Multi-infection dont:TR/Monder.bjb et TR/Agent.34176

[Falkra]

Ce qui suit n'est que pour ta machine, et ta machine seulement.

Ne surtout pas utiliser sur une autre machine : dangereux.

 

• Désactive ton antivirus, il peut gêner.
  
• Ouvre le bloc notes. Vérifie que dans le menu format, le retour automatique à la ligne est désactivé. Copie colle ceci dedans :
  

File::

C:\WINDOWS\system32\ivczyxup.exe

C:\DOCUME~1\BRUNO\LOCALS~1\Temp\2008815225727_mcinfo.exe

C:\Program Files\trcjgaf\appdbset.dll

 

Folder::

C:\Documents and Settings\All Users\Application Data\ubotojir

C:\Program Files\trcjgaf

C:\Program Files\qlztrmc

 

Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"appdbset"=-

 

Driver::

SetupNTGLM7X

• Sauvegarde cela comme fichier texte nommé CFScript, sur le bureau.
   
  
• Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur la capture
  

• Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
  

 

Ensuite ajoute un nouveau rapport HijackThis stp après ce rapport là, et réactive ton antivirus.

[crackers56]

Ce qui suit n'est que pour ta machine, et ta machine seulement.

Ne surtout pas utiliser sur une autre machine : dangereux.

 

• Désactive ton antivirus, il peut gêner.
  
• Ouvre le bloc notes. Vérifie que dans le menu format, le retour automatique à la ligne est désactivé. Copie colle ceci dedans :
  

 

• Sauvegarde cela comme fichier texte nommé CFScript, sur le bureau.
   
  
• Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur la capture
  

• Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
  

 

Ensuite ajoute un nouveau rapport HijackThis stp après ce rapport là, et réactive ton antivirus.

 

 

Bjr Falkra, voiçi le rapport de Combofix lancé avec le fichier texte que tu m'a envoyé:

 

ComboFix 08-08-17.01 - BRUNO 2008-08-18 18:44:10.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.593 [GMT 2:00]

Endroit: C:\Documents and Settings\BRUNO\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\BRUNO\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

 

FILE ::

C:\DOCUME~1\BRUNO\LOCALS~1\Temp\2008815225727_mcinfo.exe

C:\Program Files\trcjgaf\appdbset.dll

C:\WINDOWS\system32\ivczyxup.exe

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Documents and Settings\BRUNO\UserData

C:\Documents and Settings\BRUNO\UserData\0UT2G47G\oWindowsUpdate[1].xml

C:\Documents and Settings\BRUNO\UserData\index.dat

C:\Program Files\qlztrmc

C:\Program Files\qlztrmc\ComMnt.dll

C:\Program Files\trcjgaf

C:\Program Files\trcjgaf\appdbset.dll

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_SETUPNTGLM7X

-------\Service_SetupNTGLM7X

 

 

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-18 to 2008-08-18 ))))))))))))))))))))))))))))))))))))

.

 

2008-08-18 18:48 . 2008-08-18 18:48 <REP> d-------- C:\WINDOWS\LastGood

2008-08-18 18:48 . 2008-04-14 04:33 290,816 --a--c--- C:\WINDOWS\system32\dllcache\OLD48.tmp

2008-08-18 18:48 . 2008-04-14 04:31 281,600 --a--c--- C:\WINDOWS\system32\dllcache\OLD51.tmp

2008-08-18 18:48 . 2008-04-14 04:33 188,480 --a--c--- C:\WINDOWS\system32\dllcache\OLD54.tmp

2008-08-18 18:48 . 2008-04-14 04:33 43,520 --a--c--- C:\WINDOWS\system32\dllcache\OLD45.tmp

2008-08-18 18:48 . 2008-04-14 04:33 20,540 --a--c--- C:\WINDOWS\system32\dllcache\OLD4B.tmp

2008-08-18 18:48 . 2008-04-14 04:33 20,540 --a--c--- C:\WINDOWS\system32\dllcache\OLD3F.tmp

2008-08-18 18:48 . 2008-04-14 04:33 16,439 --a--c--- C:\WINDOWS\system32\dllcache\OLD4E.tmp

2008-08-18 18:48 . 2008-04-14 04:33 16,439 --a--c--- C:\WINDOWS\system32\dllcache\OLD42.tmp

2008-08-17 23:44 . 2008-04-11 21:05 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll

2008-08-17 23:44 . 2008-05-01 16:36 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll

2008-08-12 00:32 . 2008-08-12 00:32 <REP> d-------- C:\Documents and Settings\BRUNO\Application Data\Malwarebytes

2008-08-12 00:32 . 2008-08-12 00:32 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-08-12 00:32 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-08-12 00:32 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys

2008-08-11 01:41 . 2008-08-15 21:58 <REP> d-------- C:\Lop SD

2008-08-08 19:26 . 2008-04-14 04:33 20,540 --a--c--- C:\WINDOWS\system32\dllcache\OLD3C.tmp

2008-08-07 22:35 . 2008-04-14 04:33 290,816 --a--c--- C:\WINDOWS\system32\dllcache\OLD27.tmp

2008-08-07 22:35 . 2008-04-14 04:31 281,600 --a--c--- C:\WINDOWS\system32\dllcache\OLD30.tmp

2008-08-07 22:35 . 2008-04-14 04:33 188,480 --a--c--- C:\WINDOWS\system32\dllcache\OLD33.tmp

2008-08-07 22:35 . 2008-04-14 04:31 77,824 --a--c--- C:\WINDOWS\system32\dllcache\OLD36.tmp

2008-08-07 22:35 . 2008-04-14 04:33 47,104 --a--c--- C:\WINDOWS\system32\dllcache\OLD39.tmp

2008-08-07 22:35 . 2008-04-14 04:33 43,520 --a--c--- C:\WINDOWS\system32\dllcache\OLD24.tmp

2008-08-07 22:35 . 2008-04-14 04:33 20,540 --a--c--- C:\WINDOWS\system32\dllcache\OLD2A.tmp

2008-08-07 22:35 . 2008-04-14 04:33 20,540 --a--c--- C:\WINDOWS\system32\dllcache\OLD1E.tmp

2008-08-07 22:35 . 2008-04-14 04:33 16,439 --a--c--- C:\WINDOWS\system32\dllcache\OLD2D.tmp

2008-08-07 22:35 . 2008-04-14 04:33 16,439 --a--c--- C:\WINDOWS\system32\dllcache\OLD21.tmp

2008-08-07 20:38 . 2007-01-17 00:11 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau

2008-08-07 20:38 . 2007-01-17 00:11 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression

2008-08-07 20:38 . 2007-01-17 00:22 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles

2008-08-07 20:38 . 2007-01-17 00:11 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents

2008-08-07 20:38 . 2007-01-17 00:11 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer

2008-08-07 20:38 . 2007-01-17 00:11 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris

2008-08-07 20:38 . 2008-08-07 20:50 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau

2008-08-07 20:38 . 2008-08-07 20:38 <REP> d-------- C:\Documents and Settings\Administrateur

2008-08-06 19:21 . 128 C:\WINDOWS\?AAVSCAN-20080806-192123-EEE7AE3E.avp

2008-08-06 17:49 . 2008-08-18 18:49 54,156 --ah----- C:\WINDOWS\QTFont.qfn

2008-08-06 17:49 . 2008-08-06 17:49 1,409 --a------ C:\WINDOWS\QTFont.for

2008-08-06 17:47 . 2008-04-14 04:33 842,240 --a--c--- C:\WINDOWS\system32\dllcache\OLD77.tmp

2008-08-06 17:47 . 2008-04-14 04:33 68,608 --a--c--- C:\WINDOWS\system32\dllcache\OLD7D.tmp

2008-08-06 17:47 . 2008-04-14 04:33 13,312 --a--c--- C:\WINDOWS\system32\dllcache\OLD7A.tmp

2008-08-06 17:45 . 2008-04-14 04:33 290,816 --a--c--- C:\WINDOWS\system32\dllcache\OLD26.tmp

2008-08-06 17:45 . 2008-04-14 04:33 43,520 --a--c--- C:\WINDOWS\system32\dllcache\OLD23.tmp

2008-08-06 17:45 . 2008-04-14 04:33 20,540 --a--c--- C:\WINDOWS\system32\dllcache\OLD29.tmp

2008-08-06 17:45 . 2008-04-14 04:33 20,540 --a--c--- C:\WINDOWS\system32\dllcache\OLD1D.tmp

2008-08-06 17:45 . 2008-04-14 04:33 16,439 --a--c--- C:\WINDOWS\system32\dllcache\OLD2C.tmp

2008-08-06 17:45 . 2008-04-14 04:33 16,439 --a--c--- C:\WINDOWS\system32\dllcache\OLD20.tmp

2008-08-03 18:58 . 2008-04-14 04:33 290,816 --a--c--- C:\WINDOWS\system32\dllcache\OLDC.tmp

2008-08-03 18:58 . 2008-04-14 04:31 281,600 --a--c--- C:\WINDOWS\system32\dllcache\OLD15.tmp

2008-08-03 18:58 . 2008-04-14 04:33 188,480 --a--c--- C:\WINDOWS\system32\dllcache\OLD18.tmp

2008-08-03 18:58 . 2008-04-14 04:31 77,824 --a--c--- C:\WINDOWS\system32\dllcache\OLD1B.tmp

2008-08-03 18:58 . 2008-04-14 04:33 43,520 --a--c--- C:\WINDOWS\system32\dllcache\OLD9.tmp

2008-08-03 18:58 . 2008-04-14 04:33 20,540 --a--c--- C:\WINDOWS\system32\dllcache\OLDF.tmp

2008-08-03 18:58 . 2008-04-14 04:33 20,540 --a--c--- C:\WINDOWS\system32\dllcache\OLD3.tmp

2008-08-03 18:58 . 2008-04-14 04:33 16,439 --a--c--- C:\WINDOWS\system32\dllcache\OLD6.tmp

2008-08-03 18:58 . 2008-04-14 04:33 16,439 --a--c--- C:\WINDOWS\system32\dllcache\OLD12.tmp

2008-08-02 16:18 . 128 C:\WINDOWS\?‰?aAVSCAN-20080802-161858-127A7C4E.avp

2008-07-31 19:47 . 2008-07-31 19:47 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard

2008-07-30 21:07 . 2008-04-14 04:33 290,816 --a--c--- C:\WINDOWS\system32\dllcache\OLDB.tmp

2008-07-30 21:07 . 2008-04-14 04:31 281,600 --a--c--- C:\WINDOWS\system32\dllcache\OLD14.tmp

2008-07-30 21:07 . 2008-04-14 04:33 188,480 --a--c--- C:\WINDOWS\system32\dllcache\OLD17.tmp

2008-07-30 21:07 . 2008-04-14 04:31 77,824 --a--c--- C:\WINDOWS\system32\dllcache\OLD1A.tmp

2008-07-30 21:07 . 2008-04-14 04:33 43,520 --a--c--- C:\WINDOWS\system32\dllcache\OLD8.tmp

2008-07-30 21:07 . 2008-04-14 04:33 20,540 --a--c--- C:\WINDOWS\system32\dllcache\OLDE.tmp

2008-07-30 21:07 . 2008-04-14 04:33 20,540 --a--c--- C:\WINDOWS\system32\dllcache\OLD2.tmp

2008-07-30 21:07 . 2008-04-14 04:33 16,439 --a--c--- C:\WINDOWS\system32\dllcache\OLD5.tmp

2008-07-30 21:07 . 2008-04-14 04:33 16,439 --a--c--- C:\WINDOWS\system32\dllcache\OLD11.tmp

2008-07-29 02:56 . 2008-07-29 02:56 <REP> d-------- C:\Documents and Settings\LocalService\Application Data\AdobeUM

2008-07-25 02:08 . 2008-07-25 02:08 <REP> d-------- C:\Program Files\Fichiers communs\xing shared

2008-07-25 02:08 . 2008-07-25 02:08 <REP> d-------- C:\Program Files\Fichiers communs\Real

2008-07-23 04:31 . 2008-07-23 04:31 118 --a------ C:\WINDOWS\system32\MRT.INI

2008-07-21 21:50 . 2008-07-29 19:57 2,608 --a------ C:\WINDOWS\system32\settings.aaw

2008-07-21 21:50 . 2008-07-29 19:57 848 --a------ C:\WINDOWS\system32\history.aaw

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-08-18 16:35 --------- d-----w C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic

2008-08-16 15:51 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-08-15 20:59 --------- d-----w C:\Program Files\McAfee.com

2008-08-15 20:57 --------- d-----w C:\Documents and Settings\All Users\Application Data\McAfee.com

2008-08-06 18:02 --------- d-----w C:\Program Files\Spybot - Search & Destroy

2008-07-31 17:49 15,648 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys

2008-07-31 17:49 15,648 ----a-w C:\WINDOWS\system32\drivers\AWRTRD.sys

2008-07-31 17:49 12,960 ----a-w C:\WINDOWS\system32\drivers\AWRTPD.sys

2008-07-31 17:44 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft

2008-07-20 23:10 --------- d-----w C:\Program Files\Java

2008-07-02 18:21 --------- d--h--w C:\Documents and Settings\All Users\Application Data\{A850D4D9-871B-4234-908D-21C457767270}

2008-07-02 18:02 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys

2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys

2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys

.

 

((((((((((((((((((((((((((((( snapshot@2008-08-17_23.39.50.90 )))))))))))))))))))))))))))))))))))))))))

.

+ 2008-07-07 20:24:11 253,952 ----a-w C:\WINDOWS\$hf_mig$\KB950974\SP3QFE\es.dll

+ 2007-11-30 12:39:29 18,296 ----a-w C:\WINDOWS\$hf_mig$\KB950974\spmsg.dll

+ 2007-11-30 12:39:29 234,872 ----a-w C:\WINDOWS\$hf_mig$\KB950974\spuninst.exe

+ 2007-11-30 12:39:29 26,488 ----a-w C:\WINDOWS\$hf_mig$\KB950974\update\spcustom.dll

+ 2007-11-30 12:39:26 767,352 ----a-w C:\WINDOWS\$hf_mig$\KB950974\update\update.exe

+ 2007-11-30 12:39:29 406,392 ----a-w C:\WINDOWS\$hf_mig$\KB950974\update\updspapi.dll

+ 2008-07-11 12:51:51 62,976 ----a-w C:\WINDOWS\$hf_mig$\KB951072-v2\SP3QFE\tzchange.exe

+ 2007-11-30 11:19:06 18,296 ----a-w C:\WINDOWS\$hf_mig$\KB951072-v2\spmsg.dll

+ 2007-11-30 11:19:06 234,872 ----a-w C:\WINDOWS\$hf_mig$\KB951072-v2\spuninst.exe

+ 2007-11-30 11:19:06 26,488 ----a-w C:\WINDOWS\$hf_mig$\KB951072-v2\update\spcustom.dll

+ 2007-11-30 12:39:29 767,352 ----a-w C:\WINDOWS\$hf_mig$\KB951072-v2\update\update.exe

+ 2007-11-30 12:39:31 406,392 ----a-w C:\WINDOWS\$hf_mig$\KB951072-v2\update\updspapi.dll

+ 2008-06-24 16:53:52 74,240 ----a-w C:\WINDOWS\$hf_mig$\KB952954\SP3QFE\mscms.dll

+ 2007-11-30 11:19:06 18,296 ----a-w C:\WINDOWS\$hf_mig$\KB952954\spmsg.dll

+ 2007-11-30 11:19:06 234,872 ----a-w C:\WINDOWS\$hf_mig$\KB952954\spuninst.exe

+ 2007-11-30 11:19:06 26,488 ----a-w C:\WINDOWS\$hf_mig$\KB952954\update\spcustom.dll

+ 2007-11-30 12:39:29 767,352 ----a-w C:\WINDOWS\$hf_mig$\KB952954\update\update.exe

+ 2007-11-30 12:39:31 406,392 ----a-w C:\WINDOWS\$hf_mig$\KB952954\update\updspapi.dll

+ 2008-04-23 04:16:39 124,928 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\advpack.dll

+ 2008-04-23 04:16:39 347,136 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\dxtmsft.dll

+ 2008-04-23 04:16:39 214,528 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\dxtrans.dll

+ 2008-04-23 04:16:39 133,120 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\extmgr.dll

+ 2008-04-23 04:16:39 63,488 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\icardie.dll

+ 2008-04-22 07:41:08 70,656 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\ie4uinit.exe

+ 2008-04-23 04:16:39 153,088 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\ieakeng.dll

+ 2008-04-23 04:16:39 230,400 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\ieaksie.dll

+ 2008-04-20 05:07:51 161,792 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\ieakui.dll

+ 2008-04-23 04:16:39 383,488 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\ieapfltr.dll

+ 2008-04-23 04:16:39 384,512 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\iedkcs32.dll

+ 2008-04-23 04:16:39 6,066,176 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\ieframe.dll

+ 2008-04-23 04:16:39 44,544 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\iernonce.dll

+ 2008-04-23 04:16:39 267,776 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\iertutil.dll

+ 2008-04-22 07:39:58 13,824 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\ieudinit.exe

+ 2008-04-22 07:41:30 625,664 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\iexplore.exe

+ 2008-04-23 04:16:40 27,648 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\jsproxy.dll

+ 2008-04-23 04:16:40 459,264 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\msfeeds.dll

+ 2008-04-23 04:16:40 52,224 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\msfeedsbs.dll

+ 2008-04-23 20:16:42 3,591,680 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\mshtml.dll

+ 2008-04-23 04:16:40 478,208 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\mshtmled.dll

+ 2008-04-23 04:16:40 193,024 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\msrating.dll

+ 2008-04-23 04:16:40 671,232 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\mstime.dll

+ 2008-04-23 04:16:40 102,912 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\occache.dll

+ 2008-04-23 04:16:40 44,544 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\pngfilt.dll

+ 2007-03-06 01:34:38 216,800 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe

+ 2007-03-06 01:35:48 394,976 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\updspapi.dll

+ 2008-04-23 04:16:40 105,984 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\url.dll

+ 2008-04-23 04:16:40 1,159,680 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\urlmon.dll

+ 2008-04-23 04:16:40 233,472 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\webcheck.dll

+ 2008-04-23 04:16:40 826,368 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\wininet.dll

- 2008-04-23 04:16:39 124,928 ----a-w C:\WINDOWS\system32\advpack.dll

+ 2008-06-23 16:28:17 124,928 ----a-w C:\WINDOWS\system32\advpack.dll

- 2008-04-23 04:16:39 124,928 -c----w C:\WINDOWS\system32\dllcache\advpack.dll

+ 2008-06-23 16:28:17 124,928 -c----w C:\WINDOWS\system32\dllcache\advpack.dll

- 2008-04-23 04:16:39 347,136 -c--a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll

+ 2008-06-23 16:28:17 347,136 -c--a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll

- 2008-04-23 04:16:39 214,528 -c----w C:\WINDOWS\system32\dllcache\dxtrans.dll

+ 2008-06-23 16:28:17 214,528 -c----w C:\WINDOWS\system32\dllcache\dxtrans.dll

+ 2008-07-07 20:28:20 253,952 -c----w C:\WINDOWS\system32\dllcache\es.dll

- 2008-04-23 04:16:39 133,120 -c----w C:\WINDOWS\system32\dllcache\extmgr.dll

+ 2008-06-23 16:28:17 133,120 -c----w C:\WINDOWS\system32\dllcache\extmgr.dll

- 2008-04-23 04:16:39 63,488 -c----w C:\WINDOWS\system32\dllcache\icardie.dll

+ 2008-06-23 16:28:17 63,488 -c----w C:\WINDOWS\system32\dllcache\icardie.dll

- 2008-04-22 07:41:08 70,656 -c----w C:\WINDOWS\system32\dllcache\ie4uinit.exe

+ 2008-06-23 09:21:30 70,656 -c----w C:\WINDOWS\system32\dllcache\ie4uinit.exe

- 2008-04-23 04:16:39 153,088 -c----w C:\WINDOWS\system32\dllcache\ieakeng.dll

+ 2008-06-23 16:28:18 153,088 -c----w C:\WINDOWS\system32\dllcache\ieakeng.dll

- 2008-04-23 04:16:39 230,400 -c----w C:\WINDOWS\system32\dllcache\ieaksie.dll

+ 2008-06-23 16:28:18 230,400 -c----w C:\WINDOWS\system32\dllcache\ieaksie.dll

- 2008-04-20 05:07:51 161,792 -c----w C:\WINDOWS\system32\dllcache\ieakui.dll

+ 2008-06-21 05:23:54 161,792 -c----w C:\WINDOWS\system32\dllcache\ieakui.dll

- 2008-04-23 04:16:39 383,488 -c----w C:\WINDOWS\system32\dllcache\ieapfltr.dll

+ 2008-06-23 16:28:18 383,488 -c----w C:\WINDOWS\system32\dllcache\ieapfltr.dll

- 2008-04-23 04:16:39 384,512 -c----w C:\WINDOWS\system32\dllcache\iedkcs32.dll

+ 2008-06-23 16:28:18 384,512 -c----w C:\WINDOWS\system32\dllcache\iedkcs32.dll

- 2008-04-23 04:16:39 6,066,176 -c----w C:\WINDOWS\system32\dllcache\ieframe.dll

+ 2008-06-23 16:28:19 6,066,176 -c----w C:\WINDOWS\system32\dllcache\ieframe.dll

- 2008-04-23 04:16:39 44,544 -c----w C:\WINDOWS\system32\dllcache\iernonce.dll

+ 2008-06-23 16:28:19 44,544 -c----w C:\WINDOWS\system32\dllcache\iernonce.dll

- 2008-04-23 04:16:39 267,776 -c----w C:\WINDOWS\system32\dllcache\iertutil.dll

+ 2008-06-23 16:28:20 267,776 -c----w C:\WINDOWS\system32\dllcache\iertutil.dll

- 2008-04-22 07:39:58 13,824 -c----w C:\WINDOWS\system32\dllcache\ieudinit.exe

+ 2008-06-23 09:20:26 13,824 -c----w C:\WINDOWS\system32\dllcache\ieudinit.exe

- 2008-04-22 07:41:30 625,664 -c----w C:\WINDOWS\system32\dllcache\iexplore.exe

+ 2008-06-23 09:21:49 625,664 -c----w C:\WINDOWS\system32\dllcache\iexplore.exe

- 2008-04-23 04:16:40 27,648 -c--a-w C:\WINDOWS\system32\dllcache\jsproxy.dll

+ 2008-06-23 16:28:20 27,648 -c--a-w C:\WINDOWS\system32\dllcache\jsproxy.dll

+ 2008-06-24 16:44:02 74,240 -c----w C:\WINDOWS\system32\dllcache\mscms.dll

- 2008-04-23 04:16:40 459,264 -c----w C:\WINDOWS\system32\dllcache\msfeeds.dll

+ 2008-06-23 16:28:20 459,264 -c----w C:\WINDOWS\system32\dllcache\msfeeds.dll

- 2008-04-23 04:16:40 52,224 -c----w C:\WINDOWS\system32\dllcache\msfeedsbs.dll

+ 2008-06-23 16:28:20 52,224 -c----w C:\WINDOWS\system32\dllcache\msfeedsbs.dll

- 2008-04-23 20:16:42 3,591,680 -c----w C:\WINDOWS\system32\dllcache\mshtml.dll

+ 2008-06-24 08:28:24 3,592,192 -c----w C:\WINDOWS\system32\dllcache\mshtml.dll

- 2008-04-23 04:16:40 478,208 -c----w C:\WINDOWS\system32\dllcache\mshtmled.dll

+ 2008-06-23 16:28:22 477,696 -c----w C:\WINDOWS\system32\dllcache\mshtmled.dll

- 2008-04-23 04:16:40 193,024 -c----w C:\WINDOWS\system32\dllcache\msrating.dll

+ 2008-06-23 16:28:22 193,024 -c----w C:\WINDOWS\system32\dllcache\msrating.dll

- 2008-04-23 04:16:40 671,232 -c----w C:\WINDOWS\system32\dllcache\mstime.dll

+ 2008-06-23 16:28:22 671,232 -c----w C:\WINDOWS\system32\dllcache\mstime.dll

- 2008-04-23 04:16:40 102,912 -c----w C:\WINDOWS\system32\dllcache\occache.dll

+ 2008-06-23 16:28:22 102,912 -c----w C:\WINDOWS\system32\dllcache\occache.dll

- 2008-04-23 04:16:40 44,544 -c--a-w C:\WINDOWS\system32\dllcache\pngfilt.dll

+ 2008-06-23 16:28:22 44,544 -c--a-w C:\WINDOWS\system32\dllcache\pngfilt.dll

- 2008-04-23 04:16:40 105,984 -c----w C:\WINDOWS\system32\dllcache\url.dll

+ 2008-06-23 16:28:22 105,984 -c----w C:\WINDOWS\system32\dllcache\url.dll

- 2008-04-23 04:16:40 1,159,680 -c----w C:\WINDOWS\system32\dllcache\urlmon.dll

+ 2008-06-23 16:28:23 1,159,680 -c----w C:\WINDOWS\system32\dllcache\urlmon.dll

- 2008-04-23 04:16:40 233,472 -c----w C:\WINDOWS\system32\dllcache\webcheck.dll

+ 2008-06-23 16:28:23 233,472 -c----w C:\WINDOWS\system32\dllcache\webcheck.dll

- 2008-04-23 04:16:40 826,368 -c----w C:\WINDOWS\system32\dllcache\wininet.dll

+ 2008-06-23 16:28:23 826,368 -c----w C:\WINDOWS\system32\dllcache\wininet.dll

- 2008-04-23 04:16:39 347,136 ----a-w C:\WINDOWS\system32\dxtmsft.dll

+ 2008-06-23 16:28:17 347,136 ----a-w C:\WINDOWS\system32\dxtmsft.dll

- 2008-04-23 04:16:39 214,528 ----a-w C:\WINDOWS\system32\dxtrans.dll

+ 2008-06-23 16:28:17 214,528 ----a-w C:\WINDOWS\system32\dxtrans.dll

- 2008-04-14 02:33:24 246,272 ----a-w C:\WINDOWS\system32\es.dll

+ 2008-07-07 20:28:20 253,952 ----a-w C:\WINDOWS\system32\es.dll

- 2008-04-23 04:16:39 133,120 ------w C:\WINDOWS\system32\extmgr.dll

+ 2008-06-23 16:28:17 133,120 ------w C:\WINDOWS\system32\extmgr.dll

- 2008-04-23 04:16:39 63,488 ----a-w C:\WINDOWS\system32\icardie.dll

+ 2008-06-23 16:28:17 63,488 ----a-w C:\WINDOWS\system32\icardie.dll

- 2008-04-22 07:41:08 70,656 ------w C:\WINDOWS\system32\ie4uinit.exe

+ 2008-06-23 09:21:30 70,656 ------w C:\WINDOWS\system32\ie4uinit.exe

- 2008-04-23 04:16:39 153,088 ------w C:\WINDOWS\system32\ieakeng.dll

+ 2008-06-23 16:28:18 153,088 ------w C:\WINDOWS\system32\ieakeng.dll

- 2008-04-23 04:16:39 230,400 ------w C:\WINDOWS\system32\ieaksie.dll

+ 2008-06-23 16:28:18 230,400 ------w C:\WINDOWS\system32\ieaksie.dll

- 2008-04-20 05:07:51 161,792 ------w C:\WINDOWS\system32\ieakui.dll

+ 2008-06-21 05:23:54 161,792 ------w C:\WINDOWS\system32\ieakui.dll

- 2008-04-23 04:16:39 383,488 ----a-w C:\WINDOWS\system32\ieapfltr.dll

+ 2008-06-23 16:28:18 383,488 ----a-w C:\WINDOWS\system32\ieapfltr.dll

- 2008-04-23 04:16:39 384,512 ------w C:\WINDOWS\system32\iedkcs32.dll

+ 2008-06-23 16:28:18 384,512 ------w C:\WINDOWS\system32\iedkcs32.dll

- 2008-04-23 04:16:39 6,066,176 ----a-w C:\WINDOWS\system32\ieframe.dll

+ 2008-06-23 16:28:19 6,066,176 ----a-w C:\WINDOWS\system32\ieframe.dll

- 2008-04-23 04:16:39 44,544 ------w C:\WINDOWS\system32\iernonce.dll

+ 2008-06-23 16:28:19 44,544 ------w C:\WINDOWS\system32\iernonce.dll

- 2008-04-23 04:16:39 267,776 ----a-w C:\WINDOWS\system32\iertutil.dll

+ 2008-06-23 16:28:20 267,776 ----a-w C:\WINDOWS\system32\iertutil.dll

- 2008-04-22 07:39:58 13,824 ----a-w C:\WINDOWS\system32\ieudinit.exe

+ 2008-06-23 09:20:26 13,824 ----a-w C:\WINDOWS\system32\ieudinit.exe

- 2008-04-14 02:33:26 691,712 ----a-w C:\WINDOWS\system32\inetcomm.dll

+ 2008-04-11 19:05:22 691,712 ----a-w C:\WINDOWS\system32\inetcomm.dll

- 2008-04-23 04:16:40 27,648 ----a-w C:\WINDOWS\system32\jsproxy.dll

+ 2008-06-23 16:28:20 27,648 ----a-w C:\WINDOWS\system32\jsproxy.dll

- 2008-06-25 16:15:46 17,972,344 ----a-w C:\WINDOWS\system32\MRT.exe

+ 2008-08-05 18:11:01 15,888,504 ----a-w C:\WINDOWS\system32\MRT.exe

- 2008-04-14 02:33:30 73,728 ----a-w C:\WINDOWS\system32\mscms.dll

+ 2008-06-24 16:44:02 74,240 ----a-w C:\WINDOWS\system32\mscms.dll

- 2008-04-23 04:16:40 459,264 ----a-w C:\WINDOWS\system32\msfeeds.dll

+ 2008-06-23 16:28:20 459,264 ----a-w C:\WINDOWS\system32\msfeeds.dll

- 2008-04-23 04:16:40 52,224 ----a-w C:\WINDOWS\system32\msfeedsbs.dll

+ 2008-06-23 16:28:20 52,224 ----a-w C:\WINDOWS\system32\msfeedsbs.dll

- 2008-04-23 20:16:42 3,591,680 ----a-w C:\WINDOWS\system32\mshtml.dll

+ 2008-06-24 08:28:24 3,592,192 ----a-w C:\WINDOWS\system32\mshtml.dll

- 2008-04-23 04:16:40 478,208 ----a-w C:\WINDOWS\system32\mshtmled.dll

+ 2008-06-23 16:28:22 477,696 ----a-w C:\WINDOWS\system32\mshtmled.dll

- 2008-04-23 04:16:40 193,024 ----a-w C:\WINDOWS\system32\msrating.dll

+ 2008-06-23 16:28:22 193,024 ----a-w C:\WINDOWS\system32\msrating.dll

- 2008-04-23 04:16:40 671,232 ------w C:\WINDOWS\system32\mstime.dll

+ 2008-06-23 16:28:22 671,232 ------w C:\WINDOWS\system32\mstime.dll

- 2008-04-23 04:16:40 102,912 ------w C:\WINDOWS\system32\occache.dll

+ 2008-06-23 16:28:22 102,912 ------w C:\WINDOWS\system32\occache.dll

- 2008-04-23 04:16:40 44,544 ----a-w C:\WINDOWS\system32\pngfilt.dll

+ 2008-06-23 16:28:22 44,544 ----a-w C:\WINDOWS\system32\pngfilt.dll

- 2007-11-30 12:39:29 18,296 ------w C:\WINDOWS\system32\spmsg.dll

+ 2007-11-30 11:19:06 18,296 ------w C:\WINDOWS\system32\spmsg.dll

- 2008-04-14 02:34:25 60,416 ------w C:\WINDOWS\system32\tzchange.exe

+ 2008-07-11 12:42:28 62,976 ------w C:\WINDOWS\system32\tzchange.exe

- 2008-04-23 04:16:40 105,984 ----a-w C:\WINDOWS\system32\url.dll

+ 2008-06-23 16:28:22 105,984 ----a-w C:\WINDOWS\system32\url.dll

- 2008-04-23 04:16:40 1,159,680 ----a-w C:\WINDOWS\system32\urlmon.dll

+ 2008-06-23 16:28:23 1,159,680 ----a-w C:\WINDOWS\system32\urlmon.dll

- 2008-04-23 04:16:40 233,472 ----a-w C:\WINDOWS\system32\webcheck.dll

+ 2008-06-23 16:28:23 233,472 ----a-w C:\WINDOWS\system32\webcheck.dll

- 2008-04-23 04:16:40 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

+ 2008-06-23 16:28:23 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

.

-- Snapshot reset to current date --

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [2005-09-03 16:18 94208]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-04 23:57 68856]

"MsnMsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:33 15360]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2005-08-31 21:27 1658592]

"CursorFX"="D:\Program Files\Stardock\CursorFX\CursorFX.exe" [2008-02-20 00:59 418632]

"SpybotSD TeaTimer"="D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 12:12 90112]

"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-21 00:31 266497]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-02-01 00:13 385024]

"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-02-04 15:18 267048]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-07-25 02:08 185896]

"SoundMan"="SOUNDMAN.EXE" [2006-03-01 10:22 577536 C:\WINDOWS\soundman.exe]

"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-09-21 04:10 55824 C:\WINDOWS\KHALMNPR.Exe]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"SynchronousMachineGroupPolicy"= 0 (0x0)

"SynchronousUserGroupPolicy"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

"NoSimpleStartMenu"= 0 (0x0)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoStrCmpLogical"= 1 (0x1)

"NoResolveTrack"= 0 (0x0)

"NoResolveSearch"= 0 (0x0)

"NoSMMyPictures"= 0 (0x0)

"NoStartMenuMFUprogramsList"= 0 (0x0)

"NoUserNameInStartMenu"= 0 (0x0)

"MaxRecentDocs"= 15 (0xf)

"NoInstrumentation"= 0 (0x0)

"MemCheckBoxInRunDlg"= 1 (0x1)

"NoSMBalloonTip"= 0 (0x0)

"DisallowCpl"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]

2007-11-15 11:10 72208 c:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTWLgn.dll

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

@=""

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\Messenger\\Msmsgs.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Program Files\\iTunes\\iTunes.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

 

R2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys [2006-05-25 01:53]

S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 20:45]

S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 20:45]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]

\Shell\AutoRun\command - F:\Autorun.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{da777483-a5ac-11db-ae33-806d6172696f}]

\Shell\AutoRun\command - F:\Setup.exe

.

Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

 

2008-08-14 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job

- C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 15:57]

.

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-08-18 18:49:07

Windows 5.1.2600 Service Pack 3 NTFS

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

 

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\WINDOWS\system32\ati2evxx.exe

C:\WINDOWS\system32\ati2evxx.exe

D:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\RAXCO\PerfectDisk\PDAgent.exe

C:\Program Files\Windows Media Player\wmpnetwk.exe

C:\Program Files\RAXCO\PerfectDisk\PDEngine.exe

C:\WINDOWS\system32\WgaTray.exe

C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

D:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-08-18 18:52:55 - machine was rebooted

ComboFix-quarantined-files.txt 2008-08-18 16:52:52

ComboFix2.txt 2008-08-17 21:40:06

 

Pre-Run: 3,745,976,320 octets libres

Post-Run: 3,859,738,624 octets libres

 

406 --- E O F --- 2008-08-18 01:03:10

 

 

Et aussi le nouveau rapport de Hijackthis:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:59:36, on 18/08/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

D:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Raxco\PerfectDisk\PDAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Raxco\PerfectDisk\PDEngine.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE

C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

D:\Program Files\Stardock\CursorFX\CursorFX.exe

D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

D:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\notepad.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Documents and Settings\BRUNO\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - D:\Program Files\rpbrowserrecordplugin.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [CursorFX] "D:\Program Files\Stardock\CursorFX\CursorFX.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_04] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_06] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_07] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Srchasst" (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_06] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_07] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'SERVICE RÉSEAU')

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logitech SetPoint.lnk = D:\Program Files\Logitech\SetPoint\SetPoint.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/m...90/mcinsctl.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTServ.exe

O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDAgent.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe

 

--

End of file - 9250 bytes

 

 

Voilà donc le résultat des courses, à suivre...

[Falkra]

Le rapport est ok. De ton côté, constates-tu encore des symptômes infectieux ?

[crackers56]

Le rapport est ok. De ton côté, constates-tu encore des symptômes infectieux ?

Bsr Falkra, depuis la derniere action effectuée avec Combofix, je n'ai plus aucun symptôme d'infection.

Par contre, j'utilise une souris "Logitech MX Révolution" et parfois, malgré mes déplacements de souris,

mon curseur reste immobile par à coups(et cela malgré les mises à jour de chez Logitech) est-ce que ce serait un signe

d'infection?

Serait-ce le bout du tunnel ??? Dis moi ce que tu en pense, ou reste t-il d'autres actions a mener.

 

En tous cas, je te remerçi de toute l'aide que jusqu'içi tu m'as apporté.

Si effectivement mon ordi est à présent clean, pourras tu me renseigner sur les outils préventif

que je ppourrais mettre en place afin de ne pas réitérer cette malheureuse mésaventure.

Car en effet j'aimerais, si possible, garder mon système hors d'atteinte de ce genre d'attaque.

Je dois aussi présiser que j'ai deux enfants qui vont, pour l'un sur des sites de jeu en ligne(ex: jeux.fr),

et pour l'autre, voir des clips de musique.

Es-ce que ceçi explique cela...

 

En tous cas je reste dans l'attente de tes lumières.

[Falkra]

Tu peux désinstaller combofix : entre combofix /u dans la boite exécuter du menu démarrer.

Après cela, efface ce dossier s'il existe encore.

C:\QooBox

 

Désinstalle Lop S&D via ajout/suppression de programmes.

 

Tu peux garder MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande.

 

Par contre, j'utilise une souris "Logitech MX Révolution" et parfois, malgré mes déplacements de souris,

mon curseur reste immobile par à coups(et cela malgré les mises à jour de chez Logitech) est-ce que ce serait un signe

d'infection?

Infection, non.

 

Arrête les cracks par contre. Une petite vidéo :

Cracks, Keygens, ... es-tu sûr de ton choix ?

 

Un "vrai" pare-feu est une nécessité, je te conseille Comodo v3, simple à utiliser, gratuit et efficace, un très bon compromis : http://www.personalfirewall.comodo.com/

Tu trouveras ici un tuto en français : http://www.malekal.com/tutorial_COMODO_Firewall.php

 

N'installe pas les toolbars proposées par l'installateur, décoche :

Une fois installé, désactive son module anti malwares, et fais clic droit sur son icône et dans le menu Defense+, règle sur "Disabled" si le côté HIPS te dérange.

 

Il faut bien garder ton système et les logiciels à jour.

PSI de Secunia peut t'y aider. https://psi.secunia.com/

JavaRa peut t'y aider pour Java : http://raproducts.org/

 

 

- Il faut que tu fasses très attention lorsque tu installes des logiciels, notamment MSN/WLM Plus! (Messenger Plus! est installé), il y a des "sponsors" ou barres d'outils, des choses qu'on installe avec les programmes, et ce sont des infections.

Exemple pour MSN Plus :

 

Il faut surtout décocher cela lorsqu'on installe, et par défaut, c'est coché : si on ne fait pas attention, on est infecté !

Ces programmes aussi installent ça :

* Bitdownload

* BitGrabber

* BitRoll

* BitTorrent Fastest Tool

* divocodec

* DivoPlayer

* DomPlayer

* Download Plugin

* Get-Torrent

* KitPlayer

* NetPumper

* Plugindl

* TorrentQ

* TorrentSoftware

* Torrent101

* Winzix

* 3wPlayer

 

 

Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine.

 

Tout cela est long et dense, alors prends ton temps, et n'hésite pas à poser des questions, cette partie est aussi importante que la désinfection.

 

Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

[crackers56]

Tu peux désinstaller combofix : entre combofix /u dans la boite exécuter du menu démarrer.

Après cela, efface ce dossier s'il existe encore.

C:\QooBox

 

Désinstalle Lop S&D via ajout/suppression de programmes.

 

Tu peux garder MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine. Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande.

 

Infection, non.

 

Arrête les cracks par contre. Une petite vidéo :

Cracks, Keygens, ... es-tu sûr de ton choix ?

 

Un "vrai" pare-feu est une nécessité, je te conseille Comodo v3, simple à utiliser, gratuit et efficace, un très bon compromis : http://www.personalfirewall.comodo.com/

Tu trouveras ici un tuto en français : http://www.malekal.com/tutorial_COMODO_Firewall.php

 

N'installe pas les toolbars proposées par l'installateur, décoche :

Une fois installé, désactive son module anti malwares, et fais clic droit sur son icône et dans le menu Defense+, règle sur "Disabled" si le côté HIPS te dérange.

 

Il faut bien garder ton système et les logiciels à jour.

PSI de Secunia peut t'y aider. https://psi.secunia.com/

JavaRa peut t'y aider pour Java : http://raproducts.org/

 

 

- Il faut que tu fasses très attention lorsque tu installes des logiciels, notamment MSN/WLM Plus! (Messenger Plus! est installé), il y a des "sponsors" ou barres d'outils, des choses qu'on installe avec les programmes, et ce sont des infections.

Exemple pour MSN Plus :

 

Il faut surtout décocher cela lorsqu'on installe, et par défaut, c'est coché : si on ne fait pas attention, on est infecté !

Ces programmes aussi installent ça :

* Bitdownload

* BitGrabber

* BitRoll

* BitTorrent Fastest Tool

* divocodec

* DivoPlayer

* DomPlayer

* Download Plugin

* Get-Torrent

* KitPlayer

* NetPumper

* Plugindl

* TorrentQ

* TorrentSoftware

* Torrent101

* Winzix

* 3wPlayer

 

 

Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine.

 

Tout cela est long et dense, alors prends ton temps, et n'hésite pas à poser des questions, cette partie est aussi importante que la désinfection.

 

Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Bonjour Falkra, cela fait longtemps que je ne suis pas venu sur Zebulon mais j'ai été très occupé la semaine dernière...

Par rapport aux "cracks et keygens", lorsque j'ai réalisé la config de mon ordi, j'avais acheté "XP PRO" 64 bits (mon processeur est un 64 bits)

mais il m'a été impossible de l'installer car au moment d'installer les différent pilotes, à chaque fois l'installation échouait, et cela à maintes reprises.

Nous en avons pensé que c'était dù a l'incompatibilité des pilotes avec XP PRO 64 bits, et nous avons un XP PRO de "la coccinelle" qui actuellement tourne avec

un keygens pour avoir les mises à jours de WINDOWS.

Et je dois dire que ça m'embête quand même d'avoir un logiciel acheté 150,00€ qui reste rangé dans un tiroir.

Du coup ma question est, aujourd'hui, puis-je installer XP PRO 64 en allant chercher les pilotes sur les sites officiels des materiels que j'ai installé dans ma config?

Et surtout, on me dis que si j'installe XP PRO 64 je risque d'avoir, dans l'avenir, des incompatibilités avec les logiciels que j'installerai.

Qu'en pense tu?

(PS: Encore merci pour ton aide lors de ma désinfection, à présent mon ordi me semble toutà fait clean).

[Falkra]

Aïe. XP 64bits ne fait pas tout tourner, c'est dans une boutique qu'ils t'ont conseillé le 64bits ? Pas cool (si oui).

[crackers56]

Aïe. XP 64bits ne fait pas tout tourner, c'est dans une boutique qu'ils t'ont conseillé le 64bits ? Pas cool (si oui).

Bsr Falkra, effectivement pas cool, en fait j'ai acheté XP Pro 64 sur les conseilles d'un ami et j'ai donc acheté ce logiciel

chez LDLC.com.

Donc tu me confirmes qu'en installant XP Pro 64, je risque fort d'être embêté pour utiliser certains programmes!!!

Et du coup je suis coincé avec ce logiciel...bon ça, c'est fait.

Au fait, j'ai installé COMODO et ça fonctionne,j'ai utilisé le tuto que tu m'avais mis en lien pour

l'installer et le paramêtrer.

Par contre j'utilise une Box de chez NEUF(la trio 3D), elle fait office de routeur et appriori aussi de par feu!!!

Est ce que celà est compatible avec un firewall?

Si oui, le fait de tourner avec un firewall et un routeur, augmente t-il la protection de l'ordi?

 

Cela fait encore beaucoup de questions que je te pose, merci encore de prendre du temps pour y répondre.

 

Par contre je n'ai pas fini de lire ta documentation sur les infections et les moyens de les éviter et il me reste aussi

à maintenir l'ensemble de mon système à jour avec les deux outils que tu a mis en lien.

Tu vois il me reste encore du boulot à faire

Bonne nuit, A+

[Falkra]

La plupart des routeurs destinés aux particuliers proposent de la redirection de ports NAT : Network Address Translation. Les modems type "box" le proposent également. Il s'agit de rediriger (ou non) des ports vers la/les machine(s) de votre choix sur un réseau. Si dans la pratique ce système permet de protéger une machine en n'autorisant que certains ports et en bloquant le reste, cela ne dispense pas de l'installation d'un pare-feu logiciel bidirectionnel, qui filtrera non seulement ce qui vient d'internet mais aussi ce qui y va depuis votre machine, ce qu'un routeur NAT ne fait pas. Le pare-feu basique intégré à windows XP ne remplit pas cette fonction, celui de Vista le fait en revanche, tout en restant très basique tout de même.

 

Pour les programmes, tant que ce que tu as tourne et est compatible, pas de problème.

[crackers56]

La plupart des routeurs destinés aux particuliers proposent de la redirection de ports NAT : Network Address Translation. Les modems type "box" le proposent également. Il s'agit de rediriger (ou non) des ports vers la/les machine(s) de votre choix sur un réseau. Si dans la pratique ce système permet de protéger une machine en n'autorisant que certains ports et en bloquant le reste, cela ne dispense pas de l'installation d'un pare-feu logiciel bidirectionnel, qui filtrera non seulement ce qui vient d'internet mais aussi ce qui y va depuis votre machine, ce qu'un routeur NAT ne fait pas. Le pare-feu basique intégré à windows XP ne remplit pas cette fonction, celui de Vista le fait en revanche, tout en restant très basique tout de même.

 

Pour les programmes, tant que ce que tu as tourne et est compatible, pas de problème.

Merci Falkra pour tes lumières et surtout pour toute l'aide que tu m'as apporté pour ma désinfection.

A présent j'en sais un peu plus sur la sécurité en informatique(sans pour autant être devenu un expert...)

je vais tâcher d'être prudent sur la toile et de ne pas comettre trop d'erreurs.

Merci encore et à présent je vais modifier le titre de mon "appel au secours" en métant "résolu"

Peut-être à l'avenir, je referais appel à toi pour d'autres questions si je suis à nouveau perdu!!!

 

CIAO A+