fenetre fausse alerte trojan

[chrifleur]

rapport en examen, je prépare la suite.

[cyrille_1971]

ok,

je dois m'absenter un peu mais je reviens tout a l'heure

 

encore merci pour ton aide

[chrifleur]

dans un premier temps fais ceci

une infection qui se propage par les périphériques externes, donc si tu désinfectes ton Pc mais pas tes périphériques - clé USB, DD externe, tout périphérique qui se connecte sur ton PC, etc... cela se relance..

Tu vas faire ceci dans un 1er temps

Si tu as une clé USB, disque dur externe, etc., branche-les sans les ouvrir avant de lancer ce FIX

Télécharge Rav Antivirus: http://www.evosla.com/compteur.php?soft=rav_antivirus

· Clique droit sur le fichier .ZIP > Extraire sur > le Bureau

· Double clique sur >> RAV.exe << afin de lancer l'outil.

· Une fois RAV ANTIVIRUS lancé, laisse-le réagir, il Scanne automatiquement tous les lecteurs (disques fixes et amovibles)

· Si infection > un rapport s'établira, sinon s'affichera (très rapide) ==>Votre Ordinateur est sain.

· Retire tes disques amovibles et redémarre ton ordinateur.

Poste le rapport

 

puis ensuite tu vaccines tes clés USB comme cela tu ne te réinfecteras plus de cette façon... à lire et à suivre toute la manip... merci gof

http://forum.zebulon.fr/index.php?showtopic=131959

 

la suite tout de suite après

[cyrille_1971]

ok Chrifleur

 

RAV executé mais il m'annonce Ordinateur Sain

 

je ne trouve pas le rapport

 

je suis entrain de vacciner ma clé usb

[chrifleur]

Télécharge clean.zip, de Malekal

http://www.malekal.com/download/clean.zip

 

décompresse-le sur ton Bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

Ouvre le dossier clean qui se trouve sur ton Bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.

Choisis l'option 1 puis patiente

Poste le rapport obtenu

S’il te demande d’up loader un fichier, tu le fais…

[cyrille_1971]

Chrifleur,

 

désolé, le programme clean démarre mais après avoir validé l'option 1 il ne m'affiche que des lignes

accès refusé

puis à la fin une fenetre Lfiles s'ouvre avec le message :

 

Run-time error '75':

path/files access error

 

dois je désactiver quelque chose ???

 

cordialement

 

Cyrille

[chrifleur]

ceci a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

 

Rappel : une fois que ComboFix est lancé, il ne faut pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme.

 

Il est recommandé de laisser l'outil analyser et nettoyer le PC sans utiliser quoi que ce soit d'autre...

 

Sélectionne le texte suivant (Ctrl+A):

 

KillAll::

Folder::

C:\Windows\Downloaded Program Files\CONFLICT.1

C:\Windows\Downloaded Program Files\CONFLICT.2

C:\Users\All Users\nyjkhezy

C:\Users\All Users\ComSh

C:\ProgramData\nyjkhezy

C:\ProgramData\ComSh

File::

C:\Users\All Users\ezsidmv.dat

C:\ProgramData\ezsidmv.dat

C:\ProgramData\ComSh\pcpwhypy.exe

C:\Windows\Downloaded Program Files\CONFLICT.1\ImageUploader5.ocx

C:\Windows\Downloaded Program Files\CONFLICT.2\ImageUploader5.ocx

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ComSh"=-

Copie le texte sélectionné (CTRL+C).

 

Ouvre le Bloc-notes (Démarrer/Tous les programmes/Accessoires/Bloc-notes).

 

Colle le texte copié dans ce Bloc-notes (CTRL+V).

 

Sauvegarde ce fichier sur ton Bureau sous le nom de CFScript.txt (CFScript)

 

 

Comme l'image le montre, fait glisser CFScript.txt sur ComboFix.exe(ComboFix)

 

Une fenêtre à fond bleu va s'ouvrir: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

 

Laisse ComboFix travailler

 

Patiente le temps de l'analyse. Le Bureau va disparaître à plusieurs reprises: c'est normal!

 

Ne touche à rien tant que le nettoyage n'est pas terminé.

 

Un rapport va s'afficher: poste son contenu.

 

Si le fichier ne s'ouvre pas, tu le trouves ici, à la racine de ton Système, en principe : C:\ComboFix.txt (C:\ComboFix)

 

ceci a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

[cyrille_1971]

Chrifleur

 

voila le rapport de combofix

les fichiers sont supprimés

pour le moment, la fenetre n'a pas encore apparu, peut être est-ce bon ???

 

enfin, merci pour ton efficacité et ta rapidité

 

Cyrille

 

 

ComboFix 08-09-28.05 - cyrille 2008-09-30 16:42:13.2 - NTFSx86

Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.1.1036.18.1143 [GMT 2:00]

Lancé depuis: C:\Users\cyrille\Desktop\ComboFix.exe

Commutateurs utilisés :: C:\Users\cyrille\Desktop\CFScript.txt

* Un nouveau point de restauration a été créé

 

FILE ::

C:\ProgramData\ComSh\pcpwhypy.exe

C:\ProgramData\ezsidmv.dat

C:\Users\All Users\ezsidmv.dat

C:\Windows\Downloaded Program Files\CONFLICT.1\ImageUploader5.ocx

C:\Windows\Downloaded Program Files\CONFLICT.2\ImageUploader5.ocx

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\ProgramData\ComSh

C:\ProgramData\ComSh\pcpwhypy.exe

C:\ProgramData\ezsidmv.dat

C:\ProgramData\nyjkhezy

C:\Users\All Users\ComSh\pcpwhypy.exe

C:\Users\All Users\ezsidmv.dat

C:\Windows\Downloaded Program Files\CONFLICT.1

C:\Windows\Downloaded Program Files\CONFLICT.1\ImageUploader5.ocx

C:\Windows\Downloaded Program Files\CONFLICT.2

C:\Windows\Downloaded Program Files\CONFLICT.2\ImageUploader5.inf

C:\Windows\Downloaded Program Files\CONFLICT.2\ImageUploader5.ocx

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-08-28 au 2008-09-30 ))))))))))))))))))))))))))))))))))))

.

 

2008-09-30 11:28 . 2008-09-30 11:29 <REP> d-------- C:\rsit

2008-09-30 11:28 . 2008-09-30 11:29 <REP> d-------- C:\Program Files\trend micro

2008-09-30 10:56 . 2008-09-30 10:56 <REP> d-------- C:\Program Files\Enigma Software Group

2008-09-30 08:57 . 2008-09-30 08:57 <REP> d-------- C:\_OTMoveIt

2008-09-29 18:17 . 2008-09-30 08:48 <REP> d-------- C:\Program Files\Navilog1

2008-09-29 18:12 . 2008-09-30 15:28 <REP> d-------- C:\Upload_Me

2008-09-29 18:10 . 2008-09-29 18:10 <REP> d-------- C:\Program Files\MSNFix

2008-09-28 10:28 . 2008-09-28 10:28 <REP> d-------- C:\Users\cyrille\AppData\Roaming\Malwarebytes

2008-09-28 10:28 . 2008-09-28 10:28 <REP> d-------- C:\Users\All Users\Malwarebytes

2008-09-28 10:28 . 2008-09-28 10:28 <REP> d-------- C:\ProgramData\Malwarebytes

2008-09-28 10:28 . 2008-09-28 10:29 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware

2008-09-28 10:28 . 2008-09-10 00:04 38,528 --a------ C:\Windows\System32\drivers\mbamswissarmy.sys

2008-09-28 10:28 . 2008-09-10 00:03 17,200 --a------ C:\Windows\System32\drivers\mbam.sys

2008-09-27 23:33 . 2008-09-30 10:35 <REP> d--h----- C:\$AVG8.VAULT$

2008-09-27 09:35 . 2008-09-30 08:45 <REP> d-------- C:\Windows\System32\drivers\Avg

2008-09-27 09:35 . 2008-09-27 09:35 <REP> d-------- C:\Users\All Users\avg8

2008-09-27 09:35 . 2008-09-27 09:35 <REP> d-------- C:\ProgramData\avg8

2008-09-27 09:35 . 2008-09-27 09:35 <REP> d-------- C:\Program Files\AVG

2008-09-27 09:35 . 2008-09-27 09:35 97,928 --a------ C:\Windows\System32\drivers\avgldx86.sys

2008-09-27 09:35 . 2008-09-27 09:35 10,520 --a------ C:\Windows\System32\avgrsstx.dll

2008-09-24 19:54 . 2007-10-15 18:02 8,535 --a------ C:\Windows\System32\nvide.nvu

2008-09-24 19:53 . 2007-08-21 18:26 356,352 --a------ C:\Windows\System32\NVUNINST.EXE

2008-09-20 12:44 . 2008-09-20 12:44 99,648 --a------ C:\Windows\System32\drivers\AnyDVD.sys

2008-09-11 08:47 . 2008-09-11 08:47 <REP> d-------- C:\Users\All Users\WindowsSearch

2008-09-11 08:47 . 2008-09-11 08:47 <REP> d-------- C:\ProgramData\WindowsSearch

2008-09-10 09:05 . 2008-07-31 03:13 4,240,384 --a------ C:\Windows\System32\GameUXLegacyGDFs.dll

2008-09-10 09:05 . 2008-08-02 03:01 625,152 --a------ C:\Windows\System32\drivers\dxgkrnl.sys

2008-09-10 09:05 . 2008-06-26 05:29 565,248 --a------ C:\Windows\System32\emdmgmt.dll

2008-09-10 09:05 . 2008-06-26 05:29 303,616 --a------ C:\Windows\System32\wmpeffects.dll

2008-09-10 09:05 . 2008-05-08 21:21 211,968 --a------ C:\Windows\System32\drivers\mrxsmb10.sys

2008-09-10 09:05 . 2008-05-20 04:07 148,480 --a------ C:\Windows\System32\drivers\nwifi.sys

2008-09-10 09:05 . 2008-06-26 05:29 45,056 --a------ C:\Windows\System32\dataclen.dll

2008-09-10 09:05 . 2008-08-02 05:26 36,864 --a------ C:\Windows\System32\cdd.dll

2008-09-10 09:05 . 2008-07-31 05:32 28,160 --a------ C:\Windows\System32\Apphlpdm.dll

2008-09-03 19:32 . 2008-09-03 19:32 0 --ah----- C:\Windows\System32\drivers\Msft_User_WpdFs_01_00_00.Wdf

2008-08-25 12:56 . 2008-08-25 12:56 0 --ah----- C:\Windows\System32\drivers\Msft_User_WpdRapi_01_00_00.Wdf

2008-08-24 16:32 . 2008-08-24 16:32 <REP> d-------- C:\PerfLogs

2008-08-19 03:13 . 2008-07-19 07:09 1,811,656 --a------ C:\Windows\System32\wuaueng.dll

2008-08-19 03:13 . 2008-07-19 05:44 1,524,736 --a------ C:\Windows\System32\wucltux.dll

2008-08-19 03:13 . 2008-07-19 07:09 563,912 --a------ C:\Windows\System32\wuapi.dll

2008-08-19 03:13 . 2008-07-18 22:08 163,904 --a------ C:\Windows\System32\wuwebv.dll

2008-08-19 03:13 . 2008-07-19 05:44 83,456 --a------ C:\Windows\System32\wudriver.dll

2008-08-19 03:13 . 2008-07-19 07:10 53,448 --a------ C:\Windows\System32\wuauclt.exe

2008-08-19 03:13 . 2008-07-19 07:10 45,768 --a------ C:\Windows\System32\wups2.dll

2008-08-19 03:13 . 2008-07-19 07:10 36,552 --a------ C:\Windows\System32\wups.dll

2008-08-19 03:13 . 2008-07-18 20:44 31,232 --a------ C:\Windows\System32\wuapp.exe

2008-08-15 03:05 . 2008-07-16 03:32 2,048 --a------ C:\Windows\System32\tzres.dll

2008-08-01 10:02 . 2008-08-01 10:02 <REP> d-------- C:\Program Files\Microsoft SQL Server Compact Edition

2008-08-01 10:02 . 2006-11-29 13:06 3,426,072 --a------ C:\Windows\System32\d3dx9_32.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-09-28 17:50 --------- d-----w C:\Users\cyrille\AppData\Roaming\Skype

2008-09-28 17:49 --------- d-----w C:\Users\cyrille\AppData\Roaming\skypePM

2008-09-11 01:03 --------- d-----w C:\ProgramData\Microsoft Help

2008-09-11 01:01 --------- d-----w C:\Program Files\Microsoft Works

2008-09-08 16:11 --------- d-----w C:\ProgramData\Roxio

2008-09-08 15:46 --------- d-----w C:\ProgramData\DVD Shrink

2008-09-05 07:22 --------- d-----w C:\Program Files\Messenger Plus! Live

2008-08-24 14:46 174 --sha-w C:\Program Files\desktop.ini

2008-08-24 14:36 --------- d-----w C:\Program Files\Windows Sidebar

2008-08-24 14:36 --------- d-----w C:\Program Files\Windows Photo Gallery

2008-08-24 14:36 --------- d-----w C:\Program Files\Windows Mail

2008-08-24 14:36 --------- d-----w C:\Program Files\Windows Journal

2008-08-24 14:36 --------- d-----w C:\Program Files\Windows Defender

2008-08-24 14:36 --------- d-----w C:\Program Files\Windows Collaboration

2008-08-24 14:36 --------- d-----w C:\Program Files\Windows Calendar

2008-08-12 13:47 --------- d---a-w C:\ProgramData\TEMP

2008-08-12 07:31 --------- d-----w C:\Program Files\TubeMaster

2008-08-02 01:01 --------- d-----w C:\Program Files\Windows Live

2008-08-01 07:56 --------- d-----w C:\ProgramData\WLInstaller

2008-07-31 03:32 460,288 ----a-w C:\Windows\AppPatch\AcSpecfc.dll

2008-07-31 03:32 2,154,496 ----a-w C:\Windows\AppPatch\AcGenral.dll

2008-07-31 03:32 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll

2008-07-30 20:37 --------- d-----w C:\ProgramData\Skype

2008-07-30 20:37 --------- d-----w C:\Program Files\Skype

2008-07-30 20:37 --------- d-----w C:\Program Files\Common Files\Skype

2008-07-18 18:39 587,264 ----a-w C:\Windows\WLXPGSS.SCR

2008-06-12 05:28 541,696 ----a-w C:\Windows\AppPatch\AcLayers.dll

2008-03-10 13:34 54 ----a-w C:\Users\cyrille\AppData\Roaming\wklnhst.dat

.

 

((((((((((((((((((((((((((((( snapshot@2008-09-30_12.17.50.82 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-09-28 17:47:42 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat

+ 2008-09-30 14:46:18 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat

- 2008-09-28 17:47:42 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat

+ 2008-09-30 14:46:18 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat

- 2008-09-28 17:49:29 262,144 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT

+ 2008-09-30 14:46:45 262,144 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT

+ 2008-09-30 14:46:45 262,144 ---ha-w C:\Windows\ServiceProfiles\LocalService\ntuser.dat.LOG1

- 2008-09-30 10:17:08 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT

+ 2008-09-30 14:47:50 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT

- 2008-09-30 09:24:42 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

+ 2008-09-30 13:03:58 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

- 2008-09-30 09:24:42 32,768 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

+ 2008-09-30 13:03:58 32,768 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

- 2008-09-30 09:24:42 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

+ 2008-09-30 13:03:58 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

- 2008-09-30 10:14:44 262,144 ----a-w C:\Windows\System32\config\systemprofile\ntuser.dat

+ 2008-09-30 14:41:32 262,144 ----a-w C:\Windows\System32\config\systemprofile\ntuser.dat

+ 2008-09-30 14:41:32 262,144 ---ha-w C:\Windows\System32\config\systemprofile\ntuser.dat.LOG1

- 2008-09-28 17:49:43 8,476 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-814008185-1623704978-2661717547-1000_UserData.bin

+ 2008-09-30 14:48:20 9,050 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-814008185-1623704978-2661717547-1000_UserData.bin

- 2008-09-28 17:49:43 50,778 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin

+ 2008-09-30 14:48:20 51,090 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin

- 2008-09-28 17:49:35 45,446 ----a-w C:\Windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin

+ 2008-09-30 14:48:13 45,926 ----a-w C:\Windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]

"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2008-01-19 125952]

"MsnMsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

"AnyDVD"="C:\Program Files\SlySoft\AnyDVD\AnyDVDtray.exe" [2008-09-20 2177984]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 65536]

"KBD"="C:\HP\KBD\KbdStub.EXE" [2006-12-08 65536]

"OsdMaestro"="C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe" [2007-02-15 118784]

"StartCCC"="c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]

"HP Health Check Scheduler"="c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2007-05-24 71176]

"SunJavaUpdateReg"="C:\Windows\system32\jureg.exe" [2007-04-07 54936]

"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 49152]

"Windows Mobile-based device management"="C:\Windows\WindowsMobile\wmdc.exe" [2007-01-24 563080]

"CloneCDTray"="C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 57344]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"hpqSRMon"="C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-06-02 81920]

"NBKeyScan"="C:\Program Files\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe" [2007-09-17 1377576]

"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-09-30 1234712]

"Malwarebytes Anti-Malware (reboot)"="C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" [2008-09-10 1253040]

"RtHDVCpl"="RtHDVCpl.exe" [2008-01-15 C:\Windows\RtHDVCpl.exe]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"PCDrProfiler"="C:\Program Files\PC-Doctor 5 for Windows\RunProfiler.exe" [2007-04-06 73728]

"Launcher"="C:\Windows\SMINST\launcher.exe" [2007-04-03 44168]

 

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\

HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2007-03-11 210520]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=avgrsstx.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]

"{66FB78F9-567E-4B7D-B148-A676BA68EC41}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)

"{E4224C1F-2852-494C-9C7C-7D4FC407F962}"= UDP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote

"{D4F57DC9-6B8D-4257-882D-DAAD7B904C2B}"= TCP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote

"{03193DF7-1C54-4662-B32D-B43DB54BF1D8}"= UDP:990:LocalSubnet:LocalSubnet|IF={94B2C8FC-CDA8-4CB7-8B4C-6CE8EDAE286F}|%SystemRoot%\system32\svchost.exe|Svc=rapimgr:@%systemroot%\WindowsMobile\wmdSync.exe,-4001

"TCP Query User{3C985349-44A4-4436-AE3F-2DAAB9C6B377}C:\\program files\\internet explorer\\iexplore.exe"= UDP:C:\program files\internet explorer\iexplore.exe:Internet Explorer

"UDP Query User{5DB16C50-C0C4-4EFE-A620-C71263DBCC39}C:\\program files\\internet explorer\\iexplore.exe"= TCP:C:\program files\internet explorer\iexplore.exe:Internet Explorer

"{F83BADB1-B24A-494D-95A6-3125742425C8}"= UDP:5721:LocalSubnet:LocalSubnet|IF={94B2C8FC-CDA8-4CB7-8B4C-6CE8EDAE286F}:@%systemroot%\WindowsMobile\wmdc.exe,-4002

"{76C410CA-86FE-40AF-8245-B2A517E33F60}"= UDP:1034:LocalSubnet:LocalSubnet|IF={94B2C8FC-CDA8-4CB7-8B4C-6CE8EDAE286F}:@%systemroot%\WindowsMobile\wmdc.exe,-4003

"{49ADF4AB-B4AA-4322-B16E-CAAB8ADF9F18}"= UDP:5678:LocalSubnet:LocalSubnet|IF={94B2C8FC-CDA8-4CB7-8B4C-6CE8EDAE286F}|%systemroot%\WindowsMobile\wmdHost.exe:@%systemroot%\WindowsMobile\wmdc.exe,-4004

"{FD38FCDC-1AAF-4FE9-B58F-B8BFA39D2C6D}"= UDP:999:LocalSubnet:LocalSubnet|IF={94B2C8FC-CDA8-4CB7-8B4C-6CE8EDAE286F}|%systemroot%\WindowsMobile\wmdHost.exe:@%systemroot%\WindowsMobile\wmdc.exe,-4005

"{5E98020F-2324-4FFB-B1EE-92333EE668ED}"= UDP:26675:LocalSubnet:LocalSubnet|IF={94B2C8FC-CDA8-4CB7-8B4C-6CE8EDAE286F}:@%systemroot%\WindowsMobile\wmdc.exe,-4006

"{24091200-7D69-44BD-9503-26C064617460}"= UDP:990:LocalSubnet:LocalSubnet|IF={94B2C8FC-CDA8-4CB7-8B4C-6CE8EDAE286F}|%SystemRoot%\system32\svchost.exe|Svc=rapimgr:@%systemroot%\WindowsMobile\wmdc.exe,-4001

"{9C43F343-44C8-4B0D-A1BA-6506BD3BDF3E}"= Disabled:UDP:E:\setup\HPZnui01.exe:hpznui01.exe

"{8DB3B810-D218-4E2E-9A57-A4A659EF35B1}"= Disabled:TCP:E:\setup\HPZnui01.exe:hpznui01.exe

"{AE765E85-EEF6-4850-97A0-FA284A6DACE8}"= Disabled:UDP:C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe:hpqtra08.exe

"{F788D02F-C005-45EC-9766-10F93B4FBC58}"= Disabled:TCP:C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe:hpqtra08.exe

"{51C68EF9-F7F0-4352-9D1D-F33D81E9E67B}"= Disabled:UDP:C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe:hpqste08.exe

"{CBC50F24-982D-4387-8376-9D6F66C6FA86}"= Disabled:TCP:C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe:hpqste08.exe

"{80DE8A9D-F88B-49EF-A379-A6490C65D150}"= Disabled:UDP:C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe:hpofxm08.exe

"{E123C4CE-77E3-4C09-AB21-3C86B191D1DA}"= Disabled:TCP:C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe:hpofxm08.exe

"{BD357DA2-BE0D-4DFB-9BDD-FEA85C63962E}"= Disabled:UDP:C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe:hposfx08.exe

"{8E8B4C39-B80C-4BB1-B1FB-01213B9C999C}"= Disabled:TCP:C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe:hposfx08.exe

"{E54BAD1C-6C50-4F8B-9315-2DDC9D7951E4}"= Disabled:UDP:C:\Program Files\HP\Digital Imaging\bin\hposid01.exe:hposid01.exe

"{7F00BEAF-ACD9-4D39-A21F-0BB62CA49AF6}"= Disabled:TCP:C:\Program Files\HP\Digital Imaging\bin\hposid01.exe:hposid01.exe

"{DE34ABD9-F0C1-440E-A30A-507C8EF53360}"= Disabled:UDP:C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe:hpqscnvw.exe

"{90D214D7-EEC2-4212-8934-2010FEC95A9E}"= Disabled:TCP:C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe:hpqscnvw.exe

"{C8707B8F-0061-4038-A5C0-5C3758FD996B}"= Disabled:UDP:C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe:hpqkygrp.exe

"{526578B1-0A34-4539-B1B8-4879CF22DCE0}"= Disabled:TCP:C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe:hpqkygrp.exe

"{6BCAFC74-E142-46CF-B0AC-23CF95668867}"= Disabled:UDP:C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe:hpzwiz01.exe

"{F6835B7C-27D0-490A-BF8E-B5E618AC24AB}"= Disabled:TCP:C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe:hpzwiz01.exe

"{70897FE0-E69E-4250-8775-E352673D4ADF}"= Disabled:UDP:C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe:hpoews01.exe

"{44DD43D3-4223-4BC0-BA10-C8D34E69943F}"= Disabled:TCP:C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe:hpoews01.exe

"{AA966026-99B3-4B70-AB59-96794B005C3F}"= Disabled:UDP:C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe:hpqnrs08.exe

"{C8E72141-5293-4BC4-84C6-E5C63183D694}"= Disabled:TCP:C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe:hpqnrs08.exe

"{28A0916B-33E7-4E3A-AF8E-9150BC02FDDC}"= TCP:6004|C:\Program Files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook

"TCP Query User{9E69B023-C6D1-4408-B0B0-162AE451115D}C:\\sierra\\empire earth\\empire earth.exe"= UDP:C:\sierra\empire earth\empire earth.exe:Empire Earth

"UDP Query User{BB31195C-6C8E-44CF-8553-A21D18EE7788}C:\\sierra\\empire earth\\empire earth.exe"= TCP:C:\sierra\empire earth\empire earth.exe:Empire Earth

"{B4E82E20-0AE0-49E6-9F52-5082791031C5}"= C:\Program Files\Skype\Phone\Skype.exe:Skype

"{D46B898E-FA8A-4E32-8DEA-6A34879C005D}"= UDP:5721:LocalSubnet:LocalSubnet|IF={94B2C8FC-CDA8-4CB7-8B4C-6CE8EDAE286F}:@%systemroot%\WindowsMobile\wmdc.exe,-4002

"{84F7C063-1A70-47D7-AEF5-CD13F8AC7548}"= UDP:1034:LocalSubnet:LocalSubnet|IF={94B2C8FC-CDA8-4CB7-8B4C-6CE8EDAE286F}:@%systemroot%\WindowsMobile\wmdc.exe,-4003

"{425D263D-71B1-4EE9-8F4D-4D4B66758942}"= UDP:5678:LocalSubnet:LocalSubnet|IF={94B2C8FC-CDA8-4CB7-8B4C-6CE8EDAE286F}|%systemroot%\WindowsMobile\wmdHost.exe:@%systemroot%\WindowsMobile\wmdc.exe,-4004

"{280AEFBE-899B-494C-A655-06A555A173FF}"= UDP:999:LocalSubnet:LocalSubnet|IF={94B2C8FC-CDA8-4CB7-8B4C-6CE8EDAE286F}|%systemroot%\WindowsMobile\wmdHost.exe:@%systemroot%\WindowsMobile\wmdc.exe,-4005

"{321DD03A-E24D-4625-A1C2-5A25A510CA65}"= UDP:26675:LocalSubnet:LocalSubnet|IF={94B2C8FC-CDA8-4CB7-8B4C-6CE8EDAE286F}:@%systemroot%\WindowsMobile\wmdc.exe,-4006

"{F8152021-48F1-41DE-99DC-B1F1259E4305}"= UDP:990:LocalSubnet:LocalSubnet|IF={94B2C8FC-CDA8-4CB7-8B4C-6CE8EDAE286F}|%SystemRoot%\system32\svchost.exe|Svc=rapimgr:@%systemroot%\WindowsMobile\wmdc.exe,-4001

"{DF1DED75-A0C7-4319-884D-52BC6F340AF3}"= C:\Program Files\AVG\AVG8\avgupd.exe:avgupd.exe

 

R1 AvgLdx86;AVG Free AVI Loader Driver x86;C:\Windows\system32\Drivers\avgldx86.sys [2008-09-27 97928]

R2 avg8wd;AVG Free8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-09-27 231704]

R2 BcmSqlStartupSvc;Service de démarrage SQL Server pour le Gestionnaire de contacts professionnels;C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe [2008-01-16 30312]

R3 atikmdag;atikmdag;C:\Windows\system32\DRIVERS\atikmdag.sys [2007-08-14 3076608]

S3 MSSQL$MSSMLBIZ;SQL Server (MSSMLBIZ);c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2008-02-26 29183504]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

WindowsMobile REG_MULTI_SZ wcescomm rapimgr

LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr

bthsvcs REG_MULTI_SZ BthServ

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

HPService REG_MULTI_SZ HPSLPSVC

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{13788dfe-cbef-11dc-a870-001bb9f65e74}]

\shell\AutoRun\command - L:\LaunchU3.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{152ebdcf-5fdf-11dd-a62b-001bb9f65e74}]

\shell\AutoRun\command - F:\InstallTomTomHOME.exe

.

Contenu du dossier 'Tâches planifiées'

.

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-30 16:47:13

Windows 6.0.6001 Service Pack 1 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

------------------------ Autres processus actifs ------------------------

.

C:\Windows\System32\Ati2evxx.exe

C:\Windows\System32\audiodg.exe

C:\Windows\System32\Ati2evxx.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe

C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe

C:\Windows\System32\WUDFHost.exe

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\Windows\System32\conime.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Windows\System32\schtasks.exe

C:\Program Files\AVG\AVG8\avgtray.exe

C:\Windows\ehome\ehmsas.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\Windows Media Player\wmpnetwk.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe

C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe

C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Service.exe

C:\hp\KBD\kbd.exe

.

**************************************************************************

.

Heure de fin: 2008-09-30 16:54:13 - La machine a redémarré

ComboFix-quarantined-files.txt 2008-09-30 14:53:58

ComboFix2.txt 2008-09-30 10:18:54

 

Avant-CF: 92ÿ248ÿ604ÿ672 octets libres

Après-CF: 92,317,294,592 octets libres

 

285 --- E O F --- 2008-09-26 03:44:52

[chrifleur]

rends-toi sur ESET Online Scanner Link

http://www.eset.eu/online-scanner

Coche la case YES, I accept the Terms Of Use

Clique sur le bouton Start

Clique maintenant sur Install button

Clique a nouveau sur Start

 

Les mises à jours du Scan en ligne vont se faire.

Ne coche pas Remove found threats

Clique sur Scan button

 

Le Scan va démarrer, sois patient.

 

Quand le Scan sera terminé, clique sur Details tab

 

Copie colle en réponse le contenu de C:\Program Files\EsetOnlineScanner\log.txt back

[cyrille_1971]

Bonjour Chrifleur,

 

le service n'a pas pu s'installer, voici le message dans la fenetre de Eset :

 

Error : Cannot initialize online scaner. Administrator right required

 

Que fais je s'il te plait ????

 

Cordialement

 

Cyrille