Problème malware ?

Sacco · le 3 juillet 2008

Bonjour,

Depuis avant hier, j'ai un problème avec Thunderbird qui indique que le programme "a généré une erreur et qu'il va fermer" (la réi-installation ne règle pas le problème). De plus, j'ai remarqué que je n'ai plus accès au gestionnaire des tâches (qui est grisé) depuis quelques mois quand je fais CTLR ALT SUPPR. Et enfin, depuis environ trois moi,s j'ai un message au démarrage (à la fin du chargement du bureau) qui dit des composants svschost.exe sont introuvables (mais je mettais OK et ça ne ma jamais posé de problème).

J'ai beaucoup de programmes installés sur le PC et j'aimerais éviter de tout réinstaller pour avoir un PC propre.

Est-ce que quelqu'un peut m'aider (j'ai vu qu'il fallait souvent poster des log obtenus à l'aide de logiciel... je suis prêt à tout faire rigoureusement si quelqu'un me guide). Merci d'avance pour votre aide!

Sacco

PS : je précise que j'avais un antivirus (avast). Comme jai vu qu'Antivir était conseillé, j'ai désinstallé Avast et installé Antivir puis fait un scan, mais il n'a rien trouvé non plus.

WawaSeb · le 3 juillet 2008

Bonjour Sacco,

*** Bienvenue dans la partie sécurité du forum Zebulon ! ***

Groupe : Membres
Messages : 1

--> Je vois que tu es nouveau ici, prends donc bien ton temps pour observer le fonctionnement de ce site :

# Télécharge DSS (ex ComboScan) (de Deckard) sur ton Bureau.

Ferme toutes les applications en cours
Double-clique sur dss.exe pour l'exécuter
A la fenêtre de mise en garde, clique sur OK
A la fin de l'analyse, clique sur OK (cela peut prendre quelques minutes)
Le rapport main.txt s'affichera, envoie ce rapport dans ta prochaine réponse

Notes :

Un deuxième fichier texte s'ouvre aussi, conserve-le pour l'instant !
Si le programme HijackThis n'est pas installé sur ton PC, DSS affichera un message et te fera patienter 30 secondes, ne touche à rien...

Bon travail à toi !

Sacco · le 3 juillet 2008

Merci WawaSeb de me prendre en charge.

En fait, je ne suis pas tout à fait nouveau : j'ai déjà eu recours à vos soins il y a deux ans mais j'ai oublié mon login (en tous cas, votre intervention avait été tellement efficace que je n'ai eu aucun problème en deux alors que mon PC a bientôt 8 ans et est intensément utilisé tous les jours!).

Voici le contenu du fichier main.txt :

Deckard's System Scanner v20071014.68

Run by Administrateur on 2008-07-03 14:42:32

Computer is in Normal Mode.

--------------------------------------------------------------------------------

Backed up registry hives.

Performed disk cleanup.

System Drive C: has 0.14 GiB (less than 15%) free.

-- HijackThis Clone ------------------------------------------------------------

Emulating logfile of Trend Micro HijackThis v2.0.2

Scan saved at 2008-07-03 14:45:22

Platform: Windows 2000 Service Pack 4 (5.00.2195)

MSIE: Internet Explorer (6.00.2800.1106)

Boot mode: Normal

Running processes:

C:\WINNT\system32\SMSS.EXE

C:\WINNT\system32\WINLOGON.EXE

C:\WINNT\system32\SERVICES.EXE

C:\WINNT\system32\LSASS.EXE

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\svchost.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\Program Files\Iomega\System32\ActivityDisk.exe

C:\Program Files\Kerio\Personal Firewall\PERSFW.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\mstask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\system32\wbem\WinMgmt.exe

C:\WINNT\explorer.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Iomega\AutoDisk\AD2KClient.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Logitech\SetPoint\KEM.exe

C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Logitech\SetPoint\KHALMNPR.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe

C:\Documents and Settings\Administrateur\Bureau\dss.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.hachette.net

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par Club-Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080

F0 - system.ini: Shell=explorer.exe "C:\Program Files\Common Files\System\svchost.exe"

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\System\svchost.exe"

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Program Files\Xi\NetXfer\NXIEHelper.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Program Files\Xi\NetXfer\NXToolBar.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [iomega Active Disk] "C:\Program Files\Iomega\AutoDisk\AD2KClient.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunServices: [Windows Kernel System Service] wkssvr.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Logitech SetPoint.lnk = ?

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr=1

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr=1

O8 - Extra context menu item: Tout télécharger avec NetXfer - C:\Program Files\Xi\NetXfer\NXAddList.html

O8 - Extra context menu item: Télécharger avec NetXfer - C:\Program Files\Xi\NetXfer\NXAddLink.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} () - http://download.microsoft.com/download/F/6...922/wmv9VCM.CAB

O16 - DPF: {41564D57-9980-0010-8000-00AA00389B71} () - http://download.microsoft.com/download/0/A...01F/wmvadvd.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} () - http://fpdownload.macromedia.com/get/flash...t/ultrashim.cab

O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/a...gnerADP-1.1.cab

O16 - DPF: {D27CDB6E-0000-0000-0000-000000000000} () - http://download.macromedia.com/pub/shockwa...ash/swflash.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab

O20 - Winlogon Notify: WRNotifier - C:\WINNT\system32\WRLogonNTF.dll (file missing)

O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\system32\dmadmin.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Iomega Activity Disk2 - Iomega Corporation - C:\Program Files\Iomega\System32\ActivityDisk.exe

O23 - Service: IomegaAccess - Iomega Corporation - C:\WINNT\system32\IomegaAccess.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\PERSFW.exe

--

End of file - 7860 bytes

-- File Associations -----------------------------------------------------------

All associations okay.

-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R0 iomdisk (Iomega Devices Disk Filter Services) - c:\winnt\system32\drivers\iomdisk.sys <Not Verified; Iomega Corporation; Microsoft® Windows NT® Operating System>

R1 fwdrv (Kerio Personal Firewall Driver) - c:\winnt\system32\drivers\fwdrv.sys

R2 ousbehci (OrangeWare USB Enhanced Host Controller Service) - c:\winnt\system32\drivers\ousbehci.sys <Not Verified; OrangeWare Corporation; USB 2.0 Enhanced Host Controller Driver>

R3 ousb2hub (OrangeWare USB 2.0 Hub Support) - c:\winnt\system32\drivers\ousb2hub.sys <Not Verified; OrangeWare Corporation; USB 2.0 Hub Driver>

S3 alcan5wn (SpeedTouch USB ADSL PPP Networking Driver (NDISWAN)) - c:\winnt\system32\drivers\alcan5wn.sys <Not Verified; THOMSON; SpeedTouch USB>

S3 CdaC15BA - c:\winnt\system32\drivers\cdac15ba.sys

S3 CO_Mon - c:\winnt\system32\drivers\co_mon.sys

S3 fsbl-standalone (F-Secure BlackLight Beta Engine Driver) - c:\docume~1\admini~1\locals~1\temp\f-secure\blacklight\fsbldrv.sys (file missing)

S3 GMSIPCI - e:\install\gmsipci.sys (file missing)

S3 NTACCESS - e:\ntaccess.sys (file missing)

S3 SilverLink (Texas Instruments SilverLink (USB GraphLink) Cable) - c:\winnt\system32\drivers\silvrlnk.sys <Not Verified; Texas Instruments Incorporated; TI SilverLink Cable>

S3 ZSMC301b (VIMICRO USB PC Camera) - c:\winnt\system32\drivers\usbvm31b.sys <Not Verified; VM; >

-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 AntiVirScheduler (Avira AntiVir Personal – Free Antivirus Scheduler) - "c:\program files\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation>

R2 Iomega Activity Disk2 - "c:\progra~1\iomega\system32\activitydisk.exe" <Not Verified; Iomega Corporation; SmartSoft ActivityDisk>

R2 PersFw (Kerio Personal Firewall) - "c:\program files\kerio\personal firewall\persfw.exe" <Not Verified; Kerio Technologies; Kerio Personal Firewall>

S2 IomegaAccess - c:\winnt\system32\iomegaaccess.exe /s <Not Verified; Iomega Corporation; IomegaAccess Service Application>

-- Device Manager: Disabled ----------------------------------------------------

No disabled devices found.

-- Scheduled Tasks -------------------------------------------------------------

2008-05-06 06:43:02 284 --a------ C:\WINNT\Tasks\AppleSoftwareUpdate.job

-- Files created between 2008-06-03 and 2008-07-03 -----------------------------

2008-07-03 12:43:43 0 d-------- C:\Program Files\Avira

2008-07-03 12:43:43 0 d-------- C:\Documents and Settings\All Users\Application Data\Avira

2008-07-03 08:52:14 16384 --a------ C:\WINNT\system32\Perflib_Perfdata_1f8.dat

2008-06-18 01:10:45 0 d-------- C:\WINNT\system32\Adobe

2008-06-17 18:55:30 0 d-------- C:\FOUND.001

2008-06-16 23:58:04 0 d-------- C:\Documents and Settings\Administrateur\Application Data\TaoUSign

-- Find3M Report ---------------------------------------------------------------

2008-05-23 13:26:54 16384 --a------ C:\WINNT\system32\Perflib_Perfdata_200.dat

2008-05-19 18:31:48 1080 --a------ C:\WINNT\AUTOLNCH.REG

-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NeroFilterCheck"="C:\WINNT\system32\NeroCheck.exe" [09/07/01 10:50 ]

"Synchronization Manager"="mobsync.exe" [19/06/03 21:05 C:\WINNT\system32\mobsync.exe]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [17/03/06 22:42 ]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [22/02/08 04:25 ]

"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [12/09/06 01:58 ]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [01/09/06 15:57 ]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11/01/08 22:16 ]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [12/02/08 10:06 ]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Iomega Active Disk"="C:\Program Files\Iomega\AutoDisk\AD2KClient.exe" [13/09/01 11:35 ]

"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [04/09/07 23:40 ]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]

"^SetupICWDesktop"=C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runservices]

"Windows Kernel System Service"=wkssvr.exe

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]

"internat.exe"=internat.exe

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [17/02/1999 22:05:56]

Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\KEM.exe [19/06/2005 16:57:54]

Acrobat Assistant.lnk - C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe [15/05/2003 01:19:50]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"DisableTaskMgr"=1 (0x1)

"DisableRegistryTools"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"DisableRegistryTools"=1 (0x1)

"DisableTaskMgr"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"AllowLegacyWebView"=1 (0x1)

"AllowUnhashedWebView"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"Shell"="explorer.exe \"C:\Program Files\Common Files\System\svchost.exe\""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]

@="Driver"

*Newly Created Service* - ANTIVIRSERVICE

*Newly Created Service* - AVGNTDD

*Newly Created Service* - AVGNTMGR

*Newly Created Service* - SSMDRV

-- End of Deckard's System Scanner: finished at 2008-07-03 14:45:54 ------------

WawaSeb · le 3 juillet 2008

Bonjour Sacco !

*** Ton PC est effectivement infecté par un

malware qui tente de dérober des informations confidentielles et qui bloque certains accès au système ! ***

--> Rassure-toi, nous sommes là pour t'aider...

--> En attendant, je te recommande vivement de ne plus utiliser de sites bancaires, de cartes de crédit, ...

Imprime cette procédure, tu n'auras pas forcément accès à Internet en mode sans échec...

1) Télécharge SDFix de AndyManchesta et enregistre-le sur ton Bureau.

Double-clique sur SDFix.exe et sélectionne Install pour le décompresser à la racine de ton disque dur.

2) Démarre en mode sans échec sur ta session comme indiqué ici (utilise ABSOLUMENT la première solution !)

Ouvre le dossier SDFix qui est apparu à la racine de ton disque dur et double-clique sur RunThis.bat pour lancer le script
Appuie sur Y pour démarrer le nettoyage
SDFix va supprimer les parties de certains malware's trouvés et te demandera d'appuyer sur une touche pour redémarrer
Appuie donc sur une touche pour redémarrer la machine
Ton système sera plus long que d'habitude pour redémarrer car le fix va continuer à travailler pendant le redémarrage
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished
Appuie sur une touche pour terminer le nettoyage et charger les icônes de ton Bureau
Une fois que les icônes du Bureau seront affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera dans le dossier SDFix sous le nom Report.txt
Copie-colle alors le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

3) Poste un nouveau rapport avec DSS stp.

Au final, j'attends donc 2 rapports :

SDFix (report.txt)
Nouveau scan DSS

Bon nettoyage !

Sacco · le 3 juillet 2008

Voici le contenu du fichier report.txt

SDFix: Version 1.201

Run by Administrateur on jeu. 03/07/2008 at 18:11

Microsoft Windows 2000 [Version 5.00.2195]

Running From: C:\SDFix

Checking Services :

Restoring Default Security Values

Restoring Default Hosts File

Rebooting

Checking Files :

Trojan Files Found:

C:\WINNT\SYSTEM32\03217_~1.EXE - Deleted

C:\Documents and Settings\Administrateur\Local Settings\Tempmbroit.exe - Deleted

C:\WINNT\system32\03217_netapi.exe - Deleted

C:\WINNT\system32\04803_netapi.exe - Deleted

C:\WINNT\system32\.exe - Deleted

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-07-03 18:16:45

Windows 5.0.2195 Service Pack 4 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

Remaining Services :

Remaining Files :

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sat 23 Jul 2005 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Fri 22 Feb 2008 31,232 ...H. --- "C:\Documents and Settings\Administrateur\Bureau\~WRL1628.tmp"

Sun 30 Sep 2007 19,456 ...H. --- "C:\Documents and Settings\Administrateur\Bureau\~WRL1843.tmp"

Sun 30 Sep 2007 19,456 ...H. --- "C:\Documents and Settings\Administrateur\Bureau\~WRL4065.tmp"

Sun 10 Feb 2008 51,200 ...H. --- "C:\Documents and Settings\Administrateur\Bureau\~WRL1421.tmp"

Mon 28 Jan 2008 43,520 ...H. --- "C:\Documents and Settings\Administrateur\Bureau\~WRL0859.tmp"

Sun 30 Sep 2007 41,472 ...H. --- "C:\Documents and Settings\Administrateur\Bureau\~WRL0786.tmp"

Mon 11 Feb 2008 28,672 ...H. --- "C:\Documents and Settings\Administrateur\Bureau\~WRL2733.tmp"

Sun 30 Sep 2007 27,136 ...H. --- "C:\Documents and Settings\Administrateur\Bureau\~WRL2724.tmp"

Mon 11 Feb 2008 31,232 ...H. --- "C:\Documents and Settings\Administrateur\Bureau\~WRL1115.tmp"

Mon 11 Feb 2008 31,232 ...H. --- "C:\Documents and Settings\Administrateur\Bureau\~WRL1583.tmp"

Mon 11 Feb 2008 29,184 ...H. --- "C:\Documents and Settings\Administrateur\Bureau\~WRL2648.tmp"

Wed 7 Nov 2007 79,360 ...H. --- "C:\Documents and Settings\Administrateur\Bureau\~WRL3797.tmp"

Mon 11 Feb 2008 29,696 ...H. --- "C:\Documents and Settings\Administrateur\Bureau\~WRL0423.tmp"

Mon 11 Feb 2008 32,256 ...H. --- "C:\Documents and Settings\Administrateur\Bureau\~WRL2461.tmp"

Wed 14 Nov 2007 27,136 ...H. --- "C:\Documents and Settings\Administrateur\Bureau\~WRL1650.tmp"

Mon 11 Feb 2008 33,280 ...H. --- "C:\Documents and Settings\Administrateur\Bureau\~WRL0625.tmp"

Thu 15 May 2003 43,008 ...H. --- "C:\Program Files\Fichiers communs\Adobe\ESD\DLMCleanup.exe"

Wed 21 Jun 2006 20 A..H. --- "C:\Documents and Settings\Administrateur\Mes documents\Ma musique\Sauvegarde de la licence\drmv1lic.bak"

Sat 23 Jul 2005 4,348 ...H. --- "C:\Documents and Settings\Administrateur\Mes documents\Ma musique\Sauvegarde de la licence\drmv1key.bak"

Wed 21 Jun 2006 1,536 A..H. --- "C:\Documents and Settings\Administrateur\Mes documents\Ma musique\Sauvegarde de la licence\drmv2lic.bak"

Mon 1 May 2006 400 ...H. --- "C:\Documents and Settings\Administrateur\Mes documents\Ma musique\Sauvegarde de la licence\drmv2key.bak"

Mon 1 Aug 2005 39,936 ...H. --- "C:\Documents and Settings\Administrateur\Application Data\Microsoft\Word\~WRL0391.tmp"

Sun 30 Sep 2007 122,368 ...H. --- "C:\Documents and Settings\Administrateur\Application Data\Microsoft\Word\~WRL1811.tmp"

Mon 11 Feb 2008 30,720 ...H. --- "C:\Documents and Settings\Administrateur\Application Data\Microsoft\Word\~WRL0672.tmp"

Wed 7 Nov 2007 77,312 ...H. --- "C:\Documents and Settings\Administrateur\Application Data\Microsoft\Word\~WRL3127.tmp"

Wed 7 Nov 2007 75,776 ...H. --- "C:\Documents and Settings\Administrateur\Application Data\Microsoft\Word\~WRL1846.tmp"

Wed 30 Jan 2008 186,368 ...H. --- "C:\Documents and Settings\Administrateur\Application Data\Microsoft\Word\~WRL0169.tmp"

Wed 30 Jan 2008 187,392 ...H. --- "C:\Documents and Settings\Administrateur\Application Data\Microsoft\Word\~WRL2496.tmp"

Finished!

===========================================================================

Voici le contenu du fichier main.txt obtenu avec dss :

Deckard's System Scanner v20071014.68

Run by Administrateur on 2008-07-03 22:21:47

Computer is in Normal Mode.

--------------------------------------------------------------------------------

System Drive C: has 0.07 GiB (less than 15%) free.

-- HijackThis Clone ------------------------------------------------------------

Emulating logfile of Trend Micro HijackThis v2.0.2

Scan saved at 2008-07-03 22:22:17

Platform: Windows 2000 Service Pack 4 (5.00.2195)

MSIE: Internet Explorer (6.00.2800.1106)

Boot mode: Normal

Running processes:

C:\WINNT\system32\SMSS.EXE

C:\WINNT\system32\WINLOGON.EXE

C:\WINNT\system32\SERVICES.EXE

C:\WINNT\system32\LSASS.EXE

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINNT\system32\svchost.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\Program Files\Iomega\System32\ActivityDisk.exe

C:\Program Files\Kerio\Personal Firewall\PERSFW.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\mstask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\system32\wbem\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\explorer.exe

C:\WINNT\system32\notepad.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Iomega\AutoDisk\AD2KClient.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Logitech\SetPoint\KEM.exe

C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Program Files\Logitech\SetPoint\KHALMNPR.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINNT\system32\wuauclt.exe