[RESOLU] malware adulte

Schumigirl · le 30 août 2008

Bonjour,

cela fait plusieurs semaines que de la pub intempestive s'affiche sur mon firefox 3. A chaque fois que ma souris en survole une, ça l'affiche automatiquement. Parfois même sans rien faire. Exemple à l'instant: je bois mon café à l'autre bout de la table, et trois pubs se sont affichées avec du contenu adulte, et une pub pour un célèbre FAI situé entre 8 et 10.

J'ai un peu cherché s'il pouvait y avoir des fichiers installés sur mon pc : a priori rien... sauf que sur le poste de travail, j'ai découvert un fichier "connessionne per adulti" :

Je pense que c'est lié. Un membre de ma famille se rend sur des sites pornos, et malheureusement, la dernière fois que j'ai installé un antivirus, cela a fait tellement ramer le pc qu'il était impossible de faire des factures. Parce que oui! j'ajoute que le pc date de 2003, et qu'il est saturé.

on ne doit pas tarder à changer, mais en attendant, je souhaite virer le fichier en question. Quand je clique droit, ça me met un menu "Open my menu" ou "Créer un raccourci".

pourriez-vous m'aider, s'il vous plaît?

avec tous mes remerciements

Modifié le 6 septembre 2008 par Schumigirl

angelique · le 30 août 2008

salut , tu veux que je regarde;

• creer un nouveau dossier en c:\ nommé HJT

telecharger HijackThis.exe dans ce nouveau dossier crée::

http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe

lDouble-clique dessus . Accepte la licence qui va apparaître par "I agree" .

Puis clique sur "Do a system scan and save a logfile"

fais un copier-coller du rapport

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Ferme HijackThis

Schumigirl · le 30 août 2008

merci infiniment pour la rapidité de la réponse.

je fais ça dans la soirée et vous tiens au courant

Modifié le 30 août 2008 par Schumigirl

Schumigirl · le 30 août 2008

euh ben finalement, je viens de le faire tout de suite, mdr... j'imagine que tout ceci a un sens, mais ça ne vous étonnera pas si je vous dis que je n'y comprends rien!

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:54:24, on 30/08/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Mouse Driver\MouseDrv.exe

C:\Program Files\QuickTime\QTTask.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Program Files\Orange\Systray\SystrayApp.exe

C:\Program Files\Lexmark 5400 Series\lxctmon.exe

C:\Program Files\Lexmark 5400 Series\ezprint.exe

C:\Documents and Settings\Application Data\semanatiba\syslcznp.exe

C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\Program Files\OFFICE One6.5\OFFICE One PDF Manager\OoPDFSettingsv6.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Orange\Launcher\Launcher.exe

C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe

C:\Program Files\Fichiers communs\Command Software\dvpapi.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

C:\Program Files\Orange\connectivity\connectivitymanager.exe

C:\WINDOWS\system32\lxctcoms.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Orange\connectivity\CoreCom\CoreCom.exe

C:\Program Files\Orange\connectivity\CoreCom\OraConfigRecover.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe

C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe

C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Java\jre1.6.0_05\bin\jucheck.exe

C:\MKAmb\Gestamb.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\HJT\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Emjysoft_Anti-spam] C:\Program Files\Emjysoft\Anti-Spam\antispam.exe

O4 - HKLM\..\Run: [CreativeMouse ] C:\Program Files\Mouse Driver\MouseDrv.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [systrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"

O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe

O4 - HKLM\..\Run: [lxctmon.exe] "C:\Program Files\Lexmark 5400 Series\lxctmon.exe"

O4 - HKLM\..\Run: [Lexmark 5400 Series Fax Server] "C:\Program Files\Lexmark 5400 Series\fm3032.exe" /s

O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 5400 Series\ezprint.exe"

O4 - HKLM\..\Run: [auoie] C:\Documents and Settings\Application Data\semanatiba\syslcznp.exe

O4 - HKLM\..\Run: [sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [LXCTCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll,_RunDLLEntry@16

O4 - HKLM\..\Run: [OoPDFSettingsv6.exe] C:\Program Files\OFFICE One6.5\OFFICE One PDF Manager\OoPDFSettingsv6.exe

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\Shell.exe appLaunchClientZone.shl|PARAM= cnx

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [dllcache.exe] C:\WINDOWS\system32\dllconfig\cache\dllcache.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe (file missing)

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: www.2mug.biz

O15 - Trusted Zone: www.928476362.com

O15 - Trusted Zone: www.nodialup.name

O15 - Trusted Zone: http://www.orange.fr

O15 - Trusted Zone: http://www.secuser.com

O15 - Trusted Zone: www.sgnappo.com

O15 - Trusted Zone: www.sgrunt.biz

O15 - Trusted Zone: www.whatsnew.name

O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/a...gnerADP-1.0.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxmultijoueurs.orange.fr/Gameshel...ronGameHost.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://www.nodialup.name/ciuccia.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: DvpApi (dvpapi) - Command Software Systems, Inc. - C:\Program Files\Fichiers communs\Command Software\dvpapi.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: lxct_device - - C:\WINDOWS\system32\lxctcoms.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--

End of file - 9229 bytes

Modifié le 27 septembre 2008 par Schumigirl

angelique · le 30 août 2008

c'est ce que j'ai demandé , tu fais ça dans l'ordre.On mettra un ativirus gratuit apres , un bon ;o)

1• relance HijackThis "do a system scan only" , tu coches uniquement les lignes ci dessous et tu clic l'onglet en bas Fixchecked:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [auoie] C:\Documents and Settings\DI PAOLO Marine\Application Data\semanatiba\syslcznp.exe

O4 - HKCU\..\Run: [dllcache.exe] C:\WINDOWS\system32\dllconfig\cache\dllcache.exe

O4 - HKLM\..\Run: [OoPDFSettingsv6.exe] C:\Program Files\OFFICE One6.5\OFFICE One PDF Manager\OoPDFSettingsv6.exe

O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://www.nodialup.name/ciuccia.exe

====> clic Fixchecked

2• Telecharge, enregistre sur ton bureau::

http://www.mvps.org/winhelp2002/DelDomains.inf

tu le trouves là aussi en cas de soucis d'enregistrement pour clic droit \ installer

http://www.sendspace.com/file/jx7yri

clic droit dessus , installer.

3• Télécharger OTMoveIt2 par OldTimer.

http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

* Enregistrer ce fichier sur le Bureau.

* Faire un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).

* Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):

C:\Documents and Settings\DI PAOLO Marine\Application Data\semanatiba
C:\WINDOWS\system32\dllconfig
EmptyTemp

* Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste List of Files/Folders to Move" ) puis choisir Coller.

* Cliquer sur le bouton rouge Moveit!.

* Copier tout ce qui se trouve dans la zone Results (sous la barre verte) dans le Presse-papiers en sélectionnant TOUTES LES LIGNES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier), et coller ces résulats en réponse sur le forum.

* Fermer OTMoveIt2

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. Dans ce cas, après le redémarrage, ouvrir le Bloc-notes (Démarrer->Tous les programmes->Accessoires->Bloc-notes), cliquer sur Fichier->Ouvrir, dans la zone "Nom du fichier" taper *.log et appuyer sur la touche Entrée, naviguer jusqu'au dossier C:\_OTMoveIt\MovedFiles, puis ouvrir le fichier .log le plus récent; ensuite faire un copier/coller du contenu de ce document en réponse sur le forum.

4• Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

* Double-clique combofix.exe, accepte le CluF qui s'affiche, afin de l'exécuter et suis les instructions.

* Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras avec aussi un nouveau rapport HijackThis

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

donc qlqs rapports demandés:

OTmoveIt+ComboFix+HijackThis(nouveau!)

Schumigirl · le 31 août 2008

Voilou qui est fait : les trois rapports. Ben comme ça, tu connais mon nom et mon prénom... on pourra éditer ce message quand tout sera réparé, stp? non pas que je sois connue, mais bon! sait-on jamais, pour mon futur avenir sous les spotlights, mdr.

OTmoveIt

C:\Documents and Settings\Application Data\semanatiba moved successfully.

C:\WINDOWS\system32\dllconfig\cache moved successfully.

C:\WINDOWS\system32\dllconfig moved successfully.

< EmptyTemp >

File delete failed. C:\DOCUME~1\DIPAOL~1\LOCALS~1\Temp\~DFC551.tmp scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\DIPAOL~1\LOCALS~1\Temp\~DF9F58.tmp scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\DIPAOL~1\LOCALS~1\Temp\etilqs_NULyaxHnX7f27BMga1xj scheduled to be deleted on reboot.

Temp folders emptied.

IE temp folders emptied.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08312008_104802

ComboFix

ComboFix 08-08-30.03 - 2008-08-31 10:58:27.1 - FAT32x86

Endroit: C:\Documents and Settings\Bureau\ComboFix.exe

* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Documents and Settings\Application Data\macromedia\Flash Player\#SharedObjects\PMHXKYMF\bin.clearspring.com

C:\Documents and Settings\Application Data\macromedia\Flash Player\#SharedObjects\PMHXKYMF\bin.clearspring.com\clearspring.sol

C:\Documents and Settings\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#bin.clearspring.com

C:\Documents and Settings\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#bin.clearspring.com\settings.sol

C:\Documents and Settings\Application Data\tack.exe

C:\Documents and Settings\Cookies\

C:\Documents and Settings\

C:\Program Files\Screensavers.com

C:\Program Files\screensavers.com\Installer\bin\iebyterange.xml

C:\Program Files\screensavers.com\Installer\bin\iebyterange.xml.backup

C:\Program Files\screensavers.com\Installer\bin\siuninst.exe

C:\Program Files\screensavers.com\Wallpaper\swpstart.exe

C:\WINDOWS\system32\actskn43.ocx

C:\WINDOWS\system32\dao350.dll

C:\WINDOWS\system32\dllconfig.obj

C:\WINDOWS\system32\netwbix32.dll

C:\WINDOWS\system32\nvs2.inf

.

((((((((((((((((((((((((((((( Fichiers créés 2008-07-28 to 2008-08-31 ))))))))))))))))))))))))))))))))))))

.

2008-08-31 10:48 . 2008-08-31 10:48 <REP> d-------- C:\_OTMoveIt

2008-08-30 17:52 . 2008-08-30 17:53 <REP> d-------- C:\HJT

2008-08-27 14:13 . 2008-08-27 14:13 <REP> d-------- C:\WINDOWS\system32\CatRoot_bak

2008-08-26 10:10 . 2008-08-26 20:45 62 --a------ C:\WINDOWS\yesmessenger.ini

2008-08-26 10:05 . 2008-08-26 10:05 <REP> d-------- C:\Program Files\YesMessenger

2008-08-15 20:03 . 2008-08-15 20:03 <REP> d--hs---- C:\Documents and Settings\All Users\Application Data\System Restore

2008-08-15 13:14 . 2008-08-15 13:14 <REP> d-------- C:\Documents and Settings\Application Data\FireShot

2008-08-13 11:33 . 2008-05-01 16:31 331,776 --------- C:\WINDOWS\system32\dllcache\msadce.dll

2008-08-02 21:03 . 2008-08-02 21:03 0 --a------ C:\WINDOWS\system32\ndchs.pbk

2008-08-02 21:02 . 2008-08-02 21:02 0 --a------ C:\WINDOWS\system32\hicqohgfje.pbk

2008-08-02 21:02 . 2008-08-02 21:02 0 --a------ C:\WINDOWS\system32\ghddhcmrh.pbk

2008-08-02 21:02 . 2008-08-02 21:02 0 --a------ C:\WINDOWS\system32\f.pbk

2008-08-02 21:02 . 2008-08-02 21:02 0 --a------ C:\WINDOWS\system32\embkn.pbk

2008-07-20 21:00 . 2008-07-20 21:00 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Office Genuine Advantage

2008-07-20 20:34 . 2008-07-20 20:34 244 --ah----- C:\sqmnoopt18.sqm

2008-07-20 20:34 . 2008-07-20 20:34 232 --ah----- C:\sqmdata18.sqm

2008-07-20 15:35 . 2008-07-20 15:35 <REP> dr-hs---- C:\WINDOWS\system32\winsvc

2008-07-20 15:35 . 2008-07-20 15:35 0 --a------ C:\WINDOWS\system32\thnltjq.pbk

2008-07-20 15:35 . 2008-07-20 15:35 0 --a------ C:\WINDOWS\system32\pronp.pbk

2008-07-20 15:34 . 2008-07-20 15:34 0 --a------ C:\WINDOWS\system32\ptjb.pbk

2008-07-20 15:34 . 2008-07-20 15:35 0 --a------ C:\WINDOWS\system32\nkraotjkeajjl.pbk

2008-07-20 15:34 . 2008-07-20 15:34 0 --a------ C:\WINDOWS\system32\mjttkphkcjsd.pbk

2008-07-07 22:31 . 2008-07-07 22:31 253,952 --------- C:\WINDOWS\system32\dllcache\es.dll

2008-07-05 22:11 . 2008-07-05 22:11 <REP> d-------- C:\Documents and Settings\Application Data\Thunderbird

2008-07-05 22:10 . 2008-07-05 22:10 <REP> d-------- C:\Program Files\Mozilla Thunderbird

2008-07-04 19:37 . 2008-07-04 19:37 <REP> d-------- C:\Program Files\Icone

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll

2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll

2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe

2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe

2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll

2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll

2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll

2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll

2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll

2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll

2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll

2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll

2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll

2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll

2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll

2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll

2008-06-29 12:37 --------- d-----w C:\Documents and Settings\Application Data\vlc

2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll

2008-06-24 16:23 74,240 ------w C:\WINDOWS\system32\dllcache\mscms.dll

2008-06-24 08:28 3,592,192 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll

2008-06-23 09:21 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe

2008-06-23 09:21 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe

2008-06-23 09:20 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe

2008-06-21 05:23 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll

2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll

2008-06-20 17:41 247,808 ------w C:\WINDOWS\system32\dllcache\mswsock.dll

2008-06-20 17:41 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll

2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\dllcache\tcpip.sys

2008-06-20 10:44 138,368 ------w C:\WINDOWS\system32\dllcache\afd.sys

2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\dllcache\tcpip6.sys

2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\dllcache\bthport.sys

2008-05-08 12:28 202,752 ------w C:\WINDOWS\system32\dllcache\rmcast.sys

2008-05-07 05:15 1,293,824 ------w C:\WINDOWS\system32\quartz.dll

2008-05-07 05:15 1,293,824 ------w C:\WINDOWS\system32\dllcache\quartz.dll

2008-05-05 22:20 24,576 ----a-w C:\WINDOWS\KeyHH.exe

2007-11-20 14:21 69,520 ----a-w C:\Documents and Settings\Application Data\GDIPFONTCACHEV1.DAT

2006-11-25 18:59 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe

2004-07-28 19:14 10,022 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys

2004-07-28 19:14 56 --sh--r C:\WINDOWS\system32\2B91800F0F.sys

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-03-09 15:20 180269]

"CreativeMouse "="C:\Program Files\Mouse Driver\MouseDrv.exe" [2004-06-27 15:38 503808]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

"SystrayORAHSS"="C:\Program Files\Orange\Systray\SystrayApp.exe" [2007-09-25 20:08 94208]

"ORAHSSSessionManager"="C:\Program Files\Orange\SessionManager\SessionManager.exe" [2007-09-25 19:10 102400]

"lxctmon.exe"="C:\Program Files\Lexmark 5400 Series\lxctmon.exe" [2007-03-19 13:58 291760]

"Lexmark 5400 Series Fax Server"="C:\Program Files\Lexmark 5400 Series\fm3032.exe" [2007-03-19 13:59 304048]

"EzPrint"="C:\Program Files\Lexmark 5400 Series\ezprint.exe" [2007-03-19 13:58 82864]

"Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17 159744]

"LXCTCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll" [2006-11-21 13:27 106496]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\Real\\RealPlayer\\RealPlay.exe"=

"C:\\Program Files\\TribalWeb.net\\tribalweb.exe"=

"C:\\WINDOWS\\System32\\USMT\\migwiz.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"C:\\Program Files\\MSN Messenger\\livecall.exe"=

"C:\\Program Files\\Mozilla Firefox\\FIREFOX.EXE"=

"C:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe"=

"C:\\WINDOWS\\System32\\lxctcoms.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"8177:TCP"= 8177:TCP:BitComet 8177 TCP

"8177:UDP"= 8177:UDP:BitComet 8177 UDP

S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys [2006-03-01 18:37]

S3 Usblink;Usblink Driver;C:\WINDOWS\system32\Drivers\ulink.sys [2003-06-02 23:28]

S3 wlags48b;Wireless LAN PCCard Driver;C:\WINDOWS\system32\DRIVERS\wlags48b.sys [2002-06-28 07:29]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aef3f2a0-8f1d-11da-959d-00073aa1ad27}]

\Shell\AutoRun\command - E:\setupSNK.exe

*Newly Created Service* - CATCHME

*Newly Created Service* - PROCEXP90

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E4066320-E4AE-11CF-B1B0-00AA00BBAD66}]

rundll32.exe advpack.dll,LaunchINFSection %SystemRoot%\INF\fpxpress.inf,PerUserstub

.

- - - - ORPHANS REMOVED - - - -

HKCU-Run-WOOKIT - C:\PROGRA~1\WANADOO\Shell.exe

HKCU-Run-gggiacy - c:\documents and settings\local settings\application data\gggiacy.exe

HKLM-Run-Emjysoft_Anti-spam - C:\Program Files\Emjysoft\Anti-Spam\antispam.exe

.

------- Supplementary Scan -------

.

FireFox -: Profile - C:\Documents and Settings\Application Data\Mozilla\Firefox\Profiles\22zkkoyc.default\

FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://flashmail.club-internet.fr/

FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npOGAPlugin.dll

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-08-31 11:02:06

Windows 5.1.2600 Service Pack 2 FAT NTAPI

Balayage processus cachés ...

Balayage caché autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

LXCTCATS = rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Balayage des fichiers cachés ...

Scan terminé avec succès

Les fichiers cachés: 0

**************************************************************************

.

Temps d'accomplissement: 2008-08-31 11:03:10

ComboFix-quarantined-files.txt 2008-08-31 09:03:08

Pre-Run: 7,402,536,960 octets libres

Post-Run: 7,441,317,888 octets libres

179 --- E O F --- 2008-08-13 10:35:06

HijackThis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:09:34, on 31/08/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Mouse Driver\MouseDrv.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Program Files\Lexmark 5400 Series\lxctmon.exe

C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Orange\Launcher\Launcher.exe

C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe

C:\Program Files\Fichiers communs\Command Software\dvpapi.exe

C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe

C:\WINDOWS\system32\lxctcoms.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe

C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Java\jre1.6.0_05\bin\jucheck.exe

C:\WINDOWS\explorer.exe