virus possible

Benard · le 1 septembre 2008

Bonjour,

j'ai reçu plusieurs messages d'avertissements

j'ai essayé de faire une restauration , j'ai choisi un jour en l'occurrence le 25/8

mais la restauration ne se fait pas en cliquant sur suivant, rien ne se passe

voici le rapport Hijackthis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:13:03, on 1/09/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\WLTRYSVC.EXE

C:\WINDOWS\System32\bcmwltry.exe

C:\WINDOWS\system32\spoolsv.exe

D:\Winutil\AntiVir PersonalEdition Classic\sched.exe

D:\Winutil\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\McAfee\Common Framework\FrameworkService.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe

C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe

C:\Program Files\McAfee\Common Framework\naPrdMgr.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe

C:\WINDOWS\system32\PSIService.exe

D:\Winutil\Spyware Doctor\pctsAuxs.exe

D:\Winutil\Spyware Doctor\pctsSvc.exe

C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE

C:\Program Files\McAfee\Common Framework\UdaterUI.exe

D:\Winutil\AnyDVD\AnyDVD.exe

C:\Program Files\McAfee\Common Framework\McTray.exe

D:\Winapps\PhotoShop Album\3.2\Apps\apdproxy.exe

D:\Winutil\AVG Anti-Spyware 7.5\avgas.exe

D:\Winutil\Internet Download Manager\IDMan.exe

D:\Winprog\Wincmd\TOTALCMD.EXE

D:\Winutil\Spyware Doctor\pctsTray.exe

C:\Program Files\Spyware Terminator\sp_rsser.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\pchealth\helpctr\binaries\HelpCtr.exe

C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe

C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe

C:\WINDOWS\system32\restore\rstrui.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\mmc.exe

D:\Winsys\Scanner\HijackThis.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - D:\Winutil\Internet Download Manager\IDMIECC.dll

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - D:\Winutil\pando\PandoIEPlugin.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Winutil\SPYBOT~1\SDHelper.dll

O2 - BHO: CodecPlugin Class - {6b0ac2d1-cfa4-4021-81d5-e7e239e87496} - C:\WINDOWS\system32\CodecBHO.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\Scriptcl.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O3 - Toolbar: emotigt - {72B445FA-2456-4718-8580-3D963E4CCB5A} - (no file)

O4 - HKLM\..\Run: [shStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [AnyDVD] "D:\Winutil\AnyDVD\AnyDVD.exe"

O4 - HKLM\..\Run: [QuickTime Task] "D:\Winutil\quicktime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\Winapps\PhotoShop Album\3.2\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [\VIEEB.exe] C:\Windows\System32\VIEEB.exe

O4 - HKLM\..\Run: [\VIEEC.exe] C:\Windows\System32\VIEEC.exe

O4 - HKLM\..\Run: [\VIEED.exe] C:\Windows\System32\VIEED.exe

O4 - HKLM\..\Run: [\VIEEE.exe] C:\Windows\System32\VIEEE.exe

O4 - HKLM\..\Run: [Antivirus] C:\Program Files\MSA\MSA.exe

O4 - HKLM\..\Run: [\VIEEF.exe] C:\Windows\System32\VIEEF.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Winutil\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [\VIEF3.exe] C:\Windows\System32\VIEF3.exe

O4 - HKLM\..\Run: [\VIE1.exe] C:\Windows\System32\VIE1.exe

O4 - HKLM\..\Run: [\VIE2.exe] C:\Windows\System32\VIE2.exe

O4 - HKLM\..\Run: [\VIE3.exe] C:\Windows\System32\VIE3.exe

O4 - HKLM\..\Run: [\VIE5.exe] C:\Windows\System32\VIE5.exe

O4 - HKLM\..\Run: [iSTray] "D:\Winutil\Spyware Doctor\pctsTray.exe"

O4 - HKCU\..\Run: [iDMan] D:\Winutil\Internet Download Manager\IDMan.exe /onboot

O4 - HKCU\..\Run: [\VIEEB.exe] C:\Windows\System32\VIEEB.exe

O4 - HKCU\..\Run: [\VIEEC.exe] C:\Windows\System32\VIEEC.exe

O4 - HKCU\..\Run: [\VIEED.exe] C:\Windows\System32\VIEED.exe

O4 - HKCU\..\Run: [\VIEEE.exe] C:\Windows\System32\VIEEE.exe

O4 - HKCU\..\Run: [Antivirus] C:\Program Files\MSA\MSA.exe

O4 - HKCU\..\Run: [\VIEEF.exe] C:\Windows\System32\VIEEF.exe

O4 - HKCU\..\Run: [\VIEF3.exe] C:\Windows\System32\VIEF3.exe

O4 - HKCU\..\Run: [\VIE1.exe] C:\Windows\System32\VIE1.exe

O4 - HKCU\..\Run: [\VIE2.exe] C:\Windows\System32\VIE2.exe

O4 - HKCU\..\Run: [\VIE3.exe] C:\Windows\System32\VIE3.exe

O4 - HKCU\..\Run: [\VIE5.exe] C:\Windows\System32\VIE5.exe

O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')

O4 - Global Startup: Wincmd.lnk = D:\Winprog\Wincmd\TOTALCMD.EXE

O8 - Extra context menu item: Download All Links with IDM - D:\Winutil\Internet Download Manager\IEGetAll.htm

O8 - Extra context menu item: Download with IDM - D:\Winutil\Internet Download Manager\IEExt.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Winutil\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Winutil\SPYBOT~1\SDHelper.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O15 - Trusted Zone: http://www.rapidshare.com

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F1DB3482-C8D0-43CE-B0A7-B8B9003BA3F3}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220 208.67.222.222

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220 208.67.222.222

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Winutil\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\Winutil\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe

O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe

O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Winutil\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Winutil\Spyware Doctor\pctsSvc.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

O23 - Service: U.S. Robotics Wireless LAN Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

--

End of file - 9133 bytes

Pouvez vous m'aider ?

Thanos · le 1 septembre 2008

salut et bienvenue

Je vois deux antivirus sur ce pc, il va falloir choisisr pour éviter tout plantage! (un seul antivirus par pc).

Voilà ce que tu peux faire dans un premier temps >>

1°) Attention!! ComboFix et Antivir entrent en conflit: pour pouvoir télécharger ComboFix, il faut que tu désactives le bouclier d'Antivir. Pour cela, fais un clic droit sur l'icône d'Antivir dans la barre des tâches et décoche Antivir Guard enable.

2°) Télécharge combofix.exe de sUBs sur le Bureau.

3°) Redémarre le PC, impérativement en mode sans échec.

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement.
Tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionne "Mode sans échec" et appuie sur la touche [Entrée].
Choisis ton compte usuel, et non Administrateur.
>> En images ici<<

4°) Utilisation de ComboFix >>

Assure toi que tous les programmes sont fermés avant de lancer le fix!
Fait un double clique sur combofix.exe.
Clique sur Oui au message de Limitation de Garantie qui s'affiche.
Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
Le pc va redémarrer, redémarre en mode sans échec une fois de plus car les protections en place risquent d'interférer avec ComboFix.
Une fois le scan terminé, le rapport s'affiche: ferme le et redémarre le pc en mode normal cette fois ci. Poste le rapport qui se trouve ici > C:\ComboFix.txt

5°) Important:

Par la suite, il est possible qu'Antivir fasse une détection sur ce fichier > nircmd.com > clique sur le bouton radio Ignorer puis valide par OK (ce fichier appartient à ComboFix, ce n'est pas un malware!)

à++

Modifié le 1 septembre 2008 par Thanos

Benard · le 1 septembre 2008

salut et bienvenue

Je vois deux antivirus sur ce pc, il va falloir choisisr pour éviter tout plantage! (un seul antivirus par pc).

Voilà ce que tu peux faire dans un premier temps >>

1°) Attention!! ComboFix et Antivir entrent en conflit: pour pouvoir télécharger ComboFix, il faut que tu désactives le bouclier d'Antivir. Pour cela, fais un clic droit sur l'icône d'Antivir dans la barre des tâches et décoche Antivir Guard enable.

2°) Télécharge combofix.exe de sUBs sur le Bureau.

3°) Redémarre le PC, impérativement en mode sans échec.

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement.

Tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows.

Sélectionne "Mode sans échec" et appuie sur la touche [Entrée].

Choisis ton compte usuel, et non Administrateur.

>> En images ici<<

4°) Utilisation de ComboFix >>

Assure toi que tous les programmes sont fermés avant de lancer le fix!

Fait un double clique sur combofix.exe.

Clique sur Oui au message de Limitation de Garantie qui s'affiche.

Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!

Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !

Le pc va redémarrer, redémarre en mode sans échec une fois de plus car les protections en place risquent d'interférer avec ComboFix.

Une fois le scan terminé, le rapport s'affiche: ferme le et redémarre le pc en mode normal cette fois ci. Poste le rapport qui se trouve ici > C:\ComboFix.txt

5°) Important:

Par la suite, il est possible qu'Antivir fasse une détection sur ce fichier > nircmd.com > clique sur le bouton radio Ignorer puis valide par OK (ce fichier appartient à ComboFix, ce n'est pas un malware!)

à++

voici le rapport de combifix

ComboFix 08-08-31.01 - Bernard 2008-09-01 21:45:47.1 - NTFSx86 MINIMAL

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1750 [GMT 2:00]

Endroit: C:\Documents and Settings\Bernard\Bureau\ComboFix.exe

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Documents and Settings\Bernard\Application Data\macromedia\Flash Player\#SharedObjects\EAW7ULJR\bin.clearspring.com

C:\Documents and Settings\Bernard\Application Data\macromedia\Flash Player\#SharedObjects\EAW7ULJR\bin.clearspring.com\clearspring.sol

C:\Documents and Settings\Bernard\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#bin.clearspring.com

C:\Documents and Settings\Bernard\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#bin.clearspring.com\settings.sol

C:\Documents and Settings\Bernard\Cookies\bernard@ads.rtl[1].txt

C:\Documents and Settings\Bernard\Cookies\bernard@antivirusfiable[2].txt

C:\Documents and Settings\Bernard\Cookies\bernard@reparateurdesysteme[1].txt

C:\WINDOWS\system32\x64

J:\Autorun.inf

.

((((((((((((((((((((((((((((( Fichiers créés 2008-08-01 to 2008-09-01 ))))))))))))))))))))))))))))))))))))

.

2008-09-01 21:30 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe

2008-09-01 21:30 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe

2008-09-01 21:30 . 2008-02-16 20:46 85,504 --a------ C:\WINDOWS\system32\VACFix.exe

2008-09-01 21:30 . 2008-02-08 11:37 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe

2008-09-01 21:30 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe

2008-09-01 21:30 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe

2008-09-01 21:30 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe

2008-09-01 21:20 . 2008-09-01 21:20 25,304 --a------ C:\Temp\tcpip2.reg

2008-09-01 21:20 . 2008-09-01 21:20 25,208 --a------ C:\Temp\tcpip1.reg

2008-09-01 20:39 . 2008-09-01 20:39 <REP> d-------- C:\WINDOWS\ERUNT

2008-09-01 19:48 . 2008-09-01 20:49 <REP> d-------- C:\SDFix

2008-09-01 08:09 . 2008-09-01 20:58 <REP> d-------- C:\WINDOWS\system32\CatRoot2

2008-08-31 20:10 . 2008-08-28 14:57 167,424 --a------ C:\WINDOWS\system32\MSA.cpl

2008-08-31 19:11 . 2008-08-31 19:11 3,082 --a------ C:\WINDOWS\system32\affv208325p1now.sys

2008-08-31 12:49 . 2008-08-31 12:49 106,496 --a------ C:\WINDOWS\system32\CodecBHO.dll

2008-08-22 10:04 . 2004-10-12 14:40 2,255,360 --a------ C:\WINDOWS\system32\libavcodec.dll

2008-08-22 10:04 . 2004-10-12 14:46 1,761,280 --a------ C:\WINDOWS\system32\ffdshow.ax

2008-08-22 10:04 . 2004-10-05 16:16 395,776 --a------ C:\WINDOWS\system32\libmplayer.dll

2008-08-22 10:04 . 2004-10-12 14:42 262,144 --a------ C:\WINDOWS\system32\TomsMoComp_ff.dll

2008-08-22 10:04 . 2003-04-03 00:17 172,032 --a------ C:\WINDOWS\system32\ac3filter.ax

2008-08-22 10:04 . 2004-10-04 01:50 112,640 --a------ C:\WINDOWS\system32\libmpeg2_ff.dll

2008-08-10 11:02 . 2008-08-10 11:02 7 --a------ C:\WINDOWS\tpntma04.ini

2008-08-04 18:35 . 2008-08-04 18:38 <REP> d-------- C:\Garmin-save

2008-08-03 18:42 . 2008-08-03 18:42 62 --a------ C:\WINDOWS\WININIT.INI

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-09-01 19:39 2,596 ----a-w C:\WINDOWS\system32\tmp.reg

2008-09-01 18:50 --------- d-----w C:\Documents and Settings\Bernard\Application Data\DMCache

2008-09-01 18:19 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP

2008-08-31 20:38 --------- d-----w C:\Program Files\Spyware Terminator

2008-08-31 20:38 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spyware Terminator

2008-08-31 18:30 --------- d-----w C:\Documents and Settings\Bernard\Application Data\Spyware Terminator

2008-08-31 16:58 --------- d-----w C:\Documents and Settings\Bernard\Application Data\Vso

2008-08-10 07:05 --------- d-----w C:\Documents and Settings\Bernard\Application Data\Corel

2008-08-06 16:05 3,766 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys

2008-07-28 18:53 --------- d-----w C:\Documents and Settings\Bernard\Application Data\GARMIN

2008-07-28 18:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\GARMIN

2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll

2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe

2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll

2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll

2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll

2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll

2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll

2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll

2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll

2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll

2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll

2008-02-12 19:12 22,328 ----a-w C:\Documents and Settings\Bernard\Application Data\PnkBstrK.sys

2007-07-19 18:30 81,920 ------w C:\Documents and Settings\Bernard\Application Data\ezpinst.exe

2007-07-19 18:30 47,360 ------w C:\Documents and Settings\Bernard\Application Data\pcouffin.sys

2008-02-17 19:44 175,603 --sha-w C:\WINDOWS\system32\dccdd.ini.ren

2008-02-17 19:42 175,603 --sha-w C:\WINDOWS\system32\dccdd.ini2.ren

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IDMan"="D:\Winutil\Internet Download Manager\IDMan.exe" [2006-11-12 18:55 880896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ShStatEXE"="C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2006-11-30 08:50 112216]

"McAfeeUpdaterUI"="C:\Program Files\McAfee\Common Framework\UdaterUI.exe" [2006-11-17 13:39 136768]

"AnyDVD"="D:\Winutil\AnyDVD\AnyDVD.exe" [2004-02-19 00:31 177152]

"QuickTime Task"="D:\Winutil\quicktime\qttask.exe" [2007-06-29 06:24 286720]

"Adobe Photo Downloader"="D:\Winapps\PhotoShop Album\3.2\Apps\apdproxy.exe" [2007-03-16 11:45 63712]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2008-02-26 03:23 443968]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Wincmd.lnk - D:\Winprog\Wincmd\TOTALCMD.EXE [2007-07-19 00:40:59 2902984]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\U.S. Robotics Wireless Manager UI]

C:\WINDOWS\system32\WLTRAY [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]

--------- 2007-06-11 11:25 6731312 D:\Winutil\AVG Anti-Spyware 7.5\avgas.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdaptecDirectCD]

--------- 2007-07-19 23:25 684032 D:\Winapps\Easy CD Creator\DirectCD\Directcd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]

--------- 2007-03-16 11:45 63712 D:\Winapps\PhotoShop Album\3.2\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

--a------ 2008-01-11 23:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]

--------- 2007-04-02 11:35 327720 D:\Winutil\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]

--------- 2006-10-09 11:28 139264 C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]

--------- 2006-09-28 21:21 57344 D:\Winapps\CloneCD\CloneCDTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Device Detector]

--------- 2003-11-27 10:16 217088 C:\Program Files\Fichiers communs\ACD Systems\FR\DevDetect.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]

--------- 2007-02-26 10:34 155648 C:\WINDOWS\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]

--------- 2007-02-26 10:34 131072 C:\WINDOWS\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISTray]

--------- 2007-12-10 15:53 1103752 D:\Winutil\Spyware Doctor\pctsTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--------- 2004-10-13 18:24 1694208 C:\Program Files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--------- 2006-01-12 16:40 155648 C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Pando]

--------- 2007-10-05 12:33 5207368 D:\Winutil\pando\pando.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]

--------- 2007-02-26 10:33 131072 C:\WINDOWS\system32\igfxpers.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--------- 2007-06-29 06:24 286720 D:\Winutil\quicktime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--------- 2007-07-12 04:00 132496 C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SuperCopier2.exe]

--------- 2005-03-14 01:37 1057280 C:\Program Files\SuperCopier2\SuperCopier2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

--------- 2007-07-19 21:32 185896 C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrojanScanner]

--------- 2008-01-01 20:20 737872 D:\Winutil\Trojan Remover\Trjscan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

--------- 2005-05-03 18:43 69632 C:\WINDOWS\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Raccourci vers la page des propriétés de High Definition Audio]

--------- 2005-01-07 17:07 61952 C:\WINDOWS\system32\HdAShCut.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]

--------- 2006-06-28 14:54 16248320 C:\WINDOWS\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]

--------- 2006-05-16 18:04 2879488 C:\WINDOWS\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"PnkBstrB"=2 (0x2)

"PnkBstrA"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\McAfee\\Common Framework\\FrameworkService.exe"=

"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Program Files\\InterVideo\\DVD7\\WinDVD.exe"=

"C:\\Program Files\\Messenger\\msmsgs.exe"=

"D:\\Winutil\\pando\\pando.exe"=

"C:\\Program Files\\uTorrent\\uTorrent.exe"=

"D:\\Winutil\\phpDesigner 2008\\phpDesigner2008.exe"=

R3 BCMTPM;BCMTPM;C:\WINDOWS\system32\DRIVERS\btpmw32.sys [2006-07-17 14:07]

S1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\system32\drivers\sp_rsdrv2.sys [2007-12-27 12:09]

S3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys [2004-09-07 16:42]

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

.

------- Supplementary Scan -------

.

FireFox -: Profile - C:\Documents and Settings\Bernard\Application Data\Mozilla\Firefox\Profiles\u8d8i3ux.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank

FF -: plugin - C:\Program Files\DivX\DivX Content Uploader\npUpload.dll

FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npdjvu.dll

FF -: plugin - D:\Winutil\quicktime\Plugins\npqtplugin.dll

FF -: plugin - D:\Winutil\quicktime\Plugins\npqtplugin2.dll

FF -: plugin - D:\Winutil\quicktime\Plugins\npqtplugin3.dll

FF -: plugin - D:\Winutil\quicktime\Plugins\npqtplugin4.dll

FF -: plugin - D:\Winutil\quicktime\Plugins\npqtplugin5.dll

FF -: plugin - D:\Winutil\quicktime\Plugins\npqtplugin6.dll

FF -: plugin - D:\Winutil\quicktime\Plugins\npqtplugin7.dll

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-01 21:48:07

Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès

Les fichiers cachés: 0

**************************************************************************

.

Temps d'accomplissement: 2008-09-01 21:49:29

ComboFix-quarantined-files.txt 2008-09-01 19:49:07

Pre-Run: 6,620,291,072 octets libres

Post-Run: 6,657,396,736 octets libres

192

Thanos · le 1 septembre 2008

re!

je jette un oeil à ton rapport et te laisse une réponse sous peu....

Thanos · le 1 septembre 2008

Nous allons utiliser un programme que tu pourras conserver afin de nettoyer les restes >>

Note: si tu possèdes des supports amovibles (clés usb/ disque dur externe), branche les avant de faire le scan suivant >>

Télécharge Malwarebytes' Anti-Malware (MBAM)

Double clique sur le fichier téléchargé pour lancer le processus d'installation.
Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
Sélectionne "Exécuter un examen rapide"
Clique sur "Rechercher"
L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Poste un nouveau rapport hijackthis avec ca stp

Modifié le 1 septembre 2008 par Thanos

Benard · le 1 septembre 2008

Nous allons utiliser un programme que tu pourras conserver afin de nettoyer les restes >>

Note: si tu possèdes des supports amovibles (clés usb/ disque dur externe), branche les avant de faire le scan suivant >>

Télécharge Malwarebytes' Anti-Malware (MBAM)

Double clique sur le fichier téléchargé pour lancer le processus d'installation.

Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.

Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".

Sélectionne "Exécuter un examen rapide"

Clique sur "Rechercher"

L'analyse démarre, le scan est relativement long, c'est normal.

A la fin de l'analyse, un message s'affiche :

Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.

Ferme tes navigateurs.

Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Poste un nouveau rapport hijackthis avec ca stp

voilà le rapport mbam et hyjackthis

il y en a eu 4 supprimés

Malwarebytes' Anti-Malware 1.25

Version de la base de données: 1062

Windows 5.1.2600 Service Pack 2

22:34:59 1/09/2008

mbam-log-09-01-2008 (22-34-51).txt

Type de recherche: Examen rapide

Eléments examinés: 45426

Temps écoulé: 3 minute(s), 48 second(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 4

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.

HKEY_CLASSES_ROOT\emotigt.bkwr (Trojan.FakeAlert) -> No action taken.

HKEY_CLASSES_ROOT\emotigt.toolbar.1 (Trojan.FakeAlert) -> No action taken.

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:37:06, on 1/09/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\WLTRYSVC.EXE

C:\WINDOWS\System32\bcmwltry.exe

C:\WINDOWS\system32\spoolsv.exe

D:\Winutil\AntiVir PersonalEdition Classic\sched.exe

D:\Winutil\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\McAfee\Common Framework\FrameworkService.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe

C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe

C:\WINDOWS\system32\PSIService.exe

C:\Program Files\Spyware Terminator\sp_rsser.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\McAfee\Common Framework\UdaterUI.exe

C:\Program Files\McAfee\Common Framework\McTray.exe

D:\Winutil\AnyDVD\AnyDVD.exe

D:\Winapps\PhotoShop Album\3.2\Apps\apdproxy.exe

D:\Winutil\Internet Download Manager\IDMan.exe

D:\Winprog\Wincmd\TOTALCMD.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Internet Explorer\iexplore.exe

D:\WinAVIVideoConverter\WinAVI.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\SoftwareDistribution\Download\be077a0a5c65554c0fa221a5c8a0529b\update\update.exe