A+, bons scans (ça va te prendre du temps, surtout celui en Mode sans échec...)